Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

표준 방화벽 필터 사용 방법 이해하기

표준 방화벽 필터를 사용하여 로컬 패킷에 영향을 미치는 경우

라우터에서 하나의 물리적 루프백 인터페이스, lo0및 인터페이스에서 하나 이상의 주소를 구성할 수 있습니다. 루프백 인터페이스는 모든 제어 프로토콜을 실행하고 모니터링하는 라우팅 엔진 대한 인터페이스입니다. 루프백 인터페이스는 로컬 패킷만 전달합니다. 루프백 인터페이스에 적용된 표준 방화벽 필터는 라우팅 엔진 목적지이거나 전송되는 로컬 패킷에 영향을 미칩니다.

주:

추가 루프백 인터페이스를 생성할 때는 필터를 적용하여 라우팅 엔진 보호하는 것이 중요합니다. 루프백 인터페이스에 필터를 적용할 때 문을 포함하는 apply-groups 것이 좋습니다. 이렇게 하면 필터가 및 기타 루프백 인터페이스를 포함한 lo0 모든 루프백 인터페이스에서 자동으로 상속됩니다.

신뢰할 수 있는 소스

표준 무상태 방화벽 필터 를 일반적으로 사용하는 것은 라우팅 엔진 프로세스 및 리소스를 악의적이거나 신뢰할 수 없는 패킷으로부터 보호하는 것입니다. 라우팅 엔진 소유한 프로세스 및 리소스를 보호하기 위해 라우팅 엔진 연결할 수 있는 프로토콜 및 서비스 또는 애플리케이션을 지정하는 표준 무상태 방화벽 필터를 사용할 수 있습니다. 이러한 유형의 필터를 루프백 인터페이스에 적용하면 로컬 패킷이 신뢰할 수 있는 소스에서 생성되도록 보장하고 라우팅 엔진 실행되는 프로세스를 외부 공격으로부터 보호합니다.

홍수 방지

라우팅 엔진 목적지로 지정된 특정 TCP 및 ICMP 트래픽을 제한하는 표준 스테이트리스 방화벽 필터를 생성할 수 있습니다. 이러한 유형의 보호가 없는 라우터는 서비스 거부(DoS) 공격이라고도 하는 TCP 및 ICMP 플러드 공격에 취약합니다. 예를 들어,

  • 연결 요청을 시작하는 SYN 패킷의 TCP 플러드 공격은 더 이상 합법적인 연결 요청을 처리하지 못하고 서비스 거부가 발생할 때까지 디바이스를 압도할 수 있습니다.

  • ICMP 플러드는 에코 요청(ping 요청)이 너무 많아서 모든 리소스가 응답하고 더 이상 유효한 네트워크 트래픽을 처리할 수 없으므로 디바이스가 과부하되어 서비스가 거부됩니다.

적절한 방화벽 필터를 라우팅 엔진 적용하면 이러한 유형의 공격으로부터 보호됩니다.

표준 방화벽 필터를 사용하여 데이터 패킷에 영향을 미치는 경우

라우터의 전송 인터페이스에 적용되는 표준 방화벽 필터는 소스에서 목적지로 전달될 때 라우터를 한 인터페이스에서 다른 인터페이스로 직접 전송하는 사용자 데이터 패킷만 평가합니다. 특정 인터페이스에서 무단 액세스 및 기타 위협으로부터 네트워크를 전체적으로 보호하기 위해 방화벽 필터 라우터 전송 인터페이스를 적용할 수 있습니다.