Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Anwenden von Listen mehrerer Firewall-Filter

In diesem Beispiel wird gezeigt, wie Listen mit mehreren Firewall-Filtern angewendet werden.

Anforderungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:

  • Installiert Ihren Router oder Switch und unterstützte PIC, DPC oder MPC und führte die ursprüngliche Router- oder Switch-Konfiguration durch.

  • Grundlegendes Ethernet in der Topologie konfiguriert.

  • Konfigurierte eine logische Schnittstelle für die Ausführung des IP-Version 4 (IPv4)-Protokolls (family inet) und konfigurierte die logische Schnittstelle mit einer Schnittstellenadresse. In diesem Beispiel wird eine logische Schnittstelle ge-1/3/0.0 verwendet, die mit der IP-Adresse 172.16.1.2/30 konfiguriert ist.

    HINWEIS:

    Aus Gründen der Vollständigkeit enthält der Konfigurationsabschnitt dieses Beispiels das Festlegen einer IP-Adresse für die logische Schnittstelle ge-1/3/0.0.

  • Überprüft, ob der Datenverkehr in der Topologie fließt und dass ein- und ausgehender IPv4-Datenverkehr über die logische Schnittstelle ge-1/3/0.0fließt.

  • Überprüft, ob Sie Zugriff auf den Remote-Host haben, der mit der logischen Schnittstelle ge-1/3/0.0dieses Routers oder Switches verbunden ist.

Überblick

In diesem Beispiel konfigurieren Sie drei IPv4-Firewall-Filter und wenden jeden Filter mithilfe einer Liste direkt auf dieselbe logische Schnittstelle an.

Topologie

In diesem Beispiel werden die folgenden Firewallfilter als Liste von Eingabefiltern an der logischen Schnittstelle ge-1/3/0.0angewendet. Jeder Filter enthält einen einzelnen Begriff, der IPv4-Pakete auswertet und Pakete basierend auf dem Wert des destination port Feldes im TCP-Header akzeptiert:

  • Filter filter_FTP stimmt auf die FTP-Portnummer (21) ab.

  • Filter filter_SSH stimmt auf die SSH-Portnummer (22) ab.

  • Filter filter_Telnet stimmt auf die Telnet-Portnummer (23) ab.

Wenn ein eingehendes Paket nicht mit einem der Filter in der Eingabeliste übereinstimmt, wird das Paket verworfen.

HINWEIS:

Junos OS verwendet Filter in einer Liste in der Reihenfolge, in der die Filternamen in der Liste angezeigt werden. In diesem einfachen Beispiel ist die Reihenfolge irrelevant, da alle Filter dieselbe Aktion angeben.

Jeder der Filter kann auf andere Schnittstellen angewendet werden, entweder allein (mit der inputoutput Oder-Anweisung) oder in Kombination mit anderen Filtern (mit der input-list oder output-list Anweisung). Ziel ist es, mehrere "minimalistische" Firewall-Filter zu konfigurieren, die sie in schnittstellenspezifischen Filterlisten wiederverwenden können.

Konfiguration

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Alle Zeilenumbrüche und fügen die Befehle dann auf Hierarchieebene in die [edit] CLI ein.

Konfigurieren Sie mehrere IPv4-Firewall-Filter

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die IPv4-Firewall-Filter:

  1. Navigieren Sie über die BEFEHLSZEILE zu der Hierarchieebene, auf der Sie IPv4-Firewall-Filter konfigurieren.

  2. Konfigurieren Sie den ersten Firewall-Filter, um Pakete für Port 21 zu zählen und zu akzeptieren.

  3. Konfigurieren Sie den zweiten Firewall-Filter, um Pakete für Port 22 zu zählen und zu akzeptieren.

  4. Konfigurieren Sie den dritten Firewall-Filter, um Pakete von Port 23 zu zählen und zu akzeptieren.

  5. Konfigurieren Sie den letzten Firewall-Filter, um die verworfenen Pakete zu zählen.

Anwenden der Filter auf eine logische Schnittstelle als Eingabe- und Ausgabeliste

Schritt-für-Schritt-Verfahren

So wenden Sie die sechs IPv4-Firewall-Filter als Liste von Eingabefiltern und einer Liste von Ausgabefiltern an:

  1. Navigieren Sie über die CLI zur Hierarchieebene, auf der Sie IPv4-Firewall-Filter auf die logische Schnittstelle ge-1/3/0.0anwenden.

  2. Konfigurieren Sie die IPv4-Protokollfamilie für die logische Schnittstelle.

  3. Wenden Sie die Filter als Liste von Eingabefiltern an.

Kandidatenkonfiguration bestätigen und bestätigen

Schritt-für-Schritt-Verfahren

So bestätigen Und bestätigen Sie die Konfiguration Ihrer Kandidaten:

  1. Bestätigen Sie die Konfiguration der Firewall-Filter, indem Sie den show firewall Befehl konfigurationsmodus eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den show interfaces Konfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, legen Sie die Kandidatenkonfiguration fest.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung, dass eingehende Pakete nur akzeptiert werden, wenn sie für den FTP-, SSH- oder Telnet-Port bestimmt sind

Zweck

Stellen Sie sicher, dass alle drei Filter für die logische Schnittstelle aktiv sind.

Aktion

So überprüfen Sie, ob Eingabepakete gemäß den drei Filtern akzeptiert werden:

  1. Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 21 im Header. Das Paket sollte akzeptiert werden.

  2. Vom Remote-Host, der mit der logischen Schnittstelle ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, senden Sie ein Paket mit der Zielportnummer 22 im Header. Das Paket sollte akzeptiert werden.

  3. Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 23 im Header. Das Paket sollte akzeptiert werden.

  4. Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit einer anderen Zielportnummer als 21, 22 oder 23. Das Paket sollte verworfen werden.

  5. Um Zählerinformationen für die Liste der Filter anzuzeigen, die auf die Eingabe angewendet werden, geben Sie den ge-1/3/0.0show firewall filter ge-1/3/0.0-inet-i Betriebsmodus-Befehl ein. Die Befehlsausgabe zeigt die Anzahl der Bytes und Pakete an, die filterbegriffen entsprechen, die den folgenden Leistungsindikatoren zugeordnet sind:

    • pkts_FTP-ge-1/3/0.0-inet-i

    • pkts_SSH-ge-1/3/0.0-inet-i

    • pkts_Telnet-ge-1/3/0.0-inet-i

    • pkts_discard-ge-1/3/0.0-inet-i