Übersicht über zustandslose Firewall-Filter
Kontrolle des Paketflusses
Um zu beeinflussen, welche Pakete das System passieren dürfen, und um bei Bedarf spezielle Aktionen auf Pakete anzuwenden, können Sie zustandslose Firewallfilterkonfigurieren. Eine zustandslose Firewall gibt eine Sequenz von einer oder mehreren Paketfilterregeln an, die als Filterbegriffebezeichnet werden. Ein Filterbegriff gibt Übereinstimmungsbedingungen an, die verwendet werden sollen, um eine Übereinstimmung zu bestimmen, und Aktionen , die für ein übereinstimmendes Paket ausgeführt werden sollen. Mit einem zustandslosen Firewall-Filter können Sie jedes Paket einer bestimmten Protokollfamilie, einschließlich fragmentierter Pakete, basierend auf der Auswertung von Layer- 3- und Layer- 4-Header-Feldern manipulieren. In der Regel wenden Sie einen zustandslosen Firewallfilter auf eine oder mehrere Schnittstellen an, die mit Funktionen der Protokollfamilie konfiguriert wurden. Sie können einen zustandslosen Firewallfilter auf eine Eingangsschnittstelle, eine Ausgangsschnittstelle oder beides anwenden.
- Kontrolle des Datenpaketflusses
- Lokale Paketflusskontrolle
- Junos OS Evolved Lokale Paketflusssteuerung
Kontrolle des Datenpaketflusses
Um den Fluss von Datenpaketen zu steuern, die das Gerät passieren, während die Pakete von einer Quelle zu einem Ziel weitergeleitet werden, können Sie zustandslose Firewall-Filter auf die Ein- oder Ausgabe der physischen Schnittstellen des Routers oder Switches anwenden.
Um eine bestimmte Bandbreite und maximale Burst-Größe für Datenverkehr zu erzwingen, der über eine Schnittstelle gesendet oder empfangen wird, können Sie Policerkonfigurieren. Policer sind eine spezielle Art von zustandslosen Firewall-Filtern und eine Hauptkomponente der Junos OS Class-of-Service (CoS).
Lokale Paketflusskontrolle
Um den Fluss lokaler Pakete zwischen den physischen Schnittstellen und der Routing-Engine zu steuern, können Sie zustandslose Firewallfilter auf die Ein- oder Ausgabe der Loopback-Schnittstelleanwenden. Die Loopback-Schnittstelle (lo0) ist die Schnittstelle zur Routing-Engine und überträgt keine Datenpakete.
Junos OS Evolved Lokale Paketflusssteuerung
In Junos OS Evolved stehen Ihnen zwei verschiedene Filter zur Verfügung: eine für den Netzwerksteuerungsdatenverkehr (Loopback-Datenverkehr) und eine für den Verwaltungsdatenverkehr (Managementschnittstelle). Mit zwei Filtern haben Sie mehr Flexibilität. Sie können z. B. einen strengeren Filter für den Datenverkehr der Verwaltungsschnittstelle als für den Datenverkehr der Netzwerksteuerung konfigurieren.
Unter Junos OS und Junos OS Evolved verhalten sich Firewall-Filter für den Netzwerksteuerungsdatenverkehr oder Loopback-Firewall-Filter (Lo0/Lo6) gleich, und es gibt keinen Unterschied. Sie konfigurieren einen Lo0/Lo6-Firewall-Filter am INET oder eine INET6-Firewall-Filter-Hierarchie der Lo0/Lo6-Schnittstelle. Um Filterfunktionen für das ausgehende Paket auf der Lo0-Schnittstelle bereitzustellen, wird der Firewall-Filter mithilfe von Netfilters von Juniper in den Software-Kernel implementiert. Netfilters ist im Linux-Kernel installiert und daran ist keine Hardware beteiligt.
Im Folgenden finden Sie eine Beispielkonfiguration für Lo0-Firewallfilter.
set firewall family inet filter finet interface-specific set firewall family inet filter finet term t1 from source-address 10.0.0.2/32 set firewall family inet filter finet term t1 from destination-address 10.0.0.1/32 set firewall family inet filter finet term t1 from protocol tcp set firewall family inet filter finet term t1 from source-port ssh set firewall family inet filter finet term t1 from destination-port ssh set firewall family inet filter finet term t1 then count c1 set firewall family inet filter finet term t1 then log set interfaces lo0 unit 0 family inet filter input finet
Tabelle 1Tabelle 3, Tabelle 2, und Tabelle 4 zeigt die unterstützten Übereinstimmungsbedingungen und -aktionen für die Lo0/Lo6-Firewall-Filterfamilie in Junos OS Evolved an.
|
Firewall-Filter-Übereinstimmungsbedingung |
Lo0 |
L6 |
|---|---|---|
|
ip-ziel-adresse |
Ja |
Ja |
|
IP-Quelladresse |
Ja |
Ja |
|
Ziel-Präfix-Liste |
Ja |
Ja |
|
source-präfix-liste |
Ja |
Ja |
|
Zielhafen |
Ja |
Ja |
|
Quell-Port |
Ja |
Ja |
|
IP-Protokoll |
Ja |
Ja |
|
Erstes Fragment |
Ja |
Nein |
|
ist-fragment |
Ja |
Nein |
|
TCP-Flags |
Ja |
Ja |
|
ttl |
Ja |
Nein |
|
DSCP |
Ja |
Nein |
|
Firewall-Filter-Übereinstimmungsbedingung |
Lo0 |
L6 |
|---|---|---|
|
ip-ziel-adresse |
Nein |
Ja |
|
IP-Quelladresse |
Nein |
Ja |
|
Ziel-Präfix-Liste |
Nein |
Ja |
|
source-präfix-liste |
Nein |
Ja |
|
Zielhafen |
Nein |
Ja |
|
Action! |
Lo0 |
L6 |
|---|---|---|
|
zählen |
Ja |
Ja |
|
abwerfen |
Ja |
Ja |
|
Polizist |
Ja |
Ja |
|
dreifarbiger Polizist |
Ja |
Ja |
|
Action! |
Lo0 |
L6 |
|---|---|---|
|
zählen |
Ja |
Ja |
|
abwerfen |
Ja |
Ja |
|
Polizist |
Ja |
Ja |
|
dreifarbiger Polizist |
Ja |
Ja |
Bei der Verwaltungsfilterung werden Routing-Engine-Filter verwendet, die auf Netfiltern basieren, einem Framework, das vom Linux-Kernel bereitgestellt wird. Dieser Unterschied führt dazu, dass nur bestimmte Übereinstimmungen und Aktionen unterstützt werden. In den Firewall-Filtern der Routing-Engine sind einige wichtige Unterschiede zwischen Junos OS und Junos OS Evolved aufgeführt.
Sie müssen den Filter explizit auf der Management-Schnittstelle hinzufügen, da bei Junos OS Evolved derlo 0-Filter nicht mehr auf den Management-Datenverkehr angewendet wird, wie dies bei Junos OS der Fall ist.
Für die Konfiguration im Filter der Verwaltungsschnittstelle muss der Filter in der Firewallfilterhierarchie der Familie INET oder INET6 der Verwaltungsschnittstelle konfiguriert werden. Im Folgenden finden Sie eine Beispielkonfiguration für die Konfiguration des Firewall-Filters in der Verwaltungsschnittstelle.
set firewall family inet filter f1 interface-specific set firewall family inet filter f1 term t1 from protocol tcp set firewall family inet filter f1 term t1 then count c1 set firewall family inet filter f1 term t1 then accept set firewall family inet filter f1 term t2 from protocol icmp set firewall family inet filter f1 term t2 then count c3 set firewall family inet filter f1 term dft then count dft_cnt set firewall family inet filter f1 term dft then accept set interfaces re0:mgmt-0 unit 0 family inet filter input f1
Tabelle 5Tabelle 6und , und Tabelle 7 zeigen die unterstützten Firewallfilter-Übereinstimmungsbedingungen und -aktionen auf Verwaltungsschnittstellen an.
|
Firewall-Filter-Übereinstimmungsbedingung |
Unterstützt |
|---|---|
|
Adresse |
Ja |
|
Zieladresse |
Ja |
|
Zielhafen |
Ja |
|
destination-port-except |
Ja |
|
Ziel-Präfix-Liste |
Ja |
|
ICMP-Code |
Ja |
|
icmp-code-except |
Ja |
|
ICMP-Typ |
Ja |
|
icmp-type-except |
Ja |
|
Nächste-Kopfzeile |
Ja |
|
next-header-except |
Ja |
|
Paketlänge |
Ja |
|
packet-length-except |
Ja |
|
Payload-Protokoll |
Ja |
|
payload-protocol-except |
Ja |
|
Hafen |
Ja |
|
port-except |
Ja |
|
Präfix-Liste |
Ja |
|
Quelladresse |
Ja |
|
Quell-Port |
Ja |
|
source-port-except |
Ja |
|
source-präfix-liste |
Ja |
|
TCP-etabliert |
Ja |
|
TCP-Flags |
Ja |
|
tcp-initial |
Ja |
|
traffic-class |
Ja |
|
traffic-class-except |
Ja |
|
Firewall-Filter-Übereinstimmungsbedingung |
Unterstützt |
|---|---|
|
DSCP |
Ja |
|
dscp-except |
Ja |
|
Vorrang |
Ja |
|
Vorrang – außer |
Ja |
|
Protokoll |
Ja |
|
protokoll-außer |
Ja |
|
ttl |
Ja |
|
TTL-EXCEPT |
Ja |
|
Firewall-Filteraktion |
IPv4 |
IPv6 |
|---|---|---|
|
annehmen |
Ja |
Ja |
|
zählen |
Ja |
Ja |
|
forwarding-class |
Ja |
Ja |
|
Verlust-Priorität |
Ja |
Ja |
|
Polizist |
Ja |
Ja |
|
ablehnen |
Ja |
Ja |
|
syslog |
Ja |
Ja |
Zustandslose und zustandsbehaftete Firewall-Filter
Ein zustandsloser Firewallfilter, der auch als Zugriffssteuerungsliste (Access Control List , ACL) bezeichnet wird, überprüft den Datenverkehr nicht zustandsbehaftet. Stattdessen wertet es den Paketinhalt statisch aus und verfolgt nicht den Status von Netzwerkverbindungen. Im Gegensatz dazu verwendet ein zustandsbehafteter Firewallfilter Verbindungsstatusinformationen, die von anderen Anwendungen und früheren Kommunikationen im Datenfluss abgeleitet wurden, um dynamische Steuerungsentscheidungen zu treffen.
Im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Policer werden zustandslose Firewallfilterbeschrieben.
Zweck von zustandslosen Firewall-Filtern
Der Hauptzweck eines zustandslosen Firewall-Filters besteht darin, die Sicherheit durch die Verwendung von Paketfiltern zu erhöhen. Mit der Paketfilterung können Sie die Komponenten eingehender oder ausgehender Pakete überprüfen und dann die von Ihnen angegebenen Aktionen für Pakete ausführen, die den von Ihnen angegebenen Kriterien entsprechen. Die typische Verwendung eines zustandslosen Firewallfilters besteht darin, die Routing-Engine-Prozesse und -Ressourcen vor bösartigen oder nicht vertrauenswürdigen Paketen zu schützen.