Auf dieser Seite
Beispiel: Anwenden von Listen mit mehreren Firewall-Filtern
In diesem Beispiel wird gezeigt, wie Listen mit mehreren Firewallfiltern angewendet werden.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
-
Sie haben Ihren Router oder Switch installiert, PIC, DPC oder MPC unterstützt und die erste Router- oder Switch-Konfiguration durchgeführt.
-
Grundlegendes Ethernet in der Topologie konfiguriert.
-
Konfiguration einer logischen Schnittstelle zum Ausführen des IPv4-Protokolls (IP, Version 4) und Konfiguration der logischen Schnittstelle mit einer Schnittstellenadresse.
family inet
In diesem Beispiel wird eine logische Schnittstelle verwendet, die mit der IP-Adresse 172.16.1.2/30 konfiguriert ist.ge-1/3/0.0
HINWEIS:Der Vollständigkeit halber enthält der Konfigurationsabschnitt dieses Beispiels das Festlegen einer IP-Adresse für die logische Schnittstelle .
ge-1/3/0.0
-
Es wurde überprüft, ob der Datenverkehr in der Topologie fließt und dass der ein- und ausgehende IPv4-Datenverkehr über die logische Schnittstelle fließt.
ge-1/3/0.0
-
Überprüft, ob Sie Zugriff auf den Remote-Host haben, der mit der logischen Schnittstelle dieses Routers oder Switches verbunden ist.
ge-1/3/0.0
Physikalische Schnittstellen-Policer/Filter werden für Listenfilter nicht unterstützt.
Überblick
In diesem Beispiel konfigurieren Sie drei IPv4-Firewallfilter und wenden jeden Filter mithilfe einer Liste direkt auf dieselbe logische Schnittstelle an.
Topologie
In diesem Beispiel werden die folgenden Firewallfilter als Liste von Eingabefiltern an der logischen Schnittstelle angewendet.ge-1/3/0.0
Jeder Filter enthält einen einzelnen Begriff, der IPv4-Pakete auswertet und Pakete basierend auf dem Wert des Felds im TCP-Header akzeptiert:destination port
Filtern Sie Übereinstimmungen mit der FTP-Portnummer ().
filter_FTP
21
Filtern Sie Übereinstimmungen nach der SSH-Portnummer ().
filter_SSH
22
Filtern Sie Übereinstimmungen nach der Telnet-Portnummer ().
filter_Telnet
23
Wenn ein eingehendes Paket mit keinem der Filter in der Eingabeliste übereinstimmt, wird das Paket verworfen.
Das Junos-Betriebssystem verwendet Filter in einer Liste in der Reihenfolge, in der die Filternamen in der Liste angezeigt werden. In diesem einfachen Beispiel ist die Reihenfolge irrelevant, da alle Filter dieselbe Aktion angeben.
Jeder der Filter kann auf andere Schnittstellen angewendet werden, entweder allein (mit der oder-Anweisung) oder in Kombination mit anderen Filtern (mit der oder-Anweisung).input
output
input-list
output-list
Ziel ist es, mehrere "minimalistische" Firewall-Filter zu konfigurieren, die Sie in schnittstellenspezifischen Filterlisten wiederverwenden können.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
- CLI-Schnellkonfiguration
- Konfigurieren mehrerer IPv4-Firewallfilter
- Wenden Sie die Filter auf eine logische Schnittstelle als Eingabe- und Ausgabeliste an
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
Konfigurieren mehrerer IPv4-Firewallfilter
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die IPv4-Firewallfilter:
Navigieren Sie in der CLI zu der Hierarchieebene, auf der Sie IPv4-Firewallfilter konfigurieren.
[edit] user@host# edit firewall family inet
Konfigurieren Sie den ersten Firewallfilter so, dass Pakete für Port 21 gezählt und akzeptiert werden.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
Konfigurieren Sie den zweiten Firewallfilter so, dass Pakete für Port 22 gezählt und akzeptiert werden.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
Konfigurieren Sie den dritten Firewallfilter so, dass Pakete von Port 23 gezählt und akzeptiert werden.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
Konfigurieren Sie den letzten Firewall-Filter so, dass die verworfenen Pakete gezählt werden.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
Wenden Sie die Filter auf eine logische Schnittstelle als Eingabe- und Ausgabeliste an
Schritt-für-Schritt-Anleitung
So wenden Sie die sechs IPv4-Firewallfilter als Liste von Eingabefiltern und Ausgabefiltern an:
Navigieren Sie in der CLI zu der Hierarchieebene, auf der Sie IPv4-Firewallfilter auf die logische Schnittstelle anwenden.
ge-1/3/0.0
[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
Konfigurieren Sie die IPv4-Protokollfamilie für die logische Schnittstelle.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
Wenden Sie die Filter als Liste von Eingabefiltern an.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration der Firewall-Filter, indem Sie den Befehl configuration mode eingeben.
show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob eingehende Pakete nur akzeptiert werden, wenn sie für den FTP-, SSH- oder Telnet-Port bestimmt sind
Zweck
Stellen Sie sicher, dass alle drei Filter für die logische Schnittstelle aktiv sind.
Was
So überprüfen Sie, ob Eingabepakete gemäß den drei Filtern akzeptiert werden:
Senden Sie vom Remote-Host, der mit der logischen Schnittstelle dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 21 im Header.
ge-1/3/0.0
Das Paket sollte akzeptiert werden.Senden Sie vom Remote-Host, der mit der logischen Schnittstelle dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 22 im Header.
ge-1/3/0.0
Das Paket sollte akzeptiert werden.Senden Sie vom Remote-Host, der mit der logischen Schnittstelle dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 23 im Header.
ge-1/3/0.0
Das Paket sollte akzeptiert werden.Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle dieses Routers (oder Switches) verbunden ist, ein Paket mit einer anderen Zielportnummer als 21, 22 oder 23.
ge-1/3/0.0
Das Paket sollte verworfen werden.-
Um Zählerinformationen für die Liste der Filter anzuzeigen, die auf die Eingabe angewendet werden, geben Sie den Befehl Betriebsmodus ein.
ge-1/3/0.0
show firewall filter ge-1/3/0.0-inet-i
Die Befehlsausgabe zeigt die Anzahl der Bytes und Pakete an, die mit Filterbegriffen übereinstimmen, die den folgenden Leistungsindikatoren zugeordnet sind:-
pkts_FTP-ge-1/3/0.0-inet-i
-
pkts_SSH-ge-1/3/0.0-inet-i
-
pkts_Telnet-ge-1/3/0.0-inet-i
-
pkts_discard-ge-1/3/0.0-inet-i
-