표준 방화벽 필터 사용 방법 이해
표준 방화벽 필터를 사용하여 로컬 패킷에 영향
라우터에서는 하나의 물리적 루프백 인터페이스와 lo0인터페이스에서 하나 이상의 주소를 구성할 수 있습니다. 루프백 인터페이스는 모든 제어 프로토콜을 실행하고 모니터링하는 라우팅 엔진에 대한 인터페이스입니다. 루프백 인터페이스는 로컬 패킷만 전달합니다. 루프백 인터페이스에 적용된 표준 방화벽 필터는 라우팅 엔진으로 향하거나 라우팅 엔진에서 전송되는 로컬 패킷에 영향을 미칩니다.
추가 루프백 인터페이스를 생성할 때 라우팅 엔진이 보호되도록 필터를 적용하는 것이 중요합니다. 루프백 인터페이스에 필터를 적용할 때는 문을 포함하는 apply-groups 것이 좋습니다. 이렇게 하면 필터가 및 기타 루프백 인터페이스를 포함한 lo0 모든 루프백 인터페이스에서 자동으로 상속됩니다.
신뢰할 수 있는 출처
표준 스테이트리스 방화벽 필터 의 일반적인 용도는 악의적이거나 신뢰할 수 없는 패킷으로부터 라우팅 엔진 프로세스 및 리소스를 보호하는 것입니다. 라우팅 엔진이 소유한 프로세스와 리소스를 보호하기 위해 라우팅 엔진에 도달할 수 있는 프로토콜 및 서비스 또는 애플리케이션을 지정하는 표준 무상태 방화벽 필터를 사용할 수 있습니다. 이러한 유형의 필터를 루프백 인터페이스에 적용하면 로컬 패킷이 신뢰할 수 있는 소스에서 제공되고 라우팅 엔진에서 실행되는 프로세스를 외부 공격으로부터 보호할 수 있습니다.
홍수 예방
라우팅 엔진으로 향하는 특정 TCP 및 ICMP 트래픽을 제한하는 표준 스테이트리스 방화벽 필터를 생성할 수 있습니다. 이러한 종류의 보호 기능이 없는 라우터는 DoS(서비스 거부) 공격이라고도 하는 TCP 및 ICMP 플러드 공격에 취약합니다. 예:
연결 요청을 시작하는 SYN 패킷의 TCP 플러드 공격은 합법적인 연결 요청을 더 이상 처리할 수 없을 때까지 디바이스를 압도하여 서비스 거부를 초래할 수 있습니다.
ICMP 플러드는 너무 많은 에코 요청(ping 요청)으로 디바이스에 과부하를 일으켜 응답하는 데 모든 리소스를 소비하고 더 이상 유효한 네트워크 트래픽을 처리할 수 없어 서비스 거부를 초래할 수 있습니다.
라우팅 엔진에 적절한 방화벽 필터를 적용하면 이러한 유형의 공격으로부터 보호할 수 있습니다.
표준 방화벽 필터를 사용하여 데이터 패킷에 영향
라우터의 전송 인터페이스에 적용하는 표준 방화벽 필터는 소스에서 대상으로 전달될 때 라우터를 한 인터페이스에서 다른 인터페이스로 직접 전송하는 사용자 데이터 패킷만 평가합니다. 특정 인터페이스에서 무단 액세스 및 기타 위협으로부터 네트워크 전체를 보호하기 위해 방화벽 필터, 라우터 전송 인터페이스를 적용할 수 있습니다.