Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:TCP および ICMP フラッドから保護するステートレス ファイアウォール フィルターの構成

この例では、TCP および ICMP サービス拒否攻撃から保護するステートレス ファイアウォール フィルターを作成する方法を示します。

要件

ステートレス ファイアウォール フィルターを構成する前に、デバイス初期化以外の特別な構成を行う必要はありません。

概要

この例では、TCP および ICMP パケットをポリシングするために呼び出され るステートレス ファイアウォール フィルターを作成します。protect-RE ここで説明するポリサーを使用します。

  • tcp-connection-policer- このポリサーは、TCP トラフィックを 1,000,000 ビット/秒(bps)に制限し、最大バースト サイズは 15,000 バイトです。いずれかの制限を超えるトラフィックは破棄されます。

  • icmp-policer- このポリサーは、ICMP トラフィックを 1,000,000 bps に制限し、最大バースト サイズは 15,000 バイトです。いずれかの制限を超えるトラフィックは破棄されます。

制限を指定する場合、帯域幅の制限は 32,000 bps から 32,000,000,000 bps まで、バーストサイズの制限は 1,500 バイトから 100,000,000 バイトまでです。制限を指定するときは、次の省略形を使用します。k (1,000)、m (1,000,000)、および g (1,000,000,000)。

各ポリサーは、フィルター項目のアクションに組み込まれます。この例には、次の用語が含まれています。

  • tcp-connection-term- 送信元アドレスが 192.168.0.0/24 または 10.0.0.0/24 の特定の TCP パケットをポリシングします。これらのアドレスは、 プレフィックス リストで定義されます。 trusted-addresses

    フィルタリングされたパケットに含まれる パケット 一致条件は 、ビットフィールド一致条件 のエイリアスで、確立されたTCPセッションを示しますが、TCP接続の最初のパケットは示しません。tcp-establishedtcp-establishedtcp-flags “(ack | rst)”

  • icmp-term- ICMP パケットをポリシングします。すべてのICMPパケットがカウンターで カウントされます。icmp-counter

注:

コマンドを使用して、ファイアウォールフィルター 内で用語を移動できます。insert 『Junos OS CLIユーザーガイド』の「挿入」を参照してください。inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

ステートレス ファイアウォールは、インターフェイスの入力側または出力側、あるいはその両方に適用できます。デバイスを通過するパケットをフィルタリングするには、ルーティングエンジン以外のインターフェイスにファイアウォールフィルターを適用します。ルーティングエンジンから発信されるパケット、またはルーティングエンジンへ向かうパケットをフィルタリングするには、ファイアウォールフィルターをループバック(lo0)インターフェイスに適用します。

図 1は、サンプルのネットワークを示しています。

図 1: TCPおよびICMPフラッドから保護するファイアウォールフィルターTCPおよびICMPフラッドから保護するファイアウォールフィルター

このファイアウォールフィルターは、ルーティングエンジンのトラフィックをTCPパケットに制限するため、レイヤー4に他のトランスポートプロトコルを使用するルーティングプロトコルは、このフィルターがアクティブな場合、セッションを正常に確立できません。デモンストレーションのために、この例ではデバイスR1とデバイスR2の間にOSPFを設定します。

CLIクイック構成は、図 1でのすべてのデバイスの設定を示しています。

セクション#configuration1102__policy-firewall-tcp-icmp-stは、デバイスR2の手順を説明します。

設定

手順

CLIクイック構成

ステートレス ファイアウォール フィルターをすばやく構成するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、コマンドを CLI に貼り付けます。

デバイスR1

デバイスR2

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用

ステートレス ファイアウォール フィルターを構成して破棄するには:

  1. デバイスインターフェイスを設定します。

  2. BGP ピアリング セッションを構成します。

  3. 自律システム(AS)番号とルーターIDを設定します。

  4. OSPFを設定します。

  5. 信頼できるアドレスのリストを定義します。

  6. 直接ルートをアドバタイズするポリシーを設定します。

  7. TCP ポリサーを構成します。

  8. ICMP ポリサーを作成します。

  9. TCP フィルター規則を構成します。

  10. ICMP フィルター規則を構成します。

  11. ループバックインターフェイスにフィルターを適用します。

結果

コンフィギュレーション モードから 、 、 、 、および コマンドを入力して、コンフィギュレーションを確認します。show interfacesshow protocols show policy-optionsshow routing-optionsshow firewall 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

注:

TCP ポリサーを確認するには、パケット生成ツールを使用できます。このタスクは、ここでは示されていません。

有効なステートレス ファイアウォール フィルターの表示

目的

ファイアウォールフィルターの設定を確認します。

アクション

動作モードからshow firewallコマンドを入力します。

意味

出力には、デバイス R2 で有効なフィルタ、カウンタ、およびポリサーが表示されます。

Telnet を使用した TCP ファイアウォール フィルターで TCP が確立した状態の確認

目的

Telnet トラフィックが想定どおりに動作することを確認します。

アクション

デバイスが、条件を満たす ホストとの TCP セッションのみを確立できることを確認します。from tcp-established

  1. デバイスR2から、デバイスR1とのBGPセッションが確立されていることを確認します。

  2. デバイスR2からデバイスR1にtelnetでアクセス。

  3. デバイスR1からデバイスR2にtelnetで接続します。

  4. デバイスR2で、一致条件を無効に します。from tcp-established

  5. デバイスR1からデバイスR2へのtelnet接続を再試行します。

意味

次の情報を確認します。

  • 予想通り、BGPセッションが確立されます。一致条件は、BGP セッションの確立をブロックすることは想定されていません。from tcp-established

  • デバイスR2から、デバイスR1にtelnetで接続できます。デバイスR1にはファイアウォールフィルターが設定されていないため、これは予期される動作です。

  • デバイス R1 からデバイス R2 に telnet で接続することはできません。Telnet はトランスポート プロトコルとして TCP を使用するため、この結果は驚くべきものかもしれません。Telnet接続できない原因は、 一致条件です。from tcp-established この一致条件は、デバイスR2で受け入れられるTCPトラフィックのタイプを制限します。この一致条件が無効になると、Telnet セッションは成功します。

Telnet を使用した TCP ファイアウォール フィルターの信頼できるプレフィックス条件の確認

目的

Telnet トラフィックが想定どおりに動作することを確認します。

アクション

デバイスが、信頼できる送信元アドレスの 1 つと一致する IP アドレスのホストとの Telnet セッションのみを確立できることを確認します。例えば、信頼できるアドレスプレフィックスの1つを持つ別のホストから、 コマンドを使用してデバイスにログインします。telnet また、信頼できない送信元アドレスとの Telnet セッションがブロックされていることを確認してください。

  1. デバイスR1から、信頼できない送信元アドレスからデバイスR2にtelnet。

  2. デバイスR2から、信頼できるプレフィックスのリストに172.16/16を追加します。

  3. デバイスR1からデバイスR2へのtelnet接続を再試行します。

意味

次の情報を確認します。

  • デバイス R1 から、信頼できない送信元アドレスでデバイス R2 に telnet で接続することはできません。信頼できるプレフィックスのリストに 172.16/16 プレフィックスが追加されると、送信元アドレス 172.16.0.1 からの telnet 要求が受け入れられます。

  • OSPF セッションの確立はブロックされます。OSPFは、そのトランスポートプロトコルとしてTCPを使用しません。一致条件が無効 になった後、OSPF セッションの確立はブロックされません。from protocol tcp

OSPF を使用した TCP ファイアウォール フィルターの検証

目的

OSPFトラフィックが期待通りに動作することを確認します。

アクション

デバイスが OSPF 接続を確立できないことを確認します。

  1. デバイスR1から、OSPFセッションを確認します。

  2. デバイスR2から、OSPFセッションを確認します。

  3. デバイスR2から、一致条件を削除します 。from protocol tcp

  4. デバイスR1から、OSPFセッションを再確認します。

  5. デバイスR2から、OSPFセッションを再確認します。

意味

次の情報を確認します。

  • OSPF セッションの確立はブロックされます。OSPFは、そのトランスポートプロトコルとしてTCPを使用しません。一致条件が無効 になると、OSPFセッションの確立に成功します。from protocol tcp

ICMPファイアウォールフィルターの検証

目的

ICMP パケットがポリシングおよびカウントされていることを確認します。また、信頼できない送信元アドレスからの要求の場合は、ping 要求が破棄されるようにします。

アクション

  1. 前の検証手順で行った設定変更を元に戻します。

    TCP ファイアウォール設定を再度アクティブにし、172.16/16 の信頼できる送信元アドレスを削除します。

  2. デバイスR1から、デバイスR2のループバックインターフェイスにpingを実行します。

  3. デバイスR2から、ファイアウォールの統計情報を確認します。

  4. デバイスR1の信頼できない送信元アドレスから、デバイスR2のループバックインターフェイスにpingリクエストを送信します。

意味

次の情報を確認します。

  • ping の出力は、10% のパケット損失が発生していることを示しています。

  • ICMPパケットカウンターが増加しており、ICMPポリサーも増加しています。

  • デバイスR2は、 コマンドにICMP応答を送信しません。ping 172.16.0.2 source 172.16.0.1

関連項目