Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de cómo usar filtros estándar de firewall

Uso de filtros de firewall estándar para afectar paquetes locales

En un enrutador, puede configurar una interfaz lo0física de circuito cerrado y una o varias direcciones en la interfaz. La interfaz de circuito cerrado es la interfaz con el motor de enrutamiento, que ejecuta y monitorea todos los protocolos de control. La interfaz de circuito cerrado solo transporta paquetes locales. Los filtros de firewall estándar aplicados a la interfaz de circuito cerrado afectan a los paquetes locales destinados o transmitidos desde el motor de enrutamiento.

Nota:

Cuando se crea una interfaz adicional de circuito cerrado, es importante aplicar un filtro para que el motor de enrutamiento esté protegido. Se recomienda que cuando aplique un filtro a la interfaz de circuito cerrado, incluya la apply-groups instrucción. Al hacerlo, se garantiza que el filtro se hereda automáticamente en cada interfaz de circuito cerrado, incluidas lo0 y otras interfaces de circuito cerrado.

Fuentes de confianza

El uso típico de un filtro de firewall estándar sin estado es para proteger los procesos y recursos del motor de enrutamiento de paquetes maliciosos o no de confianza. Para proteger los procesos y recursos que pertenecen al motor de enrutamiento, puede usar un filtro de firewall estándar sin estado que especifique qué protocolos y servicios, o aplicaciones, pueden comunicarse con el motor de enrutamiento. La aplicación de este tipo de filtro a la interfaz de circuito cerrado garantiza que los paquetes locales sean de un origen confiable y protege los procesos que se ejecutan en el motor de enrutamiento de un ataque externo.

Prevención de inundación

Puede crear filtros estándar de firewall sin estado que limiten cierto tráfico TCP e ICMP destinado al motor de enrutamiento. Un enrutador sin este tipo de protección es vulnerable a los ataques de inundación TCP e ICMP, que también se denominan ataques de denegación de servicio (DoS). Por ejemplo:

  • Un ataque de inundación TCP de paquetes SYN que inician solicitudes de conexión puede abrumar al dispositivo hasta que ya no pueda procesar solicitudes de conexión legítimas, lo que da como resultado la denegación de servicio.

  • Una inundación de ICMP puede sobrecargar el dispositivo con tantas solicitudes de eco (ping) que gasta todos sus recursos respondiendo y ya no puede procesar tráfico de red válido, lo que también da lugar a una denegación de servicio.

La aplicación de los filtros de firewall adecuados al motor de enrutamiento protege contra este tipo de ataques.

Uso de filtros de firewall estándar para afectar los paquetes de datos

Los filtros de firewall estándar que aplica a las interfaces de tránsito del enrutador evalúan solo los paquetes de datos de usuario que transitan el enrutador de una interfaz directamente a otra a medida que se reenvían de un origen a un destino. Para proteger la red en su conjunto de accesos no autorizados y otras amenazas en interfaces específicas, puede aplicar filtros de firewall interfaces de tránsito del enrutador.

Temas relacionados