Beispiel: Konfigurieren eines Filters zum Blockieren des Telnet- und SSH-Zugriffs

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um das R1-Gerät zu konfigurieren:

1. Konfigurieren Sie die Schnittstellen:

2. Konfigurieren Sie den Hostnamen und die statische Route zur Loopback-Adresse des R2-Geräts. Außerdem konfigurieren Sie den Telnet- und SSH-Zugriff:

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um Ihre Kandidatenkonfiguration auf dem R1-Gerät zu überprüfen und zu bestätigen:

1. Bestätigen Sie die Schnittstellenkonfiguration mit dem Befehl configuration mode.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

2. Überprüfen Sie, ob die statische Route zum Erreichen der Loopback-Adresse des R2-Geräts verwendet wird und ob SSH- und Telnet-Zugriff aktiviert sind. Verwenden Sie die Befehle und Konfigurationsmodus.show routing-optionsshow system services Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

3. Wenn Sie mit der Konfiguration auf dem R1-Gerät zufrieden sind, bestätigen Sie Ihre Kandidatenkonfiguration.

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um das R2-Gerät zu konfigurieren. Sie beginnen mit der Definition des zustandslosen Firewallfilters, der den Telnet- und SSH-Zugriff selektiv blockiert:

1. Positionieren Sie sich in der Hierarchie :edit firewall family inet filter local_acl

2. Definieren Sie den Filterbegriff .terminal_access Dieser Begriff erlaubt Telnet und SSH von den angegebenen Quellpräfixen:

3. Definieren Sie den Filterbegriff .terminal_access_denied Dieser Begriff lehnt SSH und Telnet von allen anderen Quelladressen ab. Dieser Begriff ist so konfiguriert, dass Übereinstimmungen mit dem Begriff protokolliert werden und eine explizite ICMP-Antwort (Internet Control Message Protocol)-Ziel generiert wird, die nicht erreichbar ist, zurück an die Quelle des Pakets. Weitere Informationen zu den Filterprotokollierungsoptionen finden Sie unter Firewall-Filterprotokollierungsaktionen .Protokollierungsaktionen für Firewall-Filter

   Tipp:

   Sie können die Aktion verwenden, um die Generierung von ICMP-Fehlermeldungen zurück an die Quelle zu unterdrücken.discard Weitere Informationen finden Sie unter Aktionen zum Beenden von Firewall-Filtern .Aktionen zum Beenden des Firewall-Filters

4. Optional.

   Definieren Sie den Filterbegriff .tcp-estab Dieser Begriff erlaubt den ausgehenden Zugriff auf das Internet, um Verbindungen zur Juniper Mist Cloud zu unterstützen ( ist eine Bitfeldübereinstimmungsbedingung, die auf eine aufgebaute TCP-Sitzung, aber nicht auf das erste Paket einer TCP-Verbindung hinweist):tcp-establishedtcp-flags "(ack | rst)"

5. Definieren Sie den Filterbegriff .default-term Diese Bedingung akzeptiert den gesamten anderen Datenverkehr. Denken Sie daran, dass zustandslose Filter am Ende einen impliziten Verweigerungsbegriff haben.Junos OS Dieses Verhalten wird überschrieben, indem der Filter mit einer expliziten Annahmeaktion beendet wird.default-term Das Beenden des Filters führt dazu, dass der gesamte andere Datenverkehr vom Filer akzeptiert wird.

   HINWEIS:

   In diesem Beispiel lassen wir den gesamten anderen Datenverkehr zu, aber für Ihr Netzwerk möchten Sie möglicherweise die Routing-Engine sichern. Weitere Informationen finden Sie unter Schützen der Routing-Engine .https://www.juniper.net/documentation/us/en/software/junos/routing-policy/topics/example/routing-stateless-firewall-filter-security-accept-traffic-from-trusted-source-configuring.html

6. Konfigurieren Sie die Loopback-Schnittstelle, und wenden Sie den Filter in Eingaberichtung an:

7. Konfigurieren Sie den Hostnamen, die ge-0/0/0-Schnittstelle, die statische Route zur Loopback-Adresse des R1-Geräts und aktivieren Sie den Fernzugriff über SSH und Telnet:

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte aus, um Ihre Kandidatenkonfiguration auf dem R2-Gerät zu überprüfen und zu bestätigen:

1. Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters mit dem Befehl configuration mode.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

2. Bestätigen Sie die Schnittstellenkonfiguration und filtern Sie die Anwendung mit dem Befehl Konfigurationsmodus.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

3. Überprüfen Sie die statische Route, die zum Erreichen der Loopback-Adresse des R1-Geräts verwendet wird, und stellen Sie sicher, dass Telnet- und SSH-Zugriff aktiviert sind. Verwenden Sie die Befehle und Konfigurationsmodus.show routing-optionsshow system services Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

4. Wenn Sie mit der Konfiguration auf dem R2-Gerät zufrieden sind, bestätigen Sie Ihre Kandidatenkonfiguration.

   Tipp:

   Erwägen Sie die Verwendung, wenn Sie Änderungen vornehmen, die sich auf den Remotezugriff auf Ihr Gerät auswirken könnten.commit-confirmed

Zweck

Stellen Sie sicher, dass der Firewallfilter SSH und Telnet korrekt zulässt, wenn der Datenverkehr aus dem Subnetz 192.168.1.0/30 stammt.

Was

1. Löschen Sie das Firewall-Protokoll auf Ihrem Router oder Switch.

2. Verwenden Sie von einem Host mit einer IP-Adresse innerhalb des Subnetzes 192.168.1.0/30 einen Befehl, um zu überprüfen, ob Sie sich über SSH von einer zulässigen Quelladresse aus beim Gerät anmelden können.ssh 192.168.255.2 Dieses Paket sollte akzeptiert werden, aber die Paket-Header-Informationen für dieses Paket sollten nicht im Protokollpuffer des Firewallfilters in der Paketweiterleitungs-Engine protokolliert werden. Sie werden aufgefordert, den SSH-Hostschlüssel zu speichern, wenn dies die erste SSH-Anmeldung zwischen diesen Geräten ist.user

   HINWEIS:

   Standardmäßig bezieht das R1-Gerät den SSH-Datenverkehr von der Ausgangsschnittstelle, die zum Erreichen des Ziels verwendet wird. Daher wird dieser Datenverkehr von der Adresse 192.168.1.1 bezogen, die der ge-0/0/0-Schnittstelle des R1-Geräts zugewiesen ist.

3. Melden Sie sich am R2-Gerät von der CLI ab, um die SSH-Sitzung zu schließen.

4. Verwenden Sie von einem Host mit einer IP-Adresse innerhalb des Subnetzes 192.168.1.0/30 den Befehl, um zu überprüfen, ob Sie sich über Telnet von einer zulässigen Quelladresse aus bei Ihrem Router oder Switch anmelden können.telnet 192.168.255.2 Dieses Paket sollte akzeptiert werden, aber die Paket-Header-Informationen für dieses Paket sollten nicht im Protokollpuffer des Firewallfilters in der Paketweiterleitungs-Engine protokolliert werden.

5. Melden Sie sich von der CLI ab, um die Telnet-Sitzung mit dem R2-Gerät zu schließen.

6. Verwenden Sie den Befehl, um zu überprüfen, ob der Firewallprotokollpuffer in der Packet Forwarding Engine (PFE) des R2-Geräts keine Einträge mit einer Quelladresse im Subnetz 192.168.1.0/30 enthält.show firewall log

Zweck

Stellen Sie sicher, dass der Firewallfilter SSH- und Telnet-Datenverkehr, der nicht aus dem Subnetz 192.168.1.0/30 stammt, korrekt ablehnt.

Was

1. Löschen Sie das Firewall-Protokoll auf Ihrem Router oder Switch.

2. Generieren Sie SSH-Datenverkehr, der von der Loopback-Adresse des R1-Geräts stammt. Die Quelladresse dieses Datenverkehrs liegt außerhalb des zulässigen Subnetzes 192.168.1.0/30 . Verwenden Sie den Befehl, um sicherzustellen, dass Sie sich von dieser Quelladresse aus nicht über SSH beim Gerät anmelden können.ssh 192.168.255.2 source 192.168.255.1 Dieses Paket sollte zurückgewiesen werden, und die Paket-Header-Informationen sollten im Protokollpuffer des Firewallfilters protokolliert werden.

   Die Ausgabe zeigt , dass die SSH-Verbindung abgelehnt wird. Diese Ausgabe bestätigt, dass der Filter eine ICMP-Fehlermeldung generiert und dass SSH-Datenverkehr korrekt blockiert wird, wenn er von einer unzulässigen Quelladresse gesendet wird.

3. Generieren Sie Telnet-Datenverkehr, der von der Loopback-Adresse des R1-Geräts stammt. Die Quelladresse dieses Datenverkehrs liegt außerhalb des zulässigen Subnetzes 192.168.1.0/30 . Verwenden Sie den Befehl, um sicherzustellen, dass Sie sich von dieser Quelladresse aus nicht über Telnet beim Gerät anmelden können.telnet 192.168.255.2 source 192.168.255.1 Dieses Paket sollte zurückgewiesen werden, und die Paket-Header-Informationen für dieses Paket sollten im Protokollpuffer des Firewallfilters in der PFE protokolliert werden.

   Die Ausgabe zeigt , dass die Telnet-Verbindung abgelehnt wurde. Diese Ausgabe bestätigt, dass der Filter eine ICMP-Fehlermeldung generiert und dass Telnet-Datenverkehr korrekt blockiert wird, wenn er von einer unzulässigen Quelladresse gesendet wird.

4. Verwenden Sie den Befehl, um zu überprüfen, ob der Firewall-Protokollpuffer auf dem R2-Gerät Einträge enthält, aus denen hervorgeht , dass Pakete mit der Quelladresse 192.168.255.1 zurückgewiesen wurden .show firewall log

   Die Ausgabe bestätigt, dass der Datenverkehr von der Quelladresse 192.168.255.1 mit dem Begriff des Filters übereinstimmt.terminal_access_denied In der Spalte wird ein angezeigt, um anzuzeigen , dass diese Pakete zurückgewiesen wurden.ActionR Die Schnittstelle, das Transportprotokoll sowie die Quell- und Zieladressen werden ebenfalls aufgeführt. Diese Ergebnisse bestätigen , dass der Firewallfilter für dieses Beispiel ordnungsgemäß funktioniert.