Definieren eines Firewall-Filters für Router der M-, MX- und T-Serie zur Auswahl des Datenverkehrs für aktive Datenstromüberwachung
Der erste Schritt bei der aktiven Datenstromüberwachung besteht darin, die Übereinstimmungsbedingungen für akzeptablen Datenverkehr oder isolierten Datenverkehr zu konfigurieren. Zu den allgemeinen Abgleichaktionen für die aktive Datenstromüberwachung gehören Sample, Verwerfen der Buchhaltung, Port-Spiegelung und Annahme. Fügen Sie zur Konfiguration die gewünschten Handlungsanweisungen und einen Zähler als Teil der then Anweisung in einen Firewall-Filter ein und wenden Sie den Filter auf eine Schnittstelle an.
In Stichproben überprüft der Router einen Teil des Datenverkehrs und sendet Berichte über dieses Beispiel an den Datenstromüberwachungsserver. Verwerfen des Accounting-Datenverkehrs wird gezählt und überwacht, aber nicht aus dem Router weitergeleitet. Portgespiegelter Datenverkehr wird kopiert und an eine andere Schnittstelle gesendet. Akzeptierter Datenverkehr wird an das beabsichtigte Ziel weitergeleitet.
Die meisten dieser Kombinationen sind gültig. Sie können jedoch entweder Port-Spiegelung oder Stichproben mit demselben Datenverkehr gleichzeitig durchführen, aber nicht mehr als eine Aktion gleichzeitig für dieselben Pakete ausführen.
[edit]
firewall {
family inet {
filter active_filter {
term quarantined_traffic {
from {
source-address {
10.36.1.2/32;
}
}
then {
count quarantined-counter;
sample;
discard accounting;
}
}
term copy_and_forward_the_rest {
then {
port-mirror;
accept;
}
}
}
}
}