Auf dieser Seite
Beispiel: Konfigurieren eines zustandslosen Firewallfilters für eine Schnittstellengruppe
Firewall-Filter sind für die Sicherung eines Netzwerks und die Vereinfachung des Netzwerkmanagements unerlässlich. Im Junos-Betriebssystem können Sie einen zustandslosen Firewall-Filter konfigurieren, um die Übertragung von Datenpaketen durch das System zu steuern und Pakete nach Bedarf zu bearbeiten. Das Anwenden eines zustandslosen Firewallfilters auf eine Schnittstellengruppe hilft beim Filtern von Paketen, die jede Schnittstelle in der Schnittstellengruppe durchlaufen. In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter so konfiguriert wird, dass er Pakete abgleicht, die für eine bestimmte Schnittstellengruppe markiert sind.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei beliebige Router oder Switches von Juniper Networks, die physisch oder logisch über Schnittstellen miteinander verbunden sind, die zu einer Routing-Instanz gehören
Junos OS Version 7.4 oder höher
Überblick
Sie können einen zustandslosen Firewallfilter auf eine Schnittstellengruppe anwenden, um ihn auf alle Schnittstellen in der Schnittstellengruppe anzuwenden. Dies hilft Ihnen, die Paketfilterung auf verschiedenen Schnittstellen gleichzeitig zu verwalten.
In diesem Beispiel konfigurieren Sie zwei Router- oder Switch-Schnittstellen so, dass sie zur Schnittstellengruppe gehören. Außerdem konfigurieren Sie einen zustandslosen Firewallfilter mit drei Begriffen. Term stimmt term1der Filter mit Paketen überein, die in dieser Schnittstellengruppe als empfangen markiert wurden und ein ICMP-Protokoll-Tagenthalten. Der Filter zählt, protokolliert und lehnt Pakete ab, die den Bedingungen entsprechen. Im Begriff term2stimmt der Filter mit Paketen überein, die das ICMP-Protokoll-Tag enthalten. Der Filter zählt, protokolliert und akzeptiert alle Pakete, die der Bedingung entsprechen. In term term3zählt der Filter alle Transitpakete.
Durch Anwenden des Firewallfilters auf die Routinginstanz können Sie den Filtermechanismus gleichzeitig auf alle Schnittstellen in der Schnittstellengruppe anwenden. Dazu müssen alle Schnittstellen in der Schnittstellengruppe zu einer einzigen Routinginstanz gehören.
Wenn Sie einen Firewallfilter auf eine Loopback-Schnittstelle anwenden, filtert die Schnittstelle alle Pakete, die für die Routing-Engine bestimmt sind.
Die CLI-Schnellkonfiguration zeigt die Konfiguration für alle Geräte in Abbildung 1. Im Abschnitt Schritt-für-Schritt-Anleitung werden die Schritte auf Gerät R1 beschrieben.
Konfiguration
- CLI-Schnellkonfiguration
- Konfigurieren und Anwenden des Filters "Zustandslose Firewall" auf eine Schnittstellengruppe
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Gerät R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Gerät R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Konfigurieren und Anwenden des Filters "Zustandslose Firewall" auf eine Schnittstellengruppe
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den zustandslosen Firewallfilter filter_if_group für eine Schnittstellengruppe:
Erstellen Sie den zustandslosen Firewallfilter
filter_if_group.[edit firewall] user@R1# edit family inet filter filter_if_group
Konfigurieren Sie die Schnittstellen und ordnen Sie der Schnittstellengruppe
1zwei Schnittstellen zu.[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Konfigurieren Sie den Begriff
term1so, dass die in der Schnittstellengruppe1und mit dem ICMP-Protokoll empfangenen Pakete übereinstimmen.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Konfigurieren Sie den Begriff
term1so, dass alle übereinstimmenden Pakete gezählt, protokolliert und abgelehnt werden.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Konfigurieren Sie den Begriff
term2so, dass Pakete mit dem ICMP-Protokoll abgeglichen werden.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Konfigurieren Sie den Begriff
term2so, dass alle übereinstimmenden Pakete gezählt, protokolliert und akzeptiert werden.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Konfigurieren Sie den Begriff
term3so, dass alle Transitpakete gezählt werden.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Wenden Sie den Firewallfilter auf die Schnittstellengruppe des Routers (oder Switches) an, indem Sie ihn auf die Routing-Instanz anwenden.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show firewallund show forwarding-options eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren der Konfiguration der Schnittstellen
- Überprüfen der zustandslosen Firewallfilterkonfiguration
Verifizieren der Konfiguration der Schnittstellen
Zweck
Stellen Sie sicher, dass die Schnittstellen ordnungsgemäß konfiguriert sind.
Action!
Um den Zustand der Schnittstellen anzuzeigen, verwenden Sie den show interfaces terse Befehl Betriebsmodus.
Gerät R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0Gerät R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...Bedeutung
Alle Schnittstellen auf den Geräten R0 und R1 sind physisch verbunden und aktiv. Die Schnittstellengruppe 1 auf dem Gerät R1 besteht aus zwei Schnittstellen, nämlich ge-0/0/0.0 und ge-0/0/2.0.
Überprüfen der zustandslosen Firewallfilterkonfiguration
Zweck
Stellen Sie sicher, dass die Übereinstimmungsbedingungen für den Firewallfilter ordnungsgemäß konfiguriert sind.
Action!
Um die Firewall-Filterzähler anzuzeigen, geben Sie den
show firewall filter filter_if_groupBefehl Betriebsmodus ein.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Um das lokale Protokoll der Paket-Header für Pakete anzuzeigen, die vom Firewall-Filter ausgewertet werden, geben Sie den
show firewall logBefehl operational mode ein.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Um sicherzustellen, dass die Firewall-Filter in der Schnittstellengruppe
1auf Gerät R1 aktiv sind, verwenden Sie denping <address>Befehl operational mode in der CLI von Gerät R0.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Um sicherzustellen, dass der Firewallfilter nicht auf eine Schnittstelle angewendet wird, die sich nicht in der Schnittstellengruppe
1befindet, verwenden Sie denping <address>Befehl Betriebsmodus in der CLI von Gerät R0.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Bedeutung
Der zustandslose Firewall-Filter wird auf alle Schnittstellen in der Schnittstellengruppe 1angewendet. Der Begriff term1 Übereinstimmungsbedingung im zustandslosen Firewallfilter zählt, protokolliert und lehnt Pakete ab, die von den Schnittstellen in der Schnittstellengruppe 1 und mit einem Quell-ICMP-Protokoll empfangen oder gesendet werden. Der Begriff term2 Übereinstimmungsbedingung stimmt mit Paketen überein, die mit dem ICMP-Protokoll gekennzeichnet sind, und zählt, protokolliert und akzeptiert diese Pakete. Die Bedingung "Termübereinstimmung term3 " zählt alle Transitpakete.