Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Zustandsbehaftete Firewalls

Junos Network Secure – Überblick

Router verwenden Firewalls, um den Datenverkehrsfluss zu verfolgen und zu steuern. Adaptive Services und MultiServices-PICs verwenden einen Firewalltyp, der als . Im Gegensatz zu einer Firewall, die Pakete isoliert untersucht, bietet eine Stateful-Firewall eine zusätzliche Sicherheitsebene, indem sie Zustandsinformationen aus früheren Kommunikationen und anderen Anwendungen nutzt, um dynamische Steuerungsentscheidungen für neue Kommunikationsversuche zu treffen.

Anmerkung:

Auf Routern der ACX-Serie wird die Stateful-Firewall-Konfiguration nur auf den ACX500-Routern für den Innenbereich unterstützt.

Zustandsbehaftete Firewalls gruppieren relevante in . Ein Flow wird durch die folgenden fünf Eigenschaften identifiziert:

  • Quelladresse

  • Quellport

  • Zieladresse

  • Zielport

  • Protokoll

Eine typische TCP- (Transmission Control Protocol) oder UDP-Konversation (User Datagram Protocol) besteht aus zwei Datenströmen: dem Initiierungsfluss und dem Responder-Fluss. Einige Konversationen, z. B. eine FTP-Konversation, können jedoch aus zwei Ablaufsteuerungen und vielen Datenflüssen bestehen.

Firewall-Regeln regeln, ob die Konversation aufgebaut werden darf. Wenn eine Konversation zulässig ist, sind alle Flows innerhalb der Konversation zulässig, einschließlich Flows, die während des Lebenszyklus der Konversation erstellt werden.

Sie konfigurieren zustandsbehaftete Firewalls mit einem leistungsstarken, regelgesteuerten Pfad für die Konversationsverarbeitung. A besteht aus Richtung, Quelladresse, Quellport, Zieladresse, Zielport, IP-Protokollwert und Anwendungsprotokoll oder -dienst. Zusätzlich zu den spezifischen Werten, die Sie konfigurieren, können Sie den Wert any Regelobjekten, Adressen oder Ports zuweisen, sodass sie mit jedem Eingabewert übereinstimmen können. Schließlich können Sie optional die Regelobjekte negieren, wodurch das Ergebnis der typspezifischen Übereinstimmung negiert wird.

Firewall-Regeln sind richtungsgebunden. Bei jeder neuen Konversation prüft die Router-Software den Initiierungsablauf, der mit der durch die Regel angegebenen Richtung übereinstimmt.

Firewall-Regeln sind geordnet. Die Software prüft die Regeln in der Reihenfolge, in der Sie sie in die Konfiguration aufnehmen. Wenn die Firewall zum ersten Mal eine Übereinstimmung entdeckt, führt der Router die in dieser Regel angegebene Aktion aus. Regeln, die noch nicht aktiviert sind, werden ignoriert.

Anmerkung:

Ab Junos OS Version 14.2 unterstützen MS-MPC- und MS-MIC-Schnittstellenkarten IPv6-Datenverkehr für die Junos Network Secure Stateful Firewall.

Weitere Informationen finden Sie unter Konfigurieren von Regeln für zustandsbehaftete Firewalls.

Stateful-Firewall-Unterstützung für Anwendungsprotokolle

Durch die Prüfung der Anwendungsprotokolldaten kann die AS- oder MultiServices-PIC-Firewall Sicherheitsrichtlinien intelligent durchsetzen und nur den minimal erforderlichen Paketverkehr durch die Firewall fließen lassen.

Die Firewall-Regeln werden in Bezug auf eine Schnittstelle konfiguriert. Standardmäßig lässt die Stateful-Firewall zu, dass alle Sitzungen, die von den Hosts hinter der Schnittstelle initiiert werden, über den Router geleitet werden.

Anmerkung:

Zustandsgesteuerte Firewall-ALGs werden auf ACX500-Routern nicht unterstützt.

Zustandsbehaftete Firewall Anomalieprüfung

Die Stateful Firewall erkennt folgende Ereignisse als Anomalien und sendet diese zur Verarbeitung an die IDS-Software:

  • IP-Anomalien:

    • Die IP-Version ist nicht korrekt.

    • Das Feld für die Länge des IP-Headers ist zu klein.

    • Die Länge des IP-Headers ist größer als das gesamte Paket.

    • Ungültige Header-Prüfsumme.

    • Das Feld für die IP-Gesamtlänge ist kürzer als die Headerlänge.

    • Das Paket enthält falsche IP-Optionen.

    • ICMP-Fehler (Internet Control Message Protocol).

    • Die Gültigkeitsdauer (Time-to-Live, TTL) ist gleich 0.

  • IP-Adressanomalien:

    • Bei der IP-Paketquelle handelt es sich um einen Broadcast oder Multicast.

    • Land-Angriff (Quell-IP gleich Ziel-IP).

  • IP-Fragmentierungsanomalien:

    • IP-Fragmentüberlappung.

    • IP-Fragment übersehen.

    • Fehler bei der Länge des IP-Fragments.

    • Die IP-Paketlänge beträgt mehr als 64 Kilobyte (KB).

    • Winziger Fragment-Angriff.

  • TCP-Anomalien:

    • TCP-Port 0.

    • TCP-Sequenznummer 0 und Flags 0.

    • TCP-Sequenznummer 0 und FIN/PSH/RST-Flags gesetzt.

    • TCP-Flags mit falscher Kombination (TCP, FIN/RST oder SYN/(URG|FIN|RST).

    • Ungültige TCP-Prüfsumme.

  • UDP-Anomalien:

    • UDP-Quell- oder -Zielport 0.

    • Die Überprüfung der Länge des UDP-Headers ist fehlgeschlagen.

    • Ungültige UDP-Prüfsumme.

  • Anomalien, die durch zustandsbehaftete TCP- oder UDP-Prüfungen gefunden wurden:

    • SYN gefolgt von SYN-ACK-Paketen ohne ACK vom Initiator.

    • SYN gefolgt von RST-Paketen.

    • SYN ohne SYN-ACK.

    • Erstes Nicht-SYN-Datenstrompaket.

    • ICMP-Fehler "nicht erreichbar" für SYN-Pakete.

    • ICMP-Fehler "nicht erreichbar" für UDP-Pakete.

  • Pakete, die gemäß den Regeln für zustandsbehaftete Firewalls verworfen wurden.

Anmerkung:

ACX500-Router unterstützen keine IP-Fragmentierungsanomalien.

Wenn Sie die zustandsbehaftete Anomalieerkennung in Verbindung mit einer zustandslosen Erkennung einsetzen, kann IDS eine Frühwarnung für eine Vielzahl von Angriffen bereitstellen, darunter:

  • TCP- oder UDP-Netzwerksonden und Port-Scanning

  • SYN-Flood-Angriffe

  • Auf IP-Fragmentierung basierende Angriffe wie Teardrop, Bonk und Boink

Konfigurieren von Regeln für zustandsbehaftete Firewalls

Um eine zustandsbehaftete Firewallregel zu konfigurieren, fügen Sie die Anweisung rule rule-name auf Hierarchieebene [edit services stateful-firewall] ein:

Anmerkung:

ACX500-Router unterstützen keine Anwendungen und Anwendungssätze auf der Hierarchieebene [edit services stateful-firewall rule rule-name term term-name from].
Anmerkung:

Fügen Sie auf ACX500-Routern die stateful-firewall-logs CLI-Anweisung auf der Hierarchieebene [edit services service-set service-set-name syslog host local class] ein, um syslog zu aktivieren.
Anmerkung:

edit services stateful-firewall Hierarchie wird auf der SRX-Serie nicht unterstützt.

Jede zustandsbehaftete Firewallregel besteht aus einer Reihe von Begriffen, ähnlich einem Filter, der auf Hierarchieebene [edit firewall] konfiguriert ist. Ein Begriff besteht aus Folgendem:

  • from -Anweisung – Gibt die Übereinstimmungsbedingungen und Anwendungen an, die ein- und ausgeschlossen werden. Die from Anweisung ist in zustandsbehafteten Firewallregeln optional.

  • then -Anweisung – Gibt die Aktionen und Aktionsmodifikatoren an, die von der Router-Software ausgeführt werden sollen. Die then Anweisung ist in Stateful-Firewall-Regeln obligatorisch.

Router der ACX500-Serie unterstützen Folgendes bei der Konfiguration von Stateful-Firewall-Regeln nicht:

  • match-direction (output | input-output)

  • post-service-filter auf der Ebene der Schnittstellendiensteingabe-Hierarchieebene.

  • IPv6-Quell- und Zieladresse.

  • application-setsallow-ip-options, applicationauf der Hierarchieebene [edit services stateful-firewall].

  • Gateways auf Anwendungsebene (ALGs).

  • Verkettung von Diensten innerhalb der Multiservices Modular Interfaces Card (MS-MIC) und mit Inline-Services (-si).

  • Class of Service.

  • Die folgenden show services stateful-firewall CLI-Befehle werden nicht unterstützt:

    • show services stateful-firewall conversations—Unterhaltungen anzeigen

    • show services stateful-firewall flow-analysis– Flow-Tabelleneinträge anzeigen

    • show services stateful-firewall redundancy-statistics—Redundanzstatistik anzeigen

    • show services stateful-firewall sip-call– SIP-Anrufinformationen anzeigen

    • show services stateful-firewall sip-register—SIP-Registerinformationen anzeigen

    • show services stateful-firewall subscriber-analysis: Einträge in der Abonnententabelle anzeigen

In den folgenden Abschnitten wird erläutert, wie die Komponenten zustandsbehafteter Firewallregeln konfiguriert werden:

Konfigurieren der Übereinstimmungsrichtung für zustandsbehaftete Firewallregeln

Jede Regel muss eine match-direction Anweisung enthalten, die die Richtung angibt, in der die Regelübereinstimmung angewendet wird. Um zu konfigurieren, wo die Übereinstimmung angewendet wird, fügen Sie die match-direction Anweisung auf der [edit services stateful-firewall rule rule-name] Hierarchieebene ein:

Anmerkung:

Router der ACX500-Serie unterstützen match-direction (output | input-output)keine .

Wenn Sie konfigurieren match-direction input-output, entsprechen Sitzungen, die aus beiden Richtungen initiiert werden, möglicherweise dieser Regel.

Die Abgleichsrichtung wird in Bezug auf den Datenverkehrsfluss durch das AS- oder Multiservices-PIC verwendet. Wenn ein Paket an das PIC gesendet wird, werden Richtungsinformationen mitgeführt.

Bei einem Schnittstellenservicesatz wird die Paketrichtung dadurch bestimmt, ob ein Paket die Schnittstelle, auf die der Servicesatz angewendet wird, betritt oder verlässt.

Bei einem Next-Hop-Servicesatz wird die Paketrichtung durch die Schnittstelle bestimmt, die für die Weiterleitung des Pakets an das AS- oder Multiservices-PIC verwendet wird. Wenn die interne Schnittstelle zum Weiterleiten des Pakets verwendet wird, wird die Paketrichtung eingegeben. Wenn die externe Schnittstelle verwendet wird, um das Paket an das PIC zu leiten, wird die Paketrichtung ausgegeben. Weitere Informationen zu internen und externen Schnittstellen finden Sie unter Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen.

Auf dem PIC wird eine Flow-Suche durchgeführt. Wenn kein Flow gefunden wird, wird die Regelverarbeitung ausgeführt. Die Regeln in diesem Servicesatz werden der Reihe nach betrachtet, bis eine Übereinstimmung gefunden wird. Bei der Regelverarbeitung wird die Paketrichtung mit den Regelrichtungen verglichen. Es werden nur Regeln mit Richtungsinformationen berücksichtigt, die mit der Paketrichtung übereinstimmen. Die meisten Pakete führen zur Erstellung von bidirektionalen Datenströmen.

Konfigurieren von Übereinstimmungsbedingungen in zustandsbehafteten Firewallregeln

Um die Übereinstimmungsbedingungen für zustandsbehaftete Firewalls zu konfigurieren, schließen Sie die from Anweisung auf der [edit services stateful-firewall rule rule-name term term-name] Hierarchieebene ein:

Anmerkung:

ACX500-Router unterstützen keine Anwendungen und Anwendungssätze auf der Hierarchieebene [edit services stateful-firewall rule rule-name term term-name from].

Die Quell- und Zieladresse kann entweder IPv4 oder IPv6 sein.

Sie können entweder die Quelladresse oder die Zieladresse als Übereinstimmungsbedingung verwenden, genauso wie Sie einen Firewallfilter konfigurieren würden. Weitere Informationen finden Sie im Benutzerhandbuch zu Routing-Richtlinien, Firewall-Filtern und Datenverkehrsrichtlinien. Sie können die Platzhalterwerte any-unicastverwenden, die angeben, dass alle Unicastadressen übereinstimmen, any-ipv4, was bedeutet, dass alle IPv4-Adressen übereinstimmen, oder any-ipv6, was bedeutet, dass alle IPv6-Adressen übereinstimmen.

Alternativ können Sie eine Liste von Quell- oder Zielpräfixen angeben, indem Sie die prefix-list Anweisung auf Hierarchieebene [edit policy-options] konfigurieren und dann entweder die destination-prefix-list Anweisung oder in source-prefix-list die zustandsbehaftete Firewallregel aufnehmen. Ein Beispiel finden Sie unter Beispiele: Konfigurieren von zustandsbehafteten Firewallregeln.

Wenn Sie den from Begriff weglassen, akzeptiert die zustandsbehaftete Firewall den gesamten Datenverkehr, und die Standardprotokollhandler werden wirksam:

  • User Datagram Protocol (UDP), Transmission Control Protocol (TCP) und Internet Control Message Protocol (ICMP) erzeugen einen bidirektionalen Fluss mit einem vorhergesagten Reverse-Flow.

  • IP erzeugt einen unidirektionalen Fluss.

Sie können auch Anwendungsprotokolldefinitionen einschließen, die Sie auf Hierarchieebene [edit applications] konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von Anwendungseigenschaften.

  • Um eine oder mehrere spezifische Anwendungsprotokolldefinitionen anzuwenden, fügen Sie die applications Anweisung auf der [edit services stateful-firewall rule rule-name term term-name from] Hierarchieebene ein.

  • Wenn Sie eine oder mehrere von Ihnen definierte Gruppen von Anwendungsprotokolldefinitionen anwenden möchten, schließen Sie die application-sets Anweisung auf der [edit services stateful-firewall rule rule-name term term-name from] Hierarchieebene ein.

    Anmerkung:

    Wenn Sie eine der Anweisungen einschließen, die Anwendungsprotokolle angeben, leitet der Router Port- und Protokollinformationen aus der entsprechenden Konfiguration auf Hierarchieebene [edit applications] ab. Sie können diese Eigenschaften nicht als Übereinstimmungsbedingungen angeben.

Konfigurieren von Aktionen in zustandsbehafteten Firewallregeln

Um zustandsbehaftete Firewallaktionen zu konfigurieren, fügen Sie die then Anweisung auf Hierarchieebene [edit services stateful-firewall rule rule-name term term-name] ein:

Sie müssen eine der folgenden Aktionen einschließen:

  • acceptDas Paket wird angenommen und an sein Ziel gesendet.

  • accept skip-idsDas Paket wird angenommen und an sein Ziel gesendet, aber die Verarbeitung von IDS-Regeln, die auf einer MS-MPC konfiguriert ist, wird übersprungen.

  • discardDas Paket wird nicht angenommen und nicht weiter verarbeitet.

  • rejectDas Paket wird nicht akzeptiert und es wird eine Ablehnungsmeldung zurückgegeben. UDP sendet einen ICMP-Unreachable-Code und TCP sendet RST. Abgelehnte Pakete können protokolliert oder gesampelt werden.

Anmerkung:

Die ACX500-Router für den Innenbereich unterstützen diese Aktion accept skip-idsnicht.

Optional können Sie die Firewall so konfigurieren, dass Informationen in der Systemprotokollierungsfunktion aufgezeichnet werden, indem Sie die syslog Anweisung auf Hierarchieebene [edit services stateful-firewall rule rule-name term term-name then] einschließen. Diese Anweisung überschreibt alle syslog Einstellungen, die in der Standardkonfiguration des Dienstsatzes oder der Schnittstelle enthalten sind.

Konfigurieren der IP-Optionsbehandlung

Optional können Sie die Firewall so konfigurieren, dass sie IP-Headerinformationen überprüft, indem Sie die allow-ip-options Anweisung auf Hierarchieebene [edit services stateful-firewall rule rule-name term term-name then] einschließen. Wenn Sie diese Anweisung konfigurieren, werden alle Pakete, die den in der from Anweisung angegebenen Kriterien entsprechen, zusätzlichen Übereinstimmungskriterien unterworfen. Ein Paket wird nur akzeptiert, wenn alle seine IP-Optionstypen als Werte in der allow-ip-options Anweisung konfiguriert sind. Wenn Sie keine Konfiguration allow-ip-optionsvornehmen, werden nur Pakete ohne IP-Header-Optionen akzeptiert.

Anmerkung:

ACX500-Innenrouter unterstützen die Konfiguration von allow-ip-options Anweisungen nicht.

Die zusätzliche Überprüfung der IP-Header-Option gilt nur für die und zustandsbehafteten accept reject Firewall-Aktionen. Diese Konfiguration hat keine Auswirkungen auf die discard Aktion. Wenn die IP-Headerüberprüfung fehlschlägt, werden keine Ablehnungsrahmen gesendet. In diesem Fall hat die reject Aktion die gleiche Wirkung wie .discard

Wenn ein IP-Optionspaket von der Stateful-Firewall akzeptiert wird, werden Network Address Translation (NAT) und Intrusion Detection Service (IDS) auf die gleiche Weise angewendet wie auf Pakete ohne IP-Optionsheader. Die IP-Optionskonfiguration wird nur in den Stateful-Firewall-Regeln angezeigt. NAT gilt für Pakete mit oder ohne IP-Optionen.

Wenn ein Paket verworfen wird, weil es die IP-Optionsüberprüfung nicht besteht, generiert dieses Ausnahmeereignis sowohl IDS-Ereignis- als auch Systemprotokollmeldungen. Der Ereignistyp hängt vom ersten abgelehnten IP-Optionsfeld ab.

Tabelle 1 listet die möglichen Werte für die Anweisung allow-ip-options auf. Sie können einen Bereich oder eine Reihe von numerischen Werten oder eine oder mehrere der vordefinierten IP-Optionseinstellungen einschließen. Sie können entweder den Optionsnamen oder eine numerische Entsprechung eingeben. Weitere Informationen finden Sie unter http://www.iana.org/assignments/ip-parameters.

Tabelle 1: IP-Optionswerte

Name der IP-Option

Numerischer Wert

Kommentar

any

0

Beliebige IP-Option

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

Siehe auch

Konfigurieren von Regelsätzen für zustandsbehaftete Firewalls

Die rule-set Anweisung definiert eine Sammlung von zustandsbehafteten Firewall-Regeln, die bestimmen, welche Aktionen die Routersoftware für Pakete im Datenstrom ausführt. Sie definieren jede Regel, indem Sie einen Regelnamen angeben und Begriffe konfigurieren. Anschließend geben Sie die Reihenfolge der Regeln an, indem Sie die rule-set Anweisung auf der Hierarchieebene [edit services stateful-firewall] mit einer rule Anweisung für jede Regel einschließen:

Die Router-Software verarbeitet die Regeln in der Reihenfolge, in der Sie sie in der Konfiguration angeben. Wenn ein Begriff in einer Regel mit dem Paket übereinstimmt, führt der Router die entsprechende Aktion aus und die Regelverarbeitung wird gestoppt. Wenn kein Begriff in einer Regel mit dem Paket übereinstimmt, wird die Verarbeitung mit der nächsten Regel im Regelsatz fortgesetzt. Wenn keine der Regeln mit dem Paket übereinstimmt, wird das Paket standardmäßig verworfen.

Beispiele: Konfigurieren von zustandsbehafteten Firewallregeln

Das folgende Beispiel zeigt eine zustandsbehaftete Firewallkonfiguration mit zwei Regeln, eine für den Eingabeabgleich in einem angegebenen Anwendungssatz und die andere für den Ausgabeabgleich in einer angegebenen Quelladresse:

Das folgende Beispiel enthält eine einzelne Regel mit zwei Begriffen. Der erste Begriff lehnt den gesamten eingehenden my-application-group Datenverkehr ab, der von der angegebenen Quelladresse stammt, und stellt einen detaillierten Systemprotokolldatensatz der abgelehnten Pakete bereit. Der zweite Begriff akzeptiert HTTP-Datenverkehr (Hypertext Transfer Protocol) von einem beliebigen Benutzer an die angegebene Zieladresse.

Das folgende Beispiel zeigt die Verwendung von Quell- und Zielpräfixlisten. Hierfür sind zwei separate Konfigurationselemente erforderlich.

Sie konfigurieren die Präfixliste auf Hierarchieebene [edit policy-options] :

Sie verweisen auf die konfigurierte Präfixliste in der Stateful-Firewall-Regel:

Dies entspricht der folgenden Konfiguration:

Sie können den except Qualifizierer mit den Präfixlisten verwenden, wie im folgenden Beispiel gezeigt. In diesem Fall gilt der Qualifizierer für alle Präfixe, die in der except Präfixliste p2enthalten sind.

Weitere Beispiele, in denen die Stateful-Firewall-Konfiguration mit anderen Services und mit VPN-Routing- und Weiterleitungstabellen (Virtual Private Network, VPN) kombiniert wird, finden Sie in den Konfigurationsbeispielen.

Anmerkung:

Sie können das Service-Set definieren und es entweder als Schnittstellenstil oder als Next-Hop-Stil zuweisen.

Siehe auch

Beispiel: BOOTP- und Broadcast-Adressen

Das folgende Beispiel unterstützt Bootstrap Protocol (BOOTP) und Broadcast-Adressen:

Beispiel: Konfigurieren von Layer 3-Services und des Services SDK auf zwei PICs

Sie können das Layer 3-Servicepaket und das Services SDK auf zwei PICs konfigurieren. In diesem Beispiel müssen Sie einen FTP- oder HTTP-Client und einen Server konfigurieren. In dieser Konfiguration ist die Clientseite der Routerschnittstelle ge-1/2/2.1 und die Serverseite der Routerschnittstelle ge-1/1/0.48. Diese Konfiguration ermöglicht Network Address Translation (NAT) mit Stateful Firewall (SFW) auf dem uKernel-PIC und Anwendungsidentifizierung (APPID), Application-Aware Access List (AACL) und Intrusion Detection and Prevention (IDP) auf dem Services SDK PIC für FTP- oder HTTP-Datenverkehr.

Anmerkung:

Das Services SDK unterstützt NAT noch nicht. Wenn NAT erforderlich ist, können Sie das Layer 3-Servicepaket so konfigurieren, dass NAT zusammen mit dem Services SDK wie APPID, AACL oder IDP bereitgestellt wird.
Anmerkung:

Die IDP-Funktionalität ist für die MX-Serie für Junos OS Version 17.1R1 und höher veraltet.

So stellen Sie das Layer 3-Servicepaket und das Services SDK auf zwei PICs bereit:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie auf der Hierarchieebene die Bedingungen für die zustandsbehaftete Firewallregel r1.

    In diesem Beispiel lautet der Begriff für die zustandsbehaftete Firewall ALLOWED-SERVICES. Schließen Sie die Anwendungsnamen – junos-ftp, junos-http und junos-icmp-ping – in eckige Klammern für application-nameein.

  3. Konfigurieren Sie die Bedingungen für die zustandsbehaftete Firewallregel r2.

    In diesem Beispiel lautet der Begriff für die zustandsbehaftete Firewall term1.

  4. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  5. Wechseln Sie in die folgende Hierarchieebene:
  6. Konfigurieren Sie auf der Hierarchieebene den NAT-Pool.

    In diesem Beispiel ist der NAT-Pool OUTBOUND-SERVICES und die IP-Adresse lautet 10.48.0.2/32.

  7. Konfigurieren Sie die NAT-Regel.

    In diesem Beispiel lautet die NAT-Regel SET-MSR-ADDR, der NAT-Begriff ist TRANSLATE-SOURCE-ADDR und der Quellpool ist OUTBOUND-SERVICES. Schließen Sie die Anwendungsnamen – junos-ftp, junos-http und junos-icmp-ping – in Klammern für application-nameein.

  8. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  9. Wechseln Sie in die folgende Hierarchieebene:
    Anmerkung:

    Die Anweisungen [Sicherheits-IDP bearbeiten] sind für die MX-Serie für Junos OS Version 17.1R1 und höher veraltet.
  10. Konfigurieren Sie auf der Hierarchieebene die IDP-Richtlinie.

    In diesem Beispiel lautet die IDP-Richtlinie "test1", die Regel "r1", der vordefinierte Angriff "FTP:USER:ROOT" und die vordefinierte Angriffsgruppe "Empfohlene Angriffe".

  11. Konfigurieren Sie die Ablaufverfolgungsoptionen für IDP-Services.

    In diesem Beispiel lautet der Name der Protokolldatei idp-demo.log.

  12. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  13. Wechseln Sie in die folgende Hierarchieebene:
  14. Konfigurieren Sie auf der Hierarchieebene die AACL-Regeln.

    In diesem Beispiel ist die AACL-Regel App-fähig , und der Begriff lautet t1.

  15. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  16. Wechseln Sie in die folgende Hierarchieebene:
  17. Konfigurieren Sie das APPID-Profil.

    In diesem Beispiel ist das APPID-Profil dummy-profile.

  18. Konfigurieren Sie das IDP-Profil.

    In diesem Beispiel lautet das IDP-Profil test1.

  19. Konfigurieren Sie das Statistikprofil für Richtlinienentscheidungen.

    In diesem Beispiel lautet das Statistikprofil für Richtlinienentscheidungen lpdf-stats.

  20. Konfigurieren Sie die AACL-Regeln.

    In diesem Beispiel ist der Name der AACL-Regel App-kompatibel.

  21. Konfigurieren Sie zwei zustandsbehaftete Firewall-Regeln.

    In diesem Beispiel ist die erste Regel r1 und die zweite Regel r2.

  22. Konfigurieren Sie auf der Hierarchieebene den Dienstsatz, um Datenverkehr bei einem Dienst-PIC-Fehler zu umgehen.
  23. Konfigurieren Sie schnittstellenspezifische Servicesatzoptionen.

    In diesem Beispiel ist die Dienstschnittstelle ms-0/1/0.

  24. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  25. Wechseln Sie in die folgende Hierarchieebene:
  26. Konfigurieren Sie auf der Hierarchieebene optionale Benachrichtigungsparameter für die Services-Schnittstelle. Beachten Sie, dass es nur für das Debuggen erforderlich ist.

    In diesem Beispiel ist der zu benachrichtigende Host ein lokaler Host.

  27. Konfigurieren Sie zwei zustandsbehaftete Firewall-Regeln.

    In diesem Beispiel ist die erste Regel r1 und die zweite Regel r2.

  28. Konfigurieren von NAT-Regeln.

    In diesem Beispiel lautet die NAT-Regel SET-MSR-ADDR.

  29. Konfigurieren Sie schnittstellenspezifische Servicesatzoptionen.

    In diesem Beispiel ist die Services-Schnittstelle sp-3/1/0.

  30. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  31. Wechseln Sie in die folgende Hierarchieebene:
  32. Konfigurieren Sie auf der Hierarchieebene die Schnittstelle.

    In diesem Beispiel ist die Schnittstelle ge-1/2/2.1.

  33. Wechseln Sie in die folgende Hierarchieebene:
  34. Konfigurieren Sie auf der Hierarchieebene den Dienstsatz für empfangene Pakete.

    In diesem Beispiel ist der Eingabedienstsatz App-Aware-Set.

  35. Konfigurieren Sie den Dienstsatz für übertragene Pakete.

    In diesem Beispiel ist der Ausgabedienstsatz App-Aware-Set.

  36. Wechseln Sie in die folgende Hierarchieebene:
  37. Konfigurieren Sie auf der Hierarchieebene die Schnittstellenadresse.

    In diesem Beispiel lautet die Schnittstellenadresse 10.10.9.10/30.

  38. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  39. Wechseln Sie in die folgende Hierarchieebene:
  40. Konfigurieren Sie auf der Hierarchieebene die Schnittstelle.

    In diesem Beispiel ist die Schnittstelle ge-1/1/0.48.

  41. Wechseln Sie in die folgende Hierarchieebene:
  42. Konfigurieren Sie auf der Hierarchieebene den Dienstsatz für empfangene Pakete.

    In diesem Beispiel ist der Dienstsatz NAT-SFW-SET.

  43. Konfigurieren Sie den Dienstsatz für übertragene Pakete.

    In diesem Beispiel ist der Dienstsatz NAT-SFW-SET.

  44. Wechseln Sie in die folgende Hierarchieebene:
  45. Konfigurieren Sie die Schnittstellenadresse.

    In diesem Beispiel lautet die Schnittstellenadresse 10.48.0.1/31.

  46. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  47. Wechseln Sie in die folgende Hierarchieebene:
  48. Konfigurieren Sie auf der Hierarchieebene die Schnittstelle.

    In diesem Beispiel ist die Schnittstelle ms-0/1/0.0.

  49. Wechseln Sie in die folgende Hierarchieebene:
  50. Konfigurieren Sie auf der Hierarchieebene die Protokollfamilie.
  51. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  52. Wechseln Sie in die folgende Hierarchieebene:
  53. Konfigurieren Sie auf der Hierarchieebene die Schnittstelle.

    In diesem Beispiel ist die Schnittstelle sp-3/1/0.0.

  54. Wechseln Sie in die folgende Hierarchieebene:
  55. Konfigurieren Sie auf der Hierarchieebene optionale Benachrichtigungsparameter für die Services-Schnittstelle. Beachten Sie, dass es nur für das Debuggen erforderlich ist.

    In diesem Beispiel ist der zu benachrichtigende Host ein lokaler Host.

  56. Wechseln Sie in die folgende Hierarchieebene:
  57. Konfigurieren Sie auf der Hierarchieebene die Protokollfamilie.
  58. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:
  59. Wechseln Sie in die folgende Hierarchieebene:
  60. Konfigurieren Sie auf der Hierarchieebene die Redundanzeinstellungen.
  61. Konfigurieren Sie FPC und PIC.

    In diesem Beispiel befindet sich der FPC in Steckplatz 0 und der PIC in Steckplatz 1.

  62. Konfigurieren Sie die Anzahl der Kerne, die für die Ausführung der Steuerungsfunktionen reserviert sind.

    In diesem Beispiel beträgt die Anzahl der Steuerkerne 1.

  63. Konfigurieren Sie die Anzahl der Verarbeitungskerne, die für Daten reserviert sind.

    In diesem Beispiel beträgt die Anzahl der Datenkerne 7.

  64. Konfigurieren Sie die Größe des Objektcaches in Megabyte. Es sind nur Werte in Schritten von 128 MB zulässig, und der maximale Wert des Objektcaches kann 1280 MB betragen. Auf MS-100 beträgt der Wert 512 MB.

    In diesem Beispiel beträgt die Größe des Objektcaches 1280 MB.

  65. Konfigurieren Sie die Größe der Richtliniendatenbank in Megabyte.

    In diesem Beispiel beträgt die Größe der Richtliniendatenbank 64 MB.

  66. Konfigurieren Sie die Pakete.

    In diesem Beispiel ist das erste Paket jservices-appid, das zweite Paket jservices-aacl, das dritte Paket jservices-llpdf, das vierte Paket jservices-idp und das fünfte Paket jservices-sfw. jservices-sfw ist nur in Junos OS Version 10.1 und höher verfügbar.

  67. Konfigurieren Sie die IP-Netzwerkdienste.
  68. Wechseln Sie zur folgenden Hierarchieebene, und überprüfen Sie die Konfiguration:

Beispiel: Virtual Routing and Forwarding (VRF) und Servicekonfiguration

Im folgenden Beispiel werden virtuelles Routing und Weiterleiten (VRF) und die Konfiguration von Diensten kombiniert:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
17.1R1
Die IDP-Funktionalität ist für die MX-Serie für Junos OS Version 17.1R1 und höher veraltet.
17.1R1
Die Anweisungen [Sicherheits-IDP bearbeiten] sind für die MX-Serie für Junos OS Version 17.1R1 und höher veraltet.
17.1
accept skip-idsDas Paket wird angenommen und an sein Ziel gesendet, aber die Verarbeitung von IDS-Regeln, die auf einer MS-MPC konfiguriert ist, wird übersprungen.
14.2
Ab Junos OS Version 14.2 unterstützen MS-MPC- und MS-MIC-Schnittstellenkarten IPv6-Datenverkehr für die Junos Network Secure Stateful Firewall.