Auf dieser Seite
Beispiel: Konfigurieren eines zustandslosen Firewallfilters für die Annahme von Datenverkehr aus vertrauenswürdigen Quellen
In diesem Beispiel wird gezeigt, wie ein zustandsloser Firewallfilter erstellt wird, der das Routingmodul vor Datenverkehr aus nicht vertrauenswürdigen Quellen schützt.
Anforderungen
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor zustandslose Firewallfilter konfiguriert werden.
Überblick
In diesem Beispiel erstellen Sie einen zustandslosen Firewallfilter namens protect-RE, der den gesamten für die Routing-Engine bestimmten Datenverkehr mit Ausnahme von SSH- und BGP-Protokollpaketen aus angegebenen vertrauenswürdigen Quellen verwirft. Dieses Beispiel enthält die folgenden Firewallfilterbegriffe:
ssh-term– Akzeptiert TCP-Pakete mit der Quelladresse und einem Zielport, der192.168.122.0/24SSH angibt.bgp-term- Akzeptiert TCP-Pakete mit einer Quelladresse von und einem Zielport, der10.2.1.0/24BGP angibt.discard-rest-term—Für alle Pakete, die nicht vonssh-termoderbgp-termakzeptiert werden, wird ein Firewall-Filterprotokoll und Systemprotokolldatensätze erstellt und dann alle Pakete verworfen.
Mit dem insert Befehl können Sie Begriffe innerhalb des Firewall-Filters verschieben. Weitere Informationen finden Sie unter Einfügen im Junos OS CLI-Benutzerhandbuch.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie den zustandslosen Firewallfilter:
Erstellen Sie den zustandslosen Firewallfilter.
[edit] user@host# edit firewall family inet filter protect-RE
Erstellen Sie den ersten Filterbegriff.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Definieren Sie die Übereinstimmungsbedingungen für Protokoll, Zielport und Quelladresse für den Begriff.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Definieren Sie die Aktionen für den Term.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Erstellen Sie den zweiten Filterbegriff.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Definieren Sie die Übereinstimmungsbedingungen für Protokoll, Zielport und Quelladresse für den Begriff.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Erstellen Sie den dritten Filterbegriff.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Wenden Sie den Filter auf die Eingabeseite der Routing-Engine-Schnittstelle an.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie den show firewall Befehl und den Befehl aus dem show interfaces lo0 Konfigurationsmodus eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show firewall
family inet {
filter protect-RE {
term ssh-term {
from {
source-address {
192.168.122.0/24;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
term bgp-term {
from {
source-address {
10.2.1.0/24;
}
protocol tcp;
destination-port bgp;
}
then accept;
}
term discard-rest-term {
then {
log;
syslog;
discard;
}
}
}
}
user@host# show interfaces lo0
unit 0 {
family inet {
filter {
input protect-RE;
}
address 127.0.0.1/32;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
[edit] user@host# commit
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Anzeigen von zustandslosen Firewall-Filterkonfigurationen
- Überprüfen eines Firewallfilters für Dienste, Protokolle und vertrauenswürdige Quellen
- Anzeigen von zustandslosen Firewall-Filterprotokollen
Anzeigen von zustandslosen Firewall-Filterkonfigurationen
Zweck
Überprüfen Sie die Konfiguration des Firewallfilters.
Action!
Geben Sie im Konfigurationsmodus den show firewall Befehl und den show interfaces lo0 Befehl ein.
Bedeutung
Stellen Sie sicher, dass die Ausgabe die beabsichtigte Konfiguration des Firewallfilters anzeigt. Stellen Sie außerdem sicher, dass die Begriffe in der Reihenfolge aufgeführt sind, in der die Pakete getestet werden sollen. Sie können Begriffe innerhalb eines Firewallfilters verschieben, indem Sie den insert CLI-Befehl verwenden.
Überprüfen eines Firewallfilters für Dienste, Protokolle und vertrauenswürdige Quellen
Zweck
Vergewissern Sie sich, dass die Aktionen der Firewallfilterbegriffe ausgeführt werden.
Action!
Senden Sie Pakete an das Gerät, die den Bedingungen entsprechen. Stellen Sie außerdem sicher, dass die Filteraktionen für Pakete ausgeführt werden not , die nicht übereinstimmen.
Verwenden Sie den Befehl von einem Host mit einer übereinstimmenden
ssh host-name192.168.122.0/24IP-Adresse, um zu überprüfen, ob Sie sich nur mit SSH von einem Host mit diesem Adresspräfix am Gerät anmelden können.Verwenden Sie den
show route summaryBefehl, um zu überprüfen, ob die Routing-Tabelle auf dem Gerät keine Einträge mit einem anderen Protokoll alsDirect,Local,BGPoderStaticenthält.
Beispielausgabe
Befehlsname
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
Befehlsname
user@host> show route summary
Router ID: 192.168.249.71
inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden)
Direct: 10 routes, 9 active
Local: 9 routes, 9 active
BGP: 10 routes, 10 active
Static: 5 routes, 5 active
...
Bedeutung
Überprüfen Sie die folgenden Informationen:
Sie können sich erfolgreich über SSH beim Gerät anmelden.
Der
show route summaryBefehl zeigt kein anderes Protokoll alsDirect,Local,BGPoderStatic.
Anzeigen von zustandslosen Firewall-Filterprotokollen
Zweck
Vergewissern Sie sich, dass Pakete protokolliert werden. Wenn Sie die log Aktion "oder" syslog in einen Begriff aufgenommen haben, stellen Sie sicher, dass Pakete, die dem Begriff entsprechen, im Firewallprotokoll oder in Ihrer Systemprotokollierungsfunktion aufgezeichnet werden.
Action!
Geben Sie im Betriebsmodus den show firewall log Befehl ein.
Beispielausgabe
Befehlsname
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Bedeutung
Jeder Datensatz der Ausgabe enthält Informationen über das protokollierte Paket. Überprüfen Sie die folgenden Informationen:
Unter
Timewird die Tageszeit angezeigt, zu der das Paket gefiltert wurde.Die
FilterAusgabe ist immerpfe.Unter
Actionstimmt die konfigurierte Aktion des Begriffs mit der Aktion überein, die für das Paket ausgeführt wurde:A(Akzeptieren),D(Verwerfen),R(Ablehnen).Unter
Interfaceist die eingehende Schnittstelle (Eingangsschnittstelle), auf der das Paket angekommen ist, für den Filter geeignet.Unter
Protocolist das Protokoll im IP-Header des Pakets für den Filter geeignet.Unter
Src Addrist die Quelladresse im IP-Header des Pakets für den Filter geeignet.Unter
Dest Addrist die Zieladresse im IP-Header des Pakets für den Filter geeignet.