Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Использование стандартных фильтров межсетевых экранов

Использование стандартных фильтров брандмауэра для влияния на локальные пакеты

На маршрутизаторе можно настроить один физический интерфейс обратной связи с одним или более lo0 адресами на интерфейсе. Интерфейс обратной связи является интерфейсом для модуль маршрутизации, который выполняет и отслеживает все протоколы управления. Интерфейс обратной связи передает только локальные пакеты. Стандартные фильтры межсетевых экранов, применяемые к интерфейсу обратной связи, влияют на локальные пакеты, предназначенные или передаваемые из модуль маршрутизации.

Прим.:

При создании дополнительного интерфейса обратной связи важно применить к нем фильтр, чтобы модуль маршрутизации защищен. Рекомендуется при применении фильтра к интерфейсу обратной связи включаем эту apply-groups утверждение. Это гарантирует, что фильтр автоматически наследуется на каждом интерфейсе обратной связи, включая и другие интерфейсы lo0 обратной связи.

Доверенные источники

Стандартное использование фильтра межсетевых экранов без с состоянием состояния типично для защиты модуль маршрутизации процессов и ресурсов от вредоносных или недоверных пакетов. Чтобы защитить процессы и ресурсы, которые принадлежат модуль маршрутизации, можно использовать стандартный фильтр межсетевых экранов без с состояния, который определяет, какие протоколы и службы или приложения могут быть разрешены для доступа модуль маршрутизации. Применение фильтра этого типа к интерфейсу обратной связи позволяет защитить локальные пакеты от надежного источника и защитить процессы, запущенные на модуль маршрутизации от внешней атаки.

Предотвращение переполоха

Можно создать стандартные фильтры межсетевых экранов без с состояния, которые ограничивают определенный трафик TCP и ICMP, предназначенный для модуль маршрутизации. Маршрутизатор без такого типа защиты подвержен атакам TCP и ICMP, которые также называются отказ в обслуживании (DoS) атаками. Например:

  • Атака TCP с переполнением ПАКЕТов SYN, инициацющих запросы на подключение, может привести к переполнению устройства до тех пор, пока оно не сможет обрабатывать легитимные запросы соединения, что приводит к отказ в обслуживании.

  • Затопление ICMP может перегрузить устройство таким количеством эхо-запросов (ping-запросов), что оно расходовает все свои ресурсы на ответ и больше не может обрабатывать допустимый сетевой трафик, что также приводит к отказ в обслуживании.

Применение соответствующих фильтров межсетевых экранов к модуль маршрутизации защищает от этих типов атак.

Использование стандартных фильтров брандмауэра для влияния на пакеты данных

Стандартные фильтры межсетевых экранов, которые применяются к транзитным интерфейсам маршрутизатора, оценивают только пакеты данных пользователя, которые транзитят маршрутизатор от одного интерфейса напрямую к другому в момент их передачи от источника к месту назначения. Чтобы защитить сеть в целом от несанкционированного доступа и других угроз на отдельных интерфейсах, можно применить фильтры межсетевых экранов транзитные интерфейсы маршрутизатора.