Auf dieser Seite
Beispiel: Anwenden von Listen mehrerer Firewall-Filter
In diesem Beispiel wird gezeigt, wie Listen mit mehreren Firewall-Filtern angewendet werden.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:
Installiert Ihren Router oder Switch und unterstützte PIC, DPC oder MPC und führte die ursprüngliche Router- oder Switch-Konfiguration durch.
Grundlegendes Ethernet in der Topologie konfiguriert.
Konfigurierte eine logische Schnittstelle für die Ausführung des IP-Version 4 (IPv4)-Protokolls (
family inet) und konfigurierte die logische Schnittstelle mit einer Schnittstellenadresse. In diesem Beispiel wird eine logische Schnittstellege-1/3/0.0verwendet, die mit der IP-Adresse 172.16.1.2/30 konfiguriert ist.HINWEIS:Aus Gründen der Vollständigkeit enthält der Konfigurationsabschnitt dieses Beispiels das Festlegen einer IP-Adresse für die logische Schnittstelle
ge-1/3/0.0.Überprüft, ob der Datenverkehr in der Topologie fließt und dass ein- und ausgehender IPv4-Datenverkehr über die logische Schnittstelle
ge-1/3/0.0fließt.Überprüft, ob Sie Zugriff auf den Remote-Host haben, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers oder Switches verbunden ist.
Überblick
In diesem Beispiel konfigurieren Sie drei IPv4-Firewall-Filter und wenden jeden Filter mithilfe einer Liste direkt auf dieselbe logische Schnittstelle an.
Topologie
In diesem Beispiel werden die folgenden Firewallfilter als Liste von Eingabefiltern an der logischen Schnittstelle ge-1/3/0.0angewendet. Jeder Filter enthält einen einzelnen Begriff, der IPv4-Pakete auswertet und Pakete basierend auf dem Wert des destination port Feldes im TCP-Header akzeptiert:
Filter
filter_FTPstimmt auf die FTP-Portnummer (21) ab.Filter
filter_SSHstimmt auf die SSH-Portnummer (22) ab.Filter
filter_Telnetstimmt auf die Telnet-Portnummer (23) ab.
Wenn ein eingehendes Paket nicht mit einem der Filter in der Eingabeliste übereinstimmt, wird das Paket verworfen.
Junos OS verwendet Filter in einer Liste in der Reihenfolge, in der die Filternamen in der Liste angezeigt werden. In diesem einfachen Beispiel ist die Reihenfolge irrelevant, da alle Filter dieselbe Aktion angeben.
Jeder der Filter kann auf andere Schnittstellen angewendet werden, entweder allein (mit der inputoutput Oder-Anweisung) oder in Kombination mit anderen Filtern (mit der input-list oder output-list Anweisung). Ziel ist es, mehrere "minimalistische" Firewall-Filter zu konfigurieren, die sie in schnittstellenspezifischen Filterlisten wiederverwenden können.
Konfiguration
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
- CLI-Schnellkonfiguration
- Konfigurieren Sie mehrere IPv4-Firewall-Filter
- Anwenden der Filter auf eine logische Schnittstelle als Eingabe- und Ausgabeliste
- Kandidatenkonfiguration bestätigen und bestätigen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Alle Zeilenumbrüche und fügen die Befehle dann auf Hierarchieebene in die [edit] CLI ein.
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
Konfigurieren Sie mehrere IPv4-Firewall-Filter
Schritt-für-Schritt-Verfahren
So konfigurieren Sie die IPv4-Firewall-Filter:
Navigieren Sie über die BEFEHLSZEILE zu der Hierarchieebene, auf der Sie IPv4-Firewall-Filter konfigurieren.
[edit] user@host# edit firewall family inet
Konfigurieren Sie den ersten Firewall-Filter, um Pakete für Port 21 zu zählen und zu akzeptieren.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
Konfigurieren Sie den zweiten Firewall-Filter, um Pakete für Port 22 zu zählen und zu akzeptieren.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
Konfigurieren Sie den dritten Firewall-Filter, um Pakete von Port 23 zu zählen und zu akzeptieren.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
Konfigurieren Sie den letzten Firewall-Filter, um die verworfenen Pakete zu zählen.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
Anwenden der Filter auf eine logische Schnittstelle als Eingabe- und Ausgabeliste
Schritt-für-Schritt-Verfahren
So wenden Sie die sechs IPv4-Firewall-Filter als Liste von Eingabefiltern und einer Liste von Ausgabefiltern an:
Navigieren Sie über die CLI zur Hierarchieebene, auf der Sie IPv4-Firewall-Filter auf die logische Schnittstelle
ge-1/3/0.0anwenden.[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
Konfigurieren Sie die IPv4-Protokollfamilie für die logische Schnittstelle.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
Wenden Sie die Filter als Liste von Eingabefiltern an.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
Kandidatenkonfiguration bestätigen und bestätigen
Schritt-für-Schritt-Verfahren
So bestätigen Und bestätigen Sie die Konfiguration Ihrer Kandidaten:
Bestätigen Sie die Konfiguration der Firewall-Filter, indem Sie den
show firewallBefehl konfigurationsmodus eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesKonfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, legen Sie die Kandidatenkonfiguration fest.
[edit] user@host# commit
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung, dass eingehende Pakete nur akzeptiert werden, wenn sie für den FTP-, SSH- oder Telnet-Port bestimmt sind
Zweck
Stellen Sie sicher, dass alle drei Filter für die logische Schnittstelle aktiv sind.
Aktion
So überprüfen Sie, ob Eingabepakete gemäß den drei Filtern akzeptiert werden:
Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 21 im Header. Das Paket sollte akzeptiert werden.Vom Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, senden Sie ein Paket mit der Zielportnummer 22 im Header. Das Paket sollte akzeptiert werden.Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit der Zielportnummer 23 im Header. Das Paket sollte akzeptiert werden.Senden Sie von dem Remote-Host, der mit der logischen Schnittstelle
ge-1/3/0.0dieses Routers (oder Switches) verbunden ist, ein Paket mit einer anderen Zielportnummer als 21, 22 oder 23. Das Paket sollte verworfen werden.-
Um Zählerinformationen für die Liste der Filter anzuzeigen, die auf die Eingabe angewendet werden, geben Sie den
ge-1/3/0.0show firewall filter ge-1/3/0.0-inet-iBetriebsmodus-Befehl ein. Die Befehlsausgabe zeigt die Anzahl der Bytes und Pakete an, die filterbegriffen entsprechen, die den folgenden Leistungsindikatoren zugeordnet sind:-
pkts_FTP-ge-1/3/0.0-inet-i -
pkts_SSH-ge-1/3/0.0-inet-i -
pkts_Telnet-ge-1/3/0.0-inet-i -
pkts_discard-ge-1/3/0.0-inet-i
-