Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro de firewall sem estado para proteger um sistema lógico contra inundações de ICMP

Este exemplo mostra como configurar um filtro de firewall sem estado que protege contra ataques de negação de serviço do ICMP em um sistema lógico.

Requisitos

Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.

Visão geral

Este exemplo mostra um filtro de firewall sem estado chamado protect-RE que policia pacotes ICMP. Isso icmp-policer limita a taxa de tráfego dos pacotes ICMP a 1.000.000 bps e o tamanho da explosão para 15.000 bytes. Pacotes que excedem a taxa de tráfego são descartados.

O policial é incorporado à ação de um termo de filtro chamado icmp-term.

Neste exemplo, um ping é enviado de um roteador físico conectado diretamente para a interface configurada no sistema lógico. O sistema lógico aceita os pacotes ICMP se eles forem recebidos a uma taxa de até 1 Mbps (limite de largura de banda). O sistema lógico derruba todos os pacotes de ICMP quando essa taxa é excedida. A burst-size-limit declaração aceita rajadas de tráfego de até 15 Kbps. Se as rajadas excederem esse limite, todos os pacotes serão descartados. Quando a taxa de fluxo diminui, os pacotes de ICMP são novamente aceitos.

Topologia

Figura 1 mostra a topologia usada neste exemplo.

Figura 1: Sistema lógico com um firewall sem estadoSistema lógico com um firewall sem estado

Configuração

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar um filtro de firewall ICMP em um sistema lógico:

  1. Configure a interface no sistema lógico.

  2. Habilite explicitamente os pacotes de ICMP a serem recebidos na interface.

  3. Crie o policial.

  4. Aplique o policial em um termo de filtro.

  5. Aplique o policiador na interface lógica do sistema.

  6. Se você terminar de configurar o dispositivo, confirme a configuração.

Resultados

Confirme sua configuração emitindo o show logical-systems LS1 comando.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificar se o ping funciona a menos que os limites sejam excedidos

Propósito

Certifique-se de que a interface lógica do sistema esteja protegida contra ataques DoS baseados em ICMP.

Ação

Faça login em um sistema que tenha conectividade ao sistema lógico e execute o ping comando.

Significado

Quando você envia um ping normal, o pacote é aceito. Quando você envia um pacote de ping que excede o limite do filtro, o pacote é descartado.