Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de cómo usar filtros de firewall estándar

Uso de filtros de firewall estándar para afectar a los paquetes locales

En un enrutador, puede configurar una interfaz física de circuito cerrado y una o más direcciones en la interfaz.lo0 La interfaz de circuito cerrado es la interfaz del motor de enrutamiento, que ejecuta y supervisa todos los protocolos de control. La interfaz de circuito cerrado solo transporta paquetes locales. Los filtros de firewall estándar aplicados a la interfaz de circuito cerrado afectan a los paquetes locales destinados o transmitidos desde el motor de enrutamiento.

Nota:

Cuando cree una interfaz de circuito cerrado adicional, es importante aplicarle un filtro para que el motor de enrutamiento esté protegido. Se recomienda que, cuando aplique un filtro a la interfaz de circuito cerrado, incluya la instrucción.apply-groups Al hacerlo, se garantiza que el filtro se herede automáticamente en cada interfaz de circuito cerrado, incluidas las interfaces de circuito cerrado.lo0

Fuentes confiables

El uso típico de un filtro de firewall sin estado estándar es proteger los procesos y recursos del motor de enrutamiento de paquetes maliciosos o que no son de confianza. Para proteger los procesos y recursos propiedad del motor de enrutamiento, puede usar un filtro de firewall sin estado estándar que especifique qué protocolos y servicios, o aplicaciones, pueden llegar al motor de enrutamiento. La aplicación de este tipo de filtro a la interfaz de circuito cerrado garantiza que los paquetes locales procedan de un origen de confianza y protege los procesos que se ejecutan en el motor de enrutamiento de un ataque externo.

Prevención de inundaciones

Puede crear filtros de firewall sin estado estándar que limiten cierto tráfico TCP e ICMP destinado al motor de enrutamiento. Un enrutador sin este tipo de protección es vulnerable a los ataques de inundación TCP e ICMP, que también se denominan ataques de denegación de servicio (DoS). Por ejemplo:

  • Un ataque de inundación TCP de paquetes SYN que inician solicitudes de conexión puede abrumar al dispositivo hasta que ya no pueda procesar solicitudes de conexión legítimas, lo que resulta en la denegación de servicio.

  • Una inundación ICMP puede sobrecargar el dispositivo con tantas solicitudes de eco (solicitudes de ping) que gasta todos sus recursos respondiendo y ya no puede procesar tráfico de red válido, lo que también resulta en la denegación de servicio.

La aplicación de los filtros de firewall adecuados al motor de enrutamiento protege contra este tipo de ataques.

Uso de filtros de firewall estándar para afectar a los paquetes de datos

Los filtros de firewall estándar que se aplican a las interfaces de tránsito del enrutador evalúan sólo los paquetes de datos de usuario que transitan el enrutador de una interfaz directamente a otra a medida que se reenvían desde un origen a un destino. Para proteger la red en su conjunto del acceso no autorizado y otras amenazas en interfaces específicas, puede aplicar filtros de firewall interfaces de tránsito de enrutador.

Temas relacionados