Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

逻辑系统上防火墙过滤器

防火墙过滤器提供的规则可定义接受或丢弃通过接口的数据包。有关详细信息,请参阅以下主题:

了解如何使用标准防火墙过滤器

使用标准防火墙过滤器影响本地数据包

在路由器上,您可以在接口上配置一个物理环路接口 lo0以及一个或多个地址。环路接口是路由接口,路由引擎运行和监控所有控制协议。环路接口仅承载本地数据包。应用于回传接口的标准防火墙过滤器将影响发往或从路由接口路由引擎。

注意:

创建附加回环接口时,必须应用过滤器,以便保护路由引擎安全。建议将过滤器应用于环路接口时,请包括 apply-groups 语句。这样可确保过滤器自动被继承到每个环路接口上,包括 lo0 和其他环路接口。

可信来源

标准无状态防火墙过滤器的典型用途是路由引擎进程和资源免受恶意或不受信任的数据包的攻击。为了保护应用程序拥有的进程和资源路由引擎,您可以使用标准无状态防火墙过滤器来指定允许哪些协议和服务或应用程序到达路由引擎。将这种类型的过滤器应用于环路接口可确保本地数据包来自可信源,并保护应用程序上运行路由引擎外部攻击。

防洪

您可以创建标准无状态防火墙过滤器,用于限制发往网络的某些 TCP 和 ICMP 路由引擎。没有这种保护的路由器容易受到 TCP 和 ICMP 泛滥攻击,也称为拒绝服务 (DoS) 攻击。例如:

  • 启动连接请求的 SYN 数据包的 TCP 泛滥攻击会吞没设备,直到设备无法再处理合法的连接请求,从而导致拒绝服务。

  • ICMP 泛滥使设备过载,出现大量回应请求(ping 请求),导致其所有资源均无法响应,无法再处理有效的网络流量,从而导致拒绝服务。

将适当的防火墙过滤器应用于 路由引擎可抵御这些类型的攻击。

使用标准防火墙过滤器影响数据包

应用于路由器过渡接口的标准防火墙过滤器仅评估从一个接口直接传输至另一个接口的用户数据包,因为它们正从来源转发至目标。为了保护整个网络免遭未经授权的访问和特定接口的其他威胁,您可以应用防火墙过滤器路由器传输接口。

示例:配置无状态防火墙过滤器以保护逻辑系统免遭 ICMP 泛滥

此示例说明了如何配置无状态防火墙过滤器,以防范逻辑拒绝服务上的 ICMP 和攻击。

要求

此示例不需要除设备初始化之外的特殊配置。

概述

此示例显示了一个称为 protect-RE 的无状态防火墙过滤器,用于管理 ICMP 数据包。将 ICMP 数据包的流量速率限制到 icmp-policer 1,000,000 bps,将突发大小限制到 15,000 字节。超过信息流速率的数据包将被丢弃。

该过滤器程序可以放入称为 的过滤器术语的操作中 icmp-term

此示例将 ping 从直接连接的物理路由器发送至逻辑系统上配置的接口。如果以高达 1 Mbps(带宽限制)的速率接收 ICMP 数据包,则逻辑系统接受这些数据包。超出此速率时,逻辑系统丢弃所有 ICMP 数据包。该 burst-size-limit 语句接受高达 15 Kbps 的流量突发。如果突发超过此限制,将丢弃所有数据包。当流速率降低时,将再次接受 ICMP 数据包。

拓扑

图 1 显示了此示例中使用的拓扑。

图 1:具有无状态防火墙的逻辑系统 Logical System with a Stateless Firewall

配置

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中 [edit]

程序

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器

要配置逻辑系统上的 ICMP 防火墙过滤器:

  1. 配置逻辑系统上的接口。

  2. 明确启用接口上接收 ICMP 数据包。

  3. 创建管理程序。

  4. 将策略器应用于过滤器术语。

  5. 将策略程序应用于逻辑系统接口。

  6. 如果完成设备配置,请提交配置。

结果

发出 命令以确认您的 show logical-systems LS1 配置。

验证

确认配置工作正常。

验证 Ping 是否有效,除非超出限制

目的

确保逻辑系统接口受到保护,免遭基于 ICMP DoS攻击。

行动

登录与逻辑系统连接并运行 命令 ping 的系统。

意义

发送正常 ping 时,数据包已被接受。发送超出过滤器限制的 ping 数据包时,数据包将被丢弃。

示例:在逻辑系统上配置基于过滤器的转发

此示例演示如何在逻辑系统内配置基于过滤器的转发。过滤器对数据包进行分类,以确定其入口路由设备的转发路径。

要求

此示例不需要除设备初始化之外的特殊配置。

概述

IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 支持基于过滤器的转发。

当客户有不同 ISP 提供的互联网连接但共享一个公用接入层时,使用基于过滤器的转发功能来选择服务提供商。使用共享介质(如电缆调制解调器)时,通用接入层的机制会查看第 2 层或第 3 层地址并区分客户。当通用接入层使用第 2 层交换机和单个路由器组合实施时,您可以使用基于过滤器的转发。

使用基于过滤器的转发,将视为在接口上接收的所有数据包。每个数据包都通过具有匹配条件的过滤器。如果满足过滤器的匹配条件且您创建了路由实例,则基于过滤器的转发将应用于数据包。数据包根据路由实例中指定的下一跳跃进行转发。对于静态路由,下一跳跃可以是特定 LSP。

注意:

在配置了基于过滤器的转发 (FBF) 的接口上,不支持源级使用过滤器匹配和单播反向路径转发检查。

要配置基于过滤器的转发,请执行以下任务:

  • 在入口路由器或交换机上创建匹配过滤器。要指定匹配过滤器,请包含 filter filter-name 层级的 [edit firewall] 语句。将经过过滤器的数据包与一组规则进行比较,以便对数据包进行分类并确定其在一组中的成员身份。分类后,数据包将转发到过滤器说明语言中接受操作中指定的路由表。然后,路由表将数据包转发至对应于表中目标地址条目的下一跳跃。

  • 创建路由实例,用于指定数据包转发至的路由表,以及数据包在 或 层次结构级别转发 [edit routing-instances] [edit logical-systems logical-system-name routing-instances] 至的目标。例如:

  • 创建一个路由表组,将接口路由添加到基于过滤器的转发 (FBF) 中使用的转发路由实例以及默认路由实例 inet.0 。此配置部分将路由实例中安装的路由解析为直接连接该接口上的下一跳跃。在 或 层次结构级别 [edit routing-options] 创建 [edit logical-systems logical-system-name routing-options] 路由表组。

注意:

指定 inet.0 为接口路由导入的路由实例之一。如果未指定默认 inet.0 实例,接口路由不会导入默认路由实例中。

此示例显示了一个包过滤器,根据数据包的源地址,将客户信息流引导至域的下一跳跃路由器 SP 1 或 SP 2。

如果该数据包有一个分配给 SP 1 客户的源地址,则使用 sp1-route-table.inet.0 路由表进行基于目的地的转发。如果该数据包有一个分配给 SP 2 客户的源地址,则使用 sp2-route-table.inet.0 路由表进行基于目的地的转发。如果数据包与以上任一情况不匹配,则过滤器接受数据包,然后使用标准 inet.0 路由表进行基于目的地的转发。

让基于过滤器的转发在逻辑系统内工作的一种方式是在接收数据包的逻辑系统上配置防火墙过滤器。另一种方式是在主路由器上配置防火墙过滤器,然后在防火墙过滤器中引用逻辑系统。此示例使用第二种方法。特定路由实例在逻辑系统内配置。由于每个路由实例都有其自己的路由表,因此您必须同时引用防火墙过滤器中的路由实例。语法如下所示:

拓扑

图 2 显示了此示例中使用的拓扑。

在逻辑系统 P1 上,输入过滤器对从逻辑系统 PE3 和逻辑系统 PE4 收到的数据包进行分类。数据包根据源地址进行路由。在 10.1.1.0/24 和 10.1.2.0/24 网络中具有源地址的数据包将路由到逻辑系统 PE1。在 10.2.1.0/24 和 10.2.2.0/24 网络中具有源地址的数据包将路由到逻辑系统 PE2。

图 2:具有基于过滤器的转发的逻辑系统 Logical Systems with Filter-Based Forwarding

要建立连接,OSPF接口均配置了此连接。出于演示目的,在路由设备上将环路接口地址配置为在云中表示网络。

"CLI配置"部分显示拓扑中所有设备的整个配置。在逻辑系统 P1上配置路由实例和在主路由器部分配置防火墙过滤器显示入口路由设备逻辑系统 P1 的逐步配置。

配置

CLI快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

在主路由器上配置防火墙过滤器

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器

要配置主路由器上的防火墙过滤器:

  1. 配置 SP1 客户的源地址。

  2. 配置使用指定源地址接收数据包时采取的操作。

    要跟踪防火墙过滤器的操作,将配置日志操作。逻辑系统 P1 上的 sp1-route-table.inet.0 路由表可路由数据包。

  3. 配置 SP2 客户的源地址。

  4. 配置使用指定源地址接收数据包时采取的操作。

    要跟踪防火墙过滤器的操作,将配置日志操作。逻辑系统 P1 上的 sp2-route-table.inet.0 路由表对数据包进行路由。

  5. 配置从任何其他源地址接收数据包时要采取的操作。

    所有这些数据包均使用默认 IPv4 单播路由表 inet.0 接受和路由。

配置逻辑系统 P1 上的路由实例

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器

要配置逻辑系统上的路由实例:

  1. 配置逻辑系统上的接口。

  2. classify-customers 防火墙过滤器分配给路由器接口 lt-1/2/0.10 作为输入包过滤器。

  3. 使用路由协议或静态路由配置连接。

    最佳做法是禁用管理接口上的路由。

  4. 创建路由实例。

    这些路由实例在防火墙过滤器 classify-customers 中引用。

    转发实例类型支持基于过滤器的转发,其中接口不与实例相关联。所有接口都属于默认实例,在这种情况下,逻辑系统 P1。

  5. 将路由实例中安装的路由解析为直接连接的下一跳跃。

  6. 将路由表组合在一起以形成路由表组。

    第一个路由表 inet.0 是主路由表,其他路由表是辅助路由表。

    主路由表用于确定路由表组的地址族,在这种情况下为 IPv4。

  7. 将路由表组应用到OSPF。

    这会使OSPF路由安装到组中所有路由表中。

  8. 如果完成设备配置,请提交配置。

结果

发出 和 命令以确认 show firewall show logical-systems P1 您的配置。

验证

确认配置工作正常。

使用指定源地址执行 Ping 操作

目的

在整个网络中发送一些 ICMP 数据包以测试防火墙过滤器。

行动
  1. 登录逻辑系统 PE3。

  2. 运行 ping 命令,对逻辑系统 PE1 上的 lo0.3 接口执行 ping 操作。

    此接口上配置的地址为 172.16.1.1。

    指定源地址 10.1.2.1,这是逻辑系统 PE3 上的 lo0.1 接口上配置的地址。

  3. 登录逻辑系统 PE4。

  4. 运行 ping 命令,对逻辑系统 PE2 上的 lo0.4 接口执行 ping 操作。

    此接口上配置的地址为 172.16.2.2。

    指定源地址 10.2.1.1,这是逻辑系统 PE4 上的 lo0.2 接口上配置的地址。

意义

发送这些 ping 将激活防火墙过滤器操作。

验证防火墙过滤器

目的

确保防火墙过滤器操作生效。

行动
  1. 登录逻辑系统 P1。

  2. show firewall log 逻辑系统 P1 上运行 命令。