边缘路由器的入口过滤及性能问题

Question

RFC 4778早在2007年就涵盖了ISP环境中的操作安全实践。

在最佳实践中，一个常见的做法是边缘路由器的入侵过滤。在上述RFC中，作者说：

在过滤能力方面缺乏一致性，特别是在性能问题上，导致一些ISP没有为入口过滤实现BCP38和BCP84准则。其中一个例子是边缘盒，其中多达1000 T1s连接到具有OC-12 (光载波)上行链路的路由器。一些已部署的设备在过滤方面有很大的性能影响，虽然入口过滤(uRPF)可能适用于连接这些聚合路由器的设备，但这对于传递客户流量是不可接受的。在业绩不成问题的地方，is会在管理和风险之间进行权衡。

对性能的影响是否是网络运营商关注的一个问题，即不在其网络上部署入口过滤？还有什么要担心的吗？你能提供一些证据来支持你的论点吗？

谢谢大家的回答。

Answer 1

这在很大程度上取决于特定的路由器模型。大多数较新的、高性能的路由器可以在硬件中进行过滤--这意味着它们可以以在线速率进行过滤。所以不影响性能。但是许多ISP(和其他地方也一样)使用旧设备(甚至从2007年起)，因为“如果它起作用，为什么要改变？”

对于管理风险，每一个ISP都有意识地或无意识地决定在维护这些访问列表时涉及到多大的风险--它们需要更改的频率、测试方式、错误的影响等等。