Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de cómo usar filtros de firewall estándar

Uso de filtros de firewall estándar para afectar los paquetes locales

En un enrutador, puede configurar una interfaz lo0de circuito cerrado físico y una o más direcciones en la interfaz. La interfaz de circuito cerrado es la interfaz al motor de enrutamiento, que ejecuta y monitorea todos los protocolos de control. La interfaz de circuito cerrado solo lleva paquetes locales. Los filtros de firewall estándar aplicados a la interfaz de circuito cerrado afectan a los paquetes locales destinados o transmitidos desde el motor de enrutamiento.

Nota:

Cuando se crea una interfaz de circuito cerrado adicional, es importante aplicarle un filtro para que el motor de enrutamiento esté protegido. Recomendamos que cuando aplique un filtro a la interfaz de circuito cerrado, incluya la apply-groups instrucción. Al hacerlo, se garantiza que el filtro se hereda automáticamente en todas las interfaces de circuito cerrado, incluidas lo0 y otras interfaces de circuito cerrado.

Fuentes de confianza

El uso típico de un filtro de firewall estándar sin estado es proteger los procesos y recursos del motor de enrutamiento de paquetes maliciosos o no confiables. Para proteger los procesos y recursos propiedad del motor de enrutamiento, puede usar un filtro de firewall sin estado estándar que especifique qué protocolos y servicios o aplicaciones pueden llegar al motor de enrutamiento. La aplicación de este tipo de filtro a la interfaz de circuito cerrado garantiza que los paquetes locales provienen de un origen de confianza y protege los procesos que se ejecutan en el motor de enrutamiento de un ataque externo.

Prevención de inundación

Puede crear filtros de firewall estándar sin estado que limiten cierto tráfico TCP e ICMP destinado al motor de enrutamiento. Un enrutador sin este tipo de protección es vulnerable a ataques de inundación TCP e ICMP, que también se denominan ataques de denegación de servicio (DoS). Por ejemplo:

  • Un ataque de inundación TCP de paquetes SYN que inician solicitudes de conexión puede sobrecargar el dispositivo hasta que ya no pueda procesar solicitudes de conexión legítimas, lo que da como resultado la denegación de servicio.

  • Una inundación ICMP puede sobrecargar el dispositivo con tantas solicitudes de eco (solicitudes de ping) que gasta todos sus recursos respondiendo y ya no puede procesar tráfico de red válido, lo que también resulta en denegación de servicio.

La aplicación de los filtros de firewall adecuados al motor de enrutamiento protege contra este tipo de ataques.

Uso de filtros de firewall estándar para afectar los paquetes de datos

Los filtros de firewall estándar que aplica a las interfaces de tránsito del enrutador evalúan solo los paquetes de datos de usuario que transitan por el enrutador de una interfaz directamente a otra, ya que se reenvían de un origen a un destino. Para proteger la red en su conjunto del acceso no autorizado y otras amenazas en interfaces específicas, puede aplicar filtros de firewall interfaces de tránsito de enrutador.