Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

標準ファイアウォールフィルターの使用方法について

標準的なファイアウォールフィルターを使用してローカルパケットに影響を与える

ルーターでは、1つの物理ループバック インターフェイスと、インターフェイス上の1つ以上の lo0 アドレスを設定できます。ループバックインターフェイスは、すべての制御プロトコルを実行および監視するルーティングエンジンへのインターフェイスです。ループバックインターフェイスは、ローカルパケットのみを伝送します。ループバックインターフェイスに適用される標準のファイアウォールフィルターは、ルーティングエンジンに送信または転送するローカルパケットに影響を与えます。

注:

追加のループバックインターフェイスを作成する場合は、ルーティングエンジンが保護されるように、それにフィルターを適用することが重要です。フィルタをループバック インターフェイスに適用する場合は、 ステートメントを含することをお勧 apply-groups めします。これにより、すべてのループバックインターフェイス (およびその他のループバックインターフェイスlo0を含む) 上でフィルターが自動的に継承されます。

信頼できるソース

標準のステートレスファイアウォールフィルターの典型的な使用方法は、悪意のあるパケットや信頼されていません。または不正にはならないプロセスとリソースをルーティングエンジン保護することです。ルーティングエンジンが所有するプロセスとリソースを保護するために、標準のステートレスファイアウォールフィルターを使用して、どのプロトコルやサービス、またはアプリケーションがルーティングエンジンに到達できるかを指定できます。ループバックインターフェイスにこの種のフィルタを適用することで、ローカルパケットが信頼できるソースからのものであることが保証され、外部の攻撃からルーティングエンジンで実行されるプロセスが保護されます。

フラッド防御

標準のステートレスファイアウォールフィルターを作成して、ルーティングエンジン宛ての特定の TCP および ICMP トラフィックを制限することができます。この種の防御を行わないルーターは、TCP および ICMP フラッド攻撃に対して脆弱であり、サービス拒否 (DoS) 攻撃とも呼ばれます。たとえば、以下のように記述します。

  • コネクションリクエストを開始する SYN パケットの TCP フラッド攻撃は、それが正当な接続要求を処理できなくなるまで、デバイスを過負荷状態にすることがあります。その結果、サービス拒否が発生します。

  • ICMP フラッドによってデバイスが過負荷状態になり、すべてのリソースが応答を停止し、有効なネットワークトラフィックを処理できなくなり、その結果、サービス拒否が発生することがあります。

適切なファイアウォールフィルターをルーティングエンジンに適用すると、この種の攻撃から保護されます。

標準的なファイアウォールフィルターを使用してデータパケットに影響を与える

ルーターのトランジット インターフェイスに適用する標準ファイアウォール フィルターは、送信元から宛先に転送されるルーターをインターフェース間で直接転送するユーザー データ パケットのみ評価します。特定のインターフェイスで許可されていないアクセスやその他の脅威からネットワーク全体を保護するために、ファイアウォールフィルタールーター伝送インターフェイスを適用できます。