Auf dieser Seite
Beispiel: Konfigurieren eines zustandslosen Firewallfilters für die Annahme von Datenverkehr aus vertrauenswürdigen Quellen
In diesem Beispiel wird gezeigt, wie ein zustandsloser Firewallfilter erstellt wird, der das Routingmodul vor Datenverkehr aus nicht vertrauenswürdigen Quellen schützt.
Anforderungen
Über die Geräteinitialisierung hinaus ist keine spezielle Konfiguration erforderlich, bevor zustandslose Firewallfilter konfiguriert werden.
Überblick
In diesem Beispiel erstellen Sie einen zustandslosen Firewallfilter namens protect-RE, der den gesamten für die Routing-Engine bestimmten Datenverkehr mit Ausnahme von SSH- und BGP-Protokollpaketen aus angegebenen vertrauenswürdigen Quellen verwirft. Dieses Beispiel enthält die folgenden Firewallfilterbegriffe:
– Akzeptiert TCP-Pakete mit der Quelladresse und einem Zielport, der SSH angibt.
ssh-term
192.168.122.0/24
- Akzeptiert TCP-Pakete mit einer Quelladresse von und einem Zielport, der BGP angibt.
bgp-term
10.2.1.0/24
—Für alle Pakete, die nicht von oder akzeptiert werden, wird ein Firewall-Filterprotokoll und Systemprotokolldatensätze erstellt und dann alle Pakete verworfen.
discard-rest-term
ssh-term
bgp-term
Mit dem Befehl können Sie Begriffe innerhalb des Firewall-Filters verschieben.insert
Weitere Informationen finden Sie unter Einfügen im Junos OS CLI-Benutzerhandbuch.inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein.[edit]
set firewall family inet filter protect-RE term ssh-term from source-address 192.168.122.0/24 set firewall family inet filter protect-RE term ssh-term from protocol tcp set firewall family inet filter protect-RE term ssh-term from destination-port ssh set firewall family inet filter protect-RE term ssh-term then accept set firewall family inet filter protect-RE term bgp-term from source-address 10.2.1.0/24 set firewall family inet filter protect-RE term bgp-term from protocol tcp set firewall family inet filter protect-RE term bgp-term from destination-port bgp set firewall family inet filter protect-RE term bgp-term then accept set firewall family inet filter protect-RE term discard-rest-term then log set firewall family inet filter protect-RE term discard-rest-term then syslog set firewall family inet filter protect-RE term discard-rest-term then discard set interfaces lo0 unit 0 family inet filter input protect-RE
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie im Junos OS CLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie den zustandslosen Firewallfilter:
Erstellen Sie den zustandslosen Firewallfilter.
[edit] user@host# edit firewall family inet filter protect-RE
Erstellen Sie den ersten Filterbegriff.
[edit firewall family inet filter protect-RE] user@host# edit term ssh-term
Definieren Sie die Übereinstimmungsbedingungen für Protokoll, Zielport und Quelladresse für den Begriff.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set from protocol tcp destination-port ssh source-address 192.168.122.0/24
Definieren Sie die Aktionen für den Term.
[edit firewall family inet filter protect-RE term ssh-term] user@host# set then accept
Erstellen Sie den zweiten Filterbegriff.
[edit firewall family inet filter protect-RE] user@host# edit term bgp-term
Definieren Sie die Übereinstimmungsbedingungen für Protokoll, Zielport und Quelladresse für den Begriff.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set from protocol tcp destination-port bgp source-address 10.2.1.0/24
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter protect-RE term bgp-term] user@host# set then accept
Erstellen Sie den dritten Filterbegriff.
[edit firewall family inet filter protect-RE] user@host# edit term discard-rest-term
Definieren Sie die Aktion für den Begriff.
[edit firewall family inet filter protect-RE term discard-rest] user@host# set then log syslog discard
Wenden Sie den Filter auf die Eingabeseite der Routing-Engine-Schnittstelle an.
[edit] user@host# set interfaces lo0 unit 0 family inet filter input protect-RE
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl und den Befehl aus dem Konfigurationsmodus eingeben.show firewall
show interfaces lo0
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show firewall family inet { filter protect-RE { term ssh-term { from { source-address { 192.168.122.0/24; } protocol tcp; destination-port ssh; } then accept; } term bgp-term { from { source-address { 10.2.1.0/24; } protocol tcp; destination-port bgp; } then accept; } term discard-rest-term { then { log; syslog; discard; } } } }
user@host# show interfaces lo0 unit 0 { family inet { filter { input protect-RE; } address 127.0.0.1/32; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Anzeigen von zustandslosen Firewall-Filterkonfigurationen
- Überprüfen eines Firewallfilters für Dienste, Protokolle und vertrauenswürdige Quellen
- Anzeigen von zustandslosen Firewall-Filterprotokollen
Anzeigen von zustandslosen Firewall-Filterkonfigurationen
Zweck
Überprüfen Sie die Konfiguration des Firewallfilters.
Was
Geben Sie im Konfigurationsmodus den Befehl und den Befehl ein.show firewall
show interfaces lo0
Bedeutung
Stellen Sie sicher, dass die Ausgabe die beabsichtigte Konfiguration des Firewallfilters anzeigt. Stellen Sie außerdem sicher, dass die Begriffe in der Reihenfolge aufgeführt sind, in der die Pakete getestet werden sollen. Sie können Begriffe innerhalb eines Firewallfilters verschieben, indem Sie den CLI-Befehl verwenden.insert
Überprüfen eines Firewallfilters für Dienste, Protokolle und vertrauenswürdige Quellen
Zweck
Vergewissern Sie sich, dass die Aktionen der Firewallfilterbegriffe ausgeführt werden.
Was
Senden Sie Pakete an das Gerät, die den Bedingungen entsprechen. Stellen Sie außerdem sicher, dass die Filteraktionen für Pakete ausgeführt werden , die nicht übereinstimmen.not
Verwenden Sie den Befehl von einem Host mit einer übereinstimmenden IP-Adresse, um zu überprüfen, ob Sie sich nur mit SSH von einem Host mit diesem Adresspräfix am Gerät anmelden können.
ssh host-name
192.168.122.0/24
Verwenden Sie den Befehl, um zu überprüfen, ob die Routing-Tabelle auf dem Gerät keine Einträge mit einem anderen Protokoll als , , oder enthält.
show route summary
Direct
Local
BGP
Static
Beispielausgabe
Befehlsname
% ssh 192.168.249.71 %ssh host user@host's password: --- JUNOS 6.4-20040518.0 (JSERIES) #0: 2004-05-18 09:27:50 UTC user@host>
Befehlsname
user@host> show route summary Router ID: 192.168.249.71 inet.0: 34 destinations, 34 routes (33 active, 0 holddown, 1 hidden) Direct: 10 routes, 9 active Local: 9 routes, 9 active BGP: 10 routes, 10 active Static: 5 routes, 5 active ...
Bedeutung
Überprüfen Sie die folgenden Informationen:
Sie können sich erfolgreich über SSH beim Gerät anmelden.
Der Befehl zeigt kein anderes Protokoll als , , oder .
show route summary
Direct
Local
BGP
Static
Anzeigen von zustandslosen Firewall-Filterprotokollen
Zweck
Vergewissern Sie sich, dass Pakete protokolliert werden. Wenn Sie die Aktion "oder" in einen Begriff aufgenommen haben, stellen Sie sicher, dass Pakete, die dem Begriff entsprechen, im Firewallprotokoll oder in Ihrer Systemprotokollierungsfunktion aufgezeichnet werden.log
syslog
Was
Geben Sie im Betriebsmodus den Befehl ein.show firewall log
Beispielausgabe
Befehlsname
user@host> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 15:11:02 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 15:11:01 pfe D ge-0/0/0.0 TCP 172.17.28.19 192.168.70.71 ...
Bedeutung
Jeder Datensatz der Ausgabe enthält Informationen über das protokollierte Paket. Überprüfen Sie die folgenden Informationen:
Unter wird die Tageszeit angezeigt, zu der das Paket gefiltert wurde.
Time
Die Ausgabe ist immer .
Filter
pfe
Unter stimmt die konfigurierte Aktion des Begriffs mit der Aktion überein, die für das Paket ausgeführt wurde: (Akzeptieren), (Verwerfen), (Ablehnen).
Action
A
D
R
Unter ist die eingehende Schnittstelle (Eingangsschnittstelle), auf der das Paket angekommen ist, für den Filter geeignet.
Interface
Unter ist das Protokoll im IP-Header des Pakets für den Filter geeignet.
Protocol
Unter ist die Quelladresse im IP-Header des Pakets für den Filter geeignet.
Src Addr
Unter ist die Zieladresse im IP-Header des Pakets für den Filter geeignet.
Dest Addr