Definieren eines Firewall-Filters auf Routern der M-, MX- und T-Serie zur Auswahl des Datenverkehrs für die aktive Datenstromüberwachung
Der erste Schritt bei der Überwachung des aktiven Datenstroms besteht darin, die Übereinstimmungsbedingungen für akzeptablen Datenverkehr oder isolierten Datenverkehr zu konfigurieren. Zu den gängigen Abgleichsaktionen für die Überwachung des aktiven Datenstroms gehören Sample, Discard Accounting, Port-Mirror und Accept. Fügen Sie zur Konfiguration die gewünschten Aktionsanweisungen und einen Zähler als Teil der then Anweisung in einen Firewallfilter ein, und wenden Sie den Filter auf eine Schnittstelle an.
Bei der Stichprobenerstellung überprüft der Router einen Teil des Datenverkehrs und sendet Berichte über diese Stichprobe an den Datenstromüberwachungsserver. Der verworfene Buchhaltungsdatenverkehr wird gezählt und überwacht, aber nicht aus dem Router weitergeleitet. Portgespiegelter Datenverkehr wird kopiert und an eine andere Schnittstelle gesendet. Akzeptierter Datenverkehr wird an das vorgesehene Ziel weitergeleitet.
Die meisten dieser Kombinationen sind gültig. Sie können jedoch denselben Datenverkehr zur gleichen Zeit entweder portspiegeln oder abtasten, aber nicht mehr als eine Aktion gleichzeitig für dieselben Pakete ausführen.
[edit]
firewall {
family inet {
filter active_filter {
term quarantined_traffic {
from {
source-address {
10.36.1.2/32;
}
}
then {
count quarantined-counter;
sample;
discard accounting;
}
}
term copy_and_forward_the_rest {
then {
port-mirror;
accept;
}
}
}
}
}