Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

표준 방화벽 필터 사용 방법 이해

표준 방화벽 필터를 사용하여 로컬 패킷에 영향

라우터에서 하나의 물리적 루프백 인터페이스와 인터페이스 lo0에서 하나 이상의 주소를 구성할 수 있습니다. 루프백 인터페이스는 모든 제어 프로토콜을 실행하고 모니터링하는 Routing Engine의 인터페이스입니다. 루프백 인터페이스는 로컬 패킷만 전달합니다. 루프백 인터페이스에 적용되는 표준 방화벽 필터는 라우팅 엔진에서 전송하거나 전송되는 로컬 패킷에 영향을 줍니다.

주:

추가 루프백 인터페이스를 만들면 라우팅 엔진이 보호되도록 필터를 적용하는 것이 중요합니다. 루프백 인터페이스에 필터를 적용할 때는 명령문을 apply-groups 포함하는 것이 좋습니다. 이를 통해 필터가 모든 루프백 인터페이스(예: 기타 루프백 인터페이스) lo0 에서 자동으로 상속됩니다.

신뢰할 수 있는 소스

일반적으로 표준 스테이트리스 방화벽 필터 를 사용하는 것은 라우팅 엔진 프로세스와 리소스를 악의적 또는 신뢰할 수 없는 패킷으로부터 보호하는 것입니다. Routing Engine이 소유한 프로세스와 리소스를 보호하기 위해 어떤 프로토콜과 서비스 또는 애플리케이션이 라우팅 엔진에 도달할 수 있는지 지정하는 표준 스테이트리스 방화벽 필터를 사용할 수 있습니다. 루프백 인터페이스에 이러한 유형의 필터를 적용하면 로컬 패킷이 신뢰할 수 있는 소스에서 전송되도록 보장하고 외부 공격으로부터 라우팅 엔진에서 실행되는 프로세스를 보호합니다.

플러드 방지

라우팅 엔진으로 향하는 특정 TCP 및 ICMP 트래픽을 제한하는 표준 스테이트리스 방화벽 필터를 생성할 수 있습니다. 이러한 유형의 보호 기능이 없는 라우터는 DoS(Denial-of-Service) 공격이라고도 하는 TCP 및 ICMP 플러드 공격에 취약합니다. 예를 들어,

  • 연결 요청을 시작하는 SYN 패킷에 대한 TCP 플러드 공격은 장비가 더 이상 합법적인 연결 요청을 처리하지 못하면 서비스 거부가 발생할 수 있습니다.

  • ICMP 플러드는 많은 에코 요청(핑 요청)을 통해 디바이스에 과부하를 발생시켜 모든 리소스에 응답하고 더 이상 유효한 네트워크 트래픽을 처리할 수 없으므로 서비스 거부가 발생합니다.

적절한 방화벽 필터를 Routing Engine에 적용함으로써 이러한 유형의 공격을 차단할 수 있습니다.

표준 방화벽 필터를 사용하여 데이터 패킷에 영향을 미치는 경우

라우터의 전송 인터페이스에 적용하는 표준 방화벽 필터는 라우터가 소스에서 대상으로 전달될 때 라우터를 직접 다른 인터페이스로 전송하는 사용자 데이터 패킷만 평가합니다. 특정 인터페이스에서 승인되지 않은 액세스 및 기타 위협으로부터 네트워크를 전체적으로 보호하기 위해 방화벽 필터 라우터 전송 인터페이스를 적용할 수 있습니다.