Auf dieser Seite
Beispiel: Anwenden von Listen mit mehreren Firewall-Filtern
In diesem Beispiel wird gezeigt, wie Listen mit mehreren Firewallfiltern angewendet werden.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
-
Sie haben Ihren Router oder Switch installiert, PIC, DPC oder MPC unterstützt und die erste Router- oder Switch-Konfiguration durchgeführt.
-
Grundlegendes Ethernet in der Topologie konfiguriert.
-
Konfiguration einer logischen Schnittstelle zum Ausführen des IPv4-Protokolls
family inet(IP, Version 4) und Konfiguration der logischen Schnittstelle mit einer Schnittstellenadresse. In diesem Beispiel wird eine logische Schnittstellege-1/3/0.0verwendet, die mit der IP-Adresse 172.16.1.2/30 konfiguriert ist.HINWEIS:Der Vollständigkeit halber enthält der Konfigurationsabschnitt dieses Beispiels das Festlegen einer IP-Adresse für die logische Schnittstelle
ge-1/3/0.0. -
Es wurde überprüft, ob der Datenverkehr in der Topologie fließt und dass der ein- und ausgehende IPv4-Datenverkehr über die logische Schnittstelle
ge-1/3/0.0fließt. -
Überprüft, ob Sie Zugriff auf den Remote-Host haben, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers oder Switches verbunden ist.
Physikalische Schnittstellen-Policer/Filter werden für Listenfilter nicht unterstützt.
Überblick
In diesem Beispiel konfigurieren Sie drei IPv4-Firewallfilter und wenden jeden Filter mithilfe einer Liste direkt auf dieselbe logische Schnittstelle an.
Topologie
In diesem Beispiel werden die folgenden Firewallfilter als Liste von Eingabefiltern an der logischen Schnittstelle ge-1/3/0.0angewendet. Jeder Filter enthält einen einzelnen Begriff, der IPv4-Pakete auswertet und Pakete basierend auf dem Wert des destination port Felds im TCP-Header akzeptiert:
Filtern Sie
filter_FTPÜbereinstimmungen mit der FTP- Portnummer (21).Filtern Sie
filter_SSHÜbereinstimmungen nach der SSH- Portnummer (22).Filtern Sie
filter_TelnetÜbereinstimmungen nach der Telnet- Portnummer (23).
Wenn ein eingehendes Paket mit keinem der Filter in der Eingabeliste übereinstimmt, wird das Paket verworfen.
Das Junos-Betriebssystem verwendet Filter in einer Liste in der Reihenfolge, in der die Filternamen in der Liste angezeigt werden. In diesem einfachen Beispiel ist die Reihenfolge irrelevant, da alle Filter dieselbe Aktion angeben.
Jeder der Filter kann auf andere Schnittstellen angewendet werden, entweder allein (mit der input oder-Anweisung output ) oder in Kombination mit anderen Filtern (mit der input-list oder-Anweisung output-list ). Ziel ist es, mehrere "minimalistische" Firewall-Filter zu konfigurieren, die Sie in schnittstellenspezifischen Filterlisten wiederverwenden können.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
- CLI-Schnellkonfiguration
- Konfigurieren mehrerer IPv4-Firewallfilter
- Wenden Sie die Filter auf eine logische Schnittstelle als Eingabe- und Ausgabeliste an
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
Konfigurieren mehrerer IPv4-Firewallfilter
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die IPv4-Firewallfilter:
Navigieren Sie in der CLI zu der Hierarchieebene, auf der Sie IPv4-Firewallfilter konfigurieren.
[edit] user@host# edit firewall family inet
Konfigurieren Sie den ersten Firewallfilter so, dass Pakete für Port 21 gezählt und akzeptiert werden.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
Konfigurieren Sie den zweiten Firewallfilter so, dass Pakete für Port 22 gezählt und akzeptiert werden.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
Konfigurieren Sie den dritten Firewallfilter so, dass Pakete von Port 23 gezählt und akzeptiert werden.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
Konfigurieren Sie den letzten Firewall-Filter so, dass die verworfenen Pakete gezählt werden.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
Wenden Sie die Filter auf eine logische Schnittstelle als Eingabe- und Ausgabeliste an
Schritt-für-Schritt-Anleitung
So wenden Sie die sechs IPv4-Firewallfilter als Liste von Eingabefiltern und Ausgabefiltern an:
Navigieren Sie in der CLI zu der Hierarchieebene, auf der Sie IPv4-Firewallfilter auf die logische Schnittstelle
ge-1/3/0.0anwenden.[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
Konfigurieren Sie die IPv4-Protokollfamilie für die logische Schnittstelle.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
Wenden Sie die Filter als Liste von Eingabefiltern an.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration der Firewall-Filter, indem Sie den
show firewallBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesBefehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob eingehende Pakete nur akzeptiert werden, wenn sie für den FTP-, SSH- oder Telnet-Port bestimmt sind
Zweck
Stellen Sie sicher, dass alle drei Filter für die logische Schnittstelle aktiv sind.
Action!
So überprüfen Sie, ob Eingabepakete gemäß den drei Filtern akzeptiert werden:
Senden Sie vom Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 21 im Header. Das Paket sollte akzeptiert werden.Senden Sie vom Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 22 im Header. Das Paket sollte akzeptiert werden.Senden Sie vom Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 23 im Header. Das Paket sollte akzeptiert werden.Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit einer anderen Zielportnummer als 21, 22 oder 23. Das Paket sollte verworfen werden.-
Um Zählerinformationen für die Liste der Filter anzuzeigen, die auf die Eingabe angewendet werden, geben Sie
ge-1/3/0.0denshow firewall filter ge-1/3/0.0-inet-iBefehl Betriebsmodus ein. Die Befehlsausgabe zeigt die Anzahl der Bytes und Pakete an, die mit Filterbegriffen übereinstimmen, die den folgenden Leistungsindikatoren zugeordnet sind:-
pkts_FTP-ge-1/3/0.0-inet-i -
pkts_SSH-ge-1/3/0.0-inet-i -
pkts_Telnet-ge-1/3/0.0-inet-i -
pkts_discard-ge-1/3/0.0-inet-i
-