Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

스테이트풀 방화벽

Junos Network Secure 개요

라우터는 방화벽을 사용하여 트래픽 흐름을 추적하고 제어합니다. 적응형 서비스 및 멀티서비스 PIC는 라는 방화벽 유형을 사용합니다. 패킷을 분리하여 검사하는 방화벽과 달리 상태 저장 방화벽은 과거 통신 및 기타 애플리케이션에서 파생된 상태 정보를 사용하여 새로운 통신 시도에 대한 동적 제어 결정을 내리는 추가적인 보안 계층을 제공합니다.

참고:

ACX 시리즈 라우터의 경우 스테이트풀 방화벽 구성은 ACX500 실내 라우터에서만 지원됩니다.

에 관련된 스테이트풀 방화벽 그룹은 에 관련되어 있습니다. 플로우는 다음 다섯 가지 속성으로 식별됩니다.

  • 소스 주소

  • 소스 포트

  • 대상 주소

  • 목적지 포트

  • 프로토콜

일반적인 TCP(전송 제어 프로토콜) 또는 UDP(사용자 데이터그램 프로토콜) 대화는 시작 흐름과 응답자 흐름의 두 가지 흐름으로 구성됩니다. 그러나 FTP 대화와 같은 일부 대화는 두 개의 제어 흐름과 많은 데이터 흐름으로 구성될 수 있습니다.

방화벽 규칙은 대화의 설정 허용 여부를 제어합니다. 대화가 허용되면 대화의 수명 주기 동안 생성된 흐름을 포함하여 대화 내의 모든 흐름이 허용됩니다.

강력한 규칙 기반 대화 처리 경로를 사용하여 상태 저장 방화벽을 구성합니다. A는 방향, 소스 주소, 소스 포트, 대상 주소, 대상 포트, IP 프로토콜 값, 애플리케이션 프로토콜 또는 서비스로 구성됩니다. 구성하는 특정 값 외에도 규칙 개체, 주소 또는 포트에 값을 any 할당하여 모든 입력 값과 일치시킬 수 있습니다. 마지막으로, 선택적으로 규칙 객체를 무효화하여 유형별 일치 결과를 무효화할 수 있습니다.

방화벽 규칙은 방향성입니다. 각각의 새로운 대화에 대해 라우터 소프트웨어는 규칙에 지정된 방향과 일치하는 시작 플로우를 확인합니다.

방화벽 규칙이 순서대로 지정됩니다. 소프트웨어는 구성에 포함시킨 순서대로 규칙을 확인합니다. 방화벽이 처음으로 일치 항목을 발견하면 라우터는 해당 규칙에 지정된 작업을 구현합니다. 아직 선택되지 않은 규칙은 무시됩니다.

참고:

Junos OS 릴리스 14.2부터 MS-MPC 및 MS-MIC 인터페이스 카드는 Junos Network Secure 스테이트풀 방화벽에 대한 IPv6 트래픽을 지원합니다.

자세한 내용은 스테이트풀 방화벽 규칙 구성을 참조하십시오.

애플리케이션 프로토콜을 위한 스테이트풀 방화벽 지원

애플리케이션 프로토콜 데이터를 검사함으로써 AS 또는 멀티서비스 PIC 방화벽은 지능적으로 보안 정책을 시행하고 필요한 최소한의 패킷 트래픽만 방화벽을 통과하도록 허용할 수 있습니다.

방화벽 규칙은 인터페이스와 관련하여 구성됩니다. 기본적으로 스테이트풀 방화벽은 인터페이스 뒤의 호스트에서 시작된 모든 세션이 라우터를 통과하도록 허용합니다.

참고:

스테이트풀 방화벽 ALG는 ACX500 라우터에서 지원되지 않습니다.

스테이트풀 방화벽 이상 검사

스테이트풀 방화벽은 다음 이벤트를 이상으로 인식하고 처리를 위해 IDS 소프트웨어로 보냅니다.

  • IP 이상 징후:

    • IP 버전이 올바르지 않습니다.

    • IP 헤더 길이 필드가 너무 작습니다.

    • IP 헤더 길이는 전체 패킷보다 크게 설정됩니다.

    • 잘못된 헤더 체크섬.

    • IP 총 길이 필드가 헤더 길이보다 짧습니다.

    • 패킷에 잘못된 IP 옵션이 있습니다.

    • 인터넷 제어 메시지 프로토콜(ICMP) 패킷 길이 오류입니다.

    • TTL(Time-to-Live)은 0입니다.

  • IP 주소 이상:

    • IP 패킷 소스는 브로드캐스트 또는 멀티캐스트입니다.

    • 랜드 공격(소스 IP는 대상 IP와 동일).

  • IP 단편화 이상:

    • IP 조각 오버래핑.

    • IP 조각을 누락했습니다.

    • IP 조각 길이 오류입니다.

    • IP 패킷 길이가 64킬로바이트(KB)를 초과합니다.

    • 작은 조각 공격.

  • TCP 이상:

    • TCP 포트 0.

    • TCP 시퀀스 번호 0 및 플래그 0.

    • TCP 시퀀스 번호 0 및 FIN/PSH/RST 플래그가 설정되었습니다.

    • 잘못된 조합의 TCP 플래그(TCP FIN/RST 또는 SYN/(URG|지느러미|RST).

    • 잘못된 TCP 체크섬.

  • UDP 이상:

    • UDP 원본 또는 대상 포트 0.

    • UDP 헤더 길이 검사에 실패했습니다.

    • 잘못된 UDP 체크섬.

  • 상태 저장 TCP 또는 UDP 검사를 통해 발견된 이상:

    • SYN 다음에 이니시에이터에서 ACK가 없는 SYN-ACK 패킷이 뒤따릅니다.

    • SYN 뒤에 RST 패킷이 옵니다.

    • SYN-ACK가 없는 SYN.

    • 비 SYN 첫 번째 플로우 패킷.

    • SYN 패킷에 대한 ICMP 도달 불가 오류입니다.

    • UDP 패킷에 대한 ICMP 도달 불가 오류.

  • 스테이트풀 방화벽 규칙에 따라 손실된 패킷.

참고:

ACX500 라우터는 IP 단편화 이상을 지원하지 않습니다.

상태 비저장 탐지와 함께 상태 저장 이상 징후 탐지를 사용하는 경우 IDS는 다음을 비롯한 광범위한 공격에 대한 조기 경고를 제공할 수 있습니다.

  • TCP 또는 UDP 네트워크 프로브 및 포트 스캔

  • SYN 플러드 공격

  • 티어드롭, 봉크, 보잉크 등의 IP 단편화 기반 공격

스테이트풀 방화벽 규칙 구성

스테이트풀 방화벽 규칙을 구성하려면 계층 수준에서 다음 문을 포함 rule rule-name 합니다.[edit services stateful-firewall]

참고:

ACX500 라우터는 [edit services stateful-firewall rule rule-name term term-name from] 계층 수준에서 애플리케이션애플리케이션 세트를 지원하지 않습니다.
참고:

ACX500 라우터에서 syslog를 활성화하려면 [edit services service-set service-set-name syslog host local class] 계층 수준에서 CLI 문을 포함 stateful-firewall-logs 합니다.
참고:

edit services stateful-firewall 계층은 SRX 시리즈에서 지원되지 않습니다.

각 스테이트풀 방화벽 규칙은 계층 수준에서 구성된 필터와 유사한 용어 집합으로 구성됩니다. [edit firewall] 용어는 다음으로 구성됩니다.

  • from 문 - 포함 및 제외되는 일치 조건 및 애플리케이션을 지정합니다. 스테이 from 트풀 방화벽 규칙에서 문은 선택 사항입니다.

  • then 문 - 라우터 소프트웨어가 수행할 작업 및 작업 수정자를 지정합니다. 이 then 문은 스테이트풀 방화벽 규칙에서 필수입니다.

ACX500 시리즈 라우터는 스테이트풀 방화벽 규칙을 구성하는 동안 다음을 지원하지 않습니다.

  • match-direction (output | input-output)

  • post-service-filter 인터페이스 서비스 입력 계층 수준에서.

  • IPv6 소스 주소 및 대상 주소입니다.

  • application-sets, , application[allow-ip-optionsedit services stateful-firewall] 계층 수준에서.

  • 애플리케이션 레이어 게이트웨이(ALG).

  • MS-MIC(Multiservices Modular Interfaces Card) 및 인라인 서비스(-si)를 사용한 서비스 체인.

  • 서비스 등급.

  • 다음 show services stateful-firewall CLI 명령은 지원되지 않습니다.

    • show services stateful-firewall conversations—대화 표시

    • show services stateful-firewall flow-analysis—플로우 테이블 항목 표시

    • show services stateful-firewall redundancy-statistics—중복 통계 표시

    • show services stateful-firewall sip-call—SIP 통화 정보 표시

    • show services stateful-firewall sip-register—SIP 레지스터 정보 표시

    • show services stateful-firewall subscriber-analysis- 가입자 테이블 항목 표시

다음 섹션에서는 스테이트풀 방화벽 규칙의 구성 요소를 구성하는 방법에 대해 설명합니다.

스테이트풀 방화벽 규칙에 대한 일치 방향 구성

각 규칙에는 규칙 일치가 적용되는 방향을 지정하는 명령문이 포함 match-direction 되어야 합니다. 일치가 적용되는 위치를 구성하려면 계층 수준에서 [edit services stateful-firewall rule rule-name] 문을 포함 match-direction 합니다.

참고:

ACX500 시리즈 라우터는 match-direction (output | input-output).

구성 경우 match-direction input-output, 양방향에서 시작된 세션이 이 규칙과 일치할 수 있습니다.

일치 방향은 AS 또는 멀티서비스 PIC를 통한 트래픽 플로우와 관련하여 사용됩니다. 패킷이 PIC로 전송되면 방향 정보가 함께 전송됩니다.

인터페이스 서비스 세트에서 패킷 방향은 패킷이 서비스 세트가 적용된 인터페이스에 들어가는지 나가는지에 따라 결정됩니다.

다음 홉 서비스 집합에서 패킷 방향은 패킷을 AS 또는 멀티서비스 PIC로 라우팅하는 데 사용되는 인터페이스에 의해 결정됩니다. 패킷을 라우팅하는 데 내부 인터페이스가 사용되는 경우 패킷 방향이 입력됩니다. 외부 인터페이스가 패킷을 PIC로 전달하는 데 사용되는 경우 패킷 방향이 출력됩니다. 내부 및 외부 인터페이스에 대한 자세한 정보는 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.

PIC에서 플로우 조회가 수행됩니다. 플로우가 없으면 규칙 처리가 수행됩니다. 이 서비스 세트의 규칙은 일치하는 항목이 발견될 때까지 순차적으로 고려됩니다. 규칙 처리 중에 패킷 방향이 규칙 방향과 비교됩니다. 패킷 방향과 일치하는 방향 정보가 있는 규칙만 고려됩니다. 대부분의 패킷은 양방향 흐름을 생성합니다.

스테이트풀 방화벽 규칙의 일치 조건 구성

스테이트풀 방화벽 일치 조건을 구성하려면 계층 수준에서 문을 포함 from 합니다.[edit services stateful-firewall rule rule-name term term-name]

참고:

ACX500 라우터는 [edit services stateful-firewall rule rule-name term term-name from] 계층 수준에서 애플리케이션애플리케이션 세트를 지원하지 않습니다.

소스 주소와 대상 주소는 IPv4 또는 IPv6일 수 있습니다.

방화벽 필터를 구성하는 것과 동일한 방식으로 소스 주소 또는 대상 주소를 일치 조건으로 사용할 수 있습니다. 자세한 정보는 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오. 모든 유니캐스트 주소와 일치함을 나타내는 와일드카드 값 any-unicast, any-ipv4모든 IPv4 주소 any-ipv6와 일치함을 나타내는 또는 모든 IPv6 주소와 일치함을 나타내는 를 사용할 수 있습니다.

또는 계층 수준에서 문을 구성 prefix-list 한 다음 스테이트풀 방화벽 규칙에 또는 source-prefix-list 또는 문을 포함하여 destination-prefix-list 소스 또는 대상 접두사 목록을 지정할 수 [edit policy-options] 있습니다. 예를 들어 예: 스테이트풀 방화벽 규칙 구성을 참조하십시오.

이 용어를 from 생략하면 스테이트풀 방화벽이 모든 트래픽을 허용하고 기본 프로토콜 핸들러가 적용됩니다.

  • UDP(User Datagram Protocol), TCP(Transmission Control Protocol) 및 ICMP(Internet Control Message Protocol)는 예측된 역방향 플로우를 통해 양방향 플로우를 생성합니다.

  • IP는 단방향 흐름을 생성합니다.

계층 수준에서 구성한 애플리케이션 프로토콜 정의도 포함할 수 있습니다. [edit applications] 자세한 내용은 애플리케이션 속성 구성을 참조하십시오.

  • 하나 이상의 특정 애플리케이션 프로토콜 정의를 적용하려면 계층 수준에서 [edit services stateful-firewall rule rule-name term term-name from] 문을 포함 applications 합니다.

  • 하나 이상의 정의한 애플리케이션 프로토콜 정의 세트를 적용하려면 계층 수준에서 [edit services stateful-firewall rule rule-name term term-name from] 문을 포함 application-sets 합니다.

    참고:

    애플리케이션 프로토콜을 지정하는 문 중 하나를 포함하는 경우, 라우터는 계층 수준의 해당 구성 [edit applications] 에서 포트 및 프로토콜 정보를 파생합니다. 이러한 속성을 일치 조건으로 지정할 수 없습니다.

스테이트풀 방화벽 규칙의 작업 구성

스테이트풀 방화벽 작업을 구성하려면 계층 수준에서 다음 문을 포함 then 합니다.[edit services stateful-firewall rule rule-name term term-name]

다음 작업 중 하나를 포함해야 합니다.

  • accept- 패킷이 수락되어 대상으로 전송됩니다.

  • accept skip-ids- 패킷이 수락되어 목적지로 전송되지만 MS-MPC에 구성된 IDS 규칙 처리는 건너뜁니다.

  • discard- 패킷이 수락되지 않고 더 이상 처리되지 않습니다.

  • reject—패킷이 수락되지 않고 거부 메시지가 반환됩니다. UDP는 ICMP에 도달할 수 없는 코드를 보내고 TCP는 RST를 보냅니다. 거부된 패킷은 기록하거나 샘플링할 수 있습니다.

참고:

ACX500 실내 라우터는 작업을 지원하지 않습니다.accept skip-ids

계층 수준에서 [edit services stateful-firewall rule rule-name term term-name then] 문을 포함하여 syslog 시스템 로깅 기능에 정보를 기록하도록 방화벽을 선택적으로 구성할 수 있습니다. 이 문은 서비스 집합 또는 인터페이스 기본 구성에 포함된 모든 syslog 설정을 재정의합니다.

IP 옵션 처리 구성

계층 수준에서 [edit services stateful-firewall rule rule-name term term-name then] 문을 포함하여 allow-ip-options IP 헤더 정보를 검사하도록 방화벽을 선택적으로 구성할 수 있습니다. 이 문을 구성할 때, 문에 from 지정된 기준과 일치하는 모든 패킷에는 추가적인 일치 기준이 적용됩니다. 패킷은 모든 IP 옵션 유형이 문에서 allow-ip-options 값으로 구성되어 있을 때만 허용됩니다. 구성하지 않으면 allow-ip-optionsIP 헤더 옵션이 없는 패킷만 허용됩니다.

참고:

ACX500 실내 라우터는 문 구성을 allow-ip-options 지원하지 않습니다.

추가 IP 헤더 옵션 검사는 스테이 reject 트풀 방화벽 작업에만 accept 적용됩니다. 이 구성은 작업에 영향을 미치지 않습니다.discard IP 헤더 검사가 실패하면 거부 프레임이 전송되지 않습니다. 이 경우 동작은 reject 와 동일한 효과를 갖습니다.discard

IP 옵션 패킷이 스테이트풀 방화벽에 의해 수락되면 IP 옵션 헤더가 없는 패킷과 동일한 방식으로 네트워크 주소 변환(NAT) 및 침입 탐지 서비스(IDS)가 적용됩니다. IP 옵션 구성은 스테이트풀 방화벽 규칙에만 나타납니다. 네트워크 주소 변환(NAT)은 IP 옵션이 있거나 없는 패킷에 적용됩니다.

IP 옵션 검사에 실패하여 패킷이 드롭되면 이 예외 이벤트는 IDS 이벤트 및 시스템 로그 메시지를 모두 생성합니다. 이벤트 유형은 거부된 첫 번째 IP 옵션 필드에 따라 다릅니다.

표 1 에는 명령문에 사용할 수 있는 값이 나와 있습니다. allow-ip-options 숫자 값의 범위나 집합, 또는 하나 이상의 사전 정의된 IP 옵션 설정을 포함할 수 있습니다. 옵션 이름 또는 이에 상응하는 숫자를 입력할 수 있습니다. 자세한 내용은 http://www.iana.org/assignments/ip-parameters 를 참조하십시오.

표 1: IP 옵션 값

IP 옵션 이름

숫자 값

댓글

any

0

모든 IP 옵션

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

또한보십시오

스테이트풀 방화벽 규칙 세트 구성

rule-set 문은 라우터 소프트웨어가 데이터 스트림의 패킷에 대해 수행하는 작업을 결정하는 스테이트풀 방화벽 규칙 모음을 정의합니다. 규칙 이름을 지정하고 용어를 구성하여 각 규칙을 정의합니다. 그런 다음 각 규칙에 대한 문과 함께 rule 계층 수준에서 [edit services stateful-firewall] 문을 포함하여 rule-set 규칙의 순서를 지정합니다.

라우터 소프트웨어는 구성에서 지정한 순서대로 규칙을 처리합니다. 규칙의 용어가 패킷과 일치하면 라우터가 해당 작업을 수행하고 규칙 처리가 중지됩니다. 규칙에서 패킷과 일치하는 용어가 없는 경우 처리는 규칙 세트의 다음 규칙으로 계속됩니다. 패킷과 일치하는 규칙이 없으면 기본적으로 패킷이 삭제됩니다.

예: 스테이트풀 방화벽 규칙 구성

다음 예는 지정된 애플리케이션 세트에 대한 입력 일치와 지정된 소스 주소에 대한 출력 일치에 대한 두 개의 규칙을 포함하는 스테이트풀 방화벽 구성을 보여줍니다.

다음 예에는 두 개의 용어가 있는 단일 규칙이 있습니다. 첫 번째 용어는 지정된 소스 주소에서 발생하는 모든 트래픽 my-application-group 을 거부하고 거부된 패킷의 자세한 시스템 로그 레코드를 제공합니다. 두 번째 용어는 누구나 지정된 대상 주소로 가는 HTTP(Hypertext Transfer Protocol) 트래픽을 허용합니다.

다음 예는 소스 및 대상 접두사 목록을 사용하는 것을 보여줍니다. 이를 위해서는 두 개의 개별 구성 항목이 필요합니다.

계층 수준에서 접두사 목록을 구성합니다.[edit policy-options]

스테이트풀 방화벽 규칙에서 구성된 접두사 목록을 참조합니다.

이는 다음 구성과 동일합니다.

다음 예와 같이 접두사 목록과 함께 한정자를 사용할 except 수 있습니다. 이 경우 except 한정자는 접두사 목록에 p2포함된 모든 접두사에 적용됩니다.

스테이트풀 방화벽 구성을 다른 서비스 및 가상 사설망(VPN) 라우팅 및 포워딩(VRF) 테이블과 결합하는 추가 예제는 구성 예제를 참조하십시오.

참고:

서비스 집합을 정의하고 인터페이스 스타일 또는 다음 홉 스타일로 할당할 수 있습니다.

또한보십시오

예: BOOTP 및 브로드캐스트 주소

다음 예는 부트스트랩 프로토콜(BOOTP) 및 브로드캐스트 주소를 지원합니다.

예: 두 PIC에서 레이어 3 서비스 및 서비스 SDK 구성

두 개의 PIC에서 레이어 3 서비스 패키지와 서비스 SDK를 구성할 수 있습니다. 이 예에서는 FTP 또는 HTTP 클라이언트와 서버를 구성해야 합니다. 이 구성에서 라우터 인터페이스의 클라이언트 측은 ge-1/2/2.1이고 라우터 인터페이스의 서버 측은 ge-1/1/0.48입니다. 이 구성은 uKernel PIC에서 SFW(스테이트풀 방화벽)를 사용하여 NAT(네트워크 주소 변환)를 활성화하고 FTP 또는 HTTP 트래픽용 서비스 SDK PIC에서 APPID(Application Identification), AACL(application-aware access list) 및 침입 탐지 및 방지(IDP)를 활성화합니다.

참고:

서비스 SDK는 아직 NAT를 지원하지 않습니다. NAT가 필요한 경우, 레이어 3 서비스 패키지를 구성하여 APPID, AACL 또는 IDP와 같은 서비스 SDK와 함께 NAT를 구축할 수 있습니다.
참고:

IDP 기능은 Junos OS 릴리스 17.1R1 이상용 MX 시리즈에서 더 이상 사용되지 않습니다.

두 PIC에 레이어 3 서비스 패키지 및 서비스 SDK를 구축하려면 다음을 수행합니다.

  1. 구성 모드에서 다음 계층 수준으로 이동합니다.
  2. 계층 수준에서 스테이트풀 방화벽 규칙 r1에 대한 조건을 구성합니다.

    이 예에서 상태 저장 방화벽 용어는 ALLOWED-SERVICES입니다. 애플리케이션 이름(junos-ftp, junos-http, junos-icmp-ping)을 대괄호 안에 넣습니다.application-name

  3. 스테이트풀 방화벽 규칙 r2에 대한 조건을 구성합니다.

    이 예에서 스테이트풀 방화벽 용어는 term1입니다.

  4. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  5. 다음 계층 수준으로 이동합니다.
  6. 계층 수준에서 네트워크 주소 변환(NAT) 풀을 구성합니다.

    이 예에서 네트워크 주소 변환(NAT) 풀은 OUTBOUND-SERVICES 이고 IP 주소는 10.48.0.2/32입니다.

  7. 네트워크 주소 변환(NAT) 규칙을 구성합니다.

    이 예에서 네트워크 주소 변환(NAT) 규칙은 SET-MSR-ADDR이고, 네트워크 주소 변환(NAT) 용어는 TRANSLATE-SOURCE-ADDR이며, 소스 풀은 OUTBOUND-SERVICES입니다. 애플리케이션 이름(junos-ftp, junos-http, junos-icmp-ping)을 괄호 안에 넣습니다.application-name

  8. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  9. 다음 계층 수준으로 이동합니다.
    참고:

    [edit security idp] 명령문은 Junos OS 릴리스 17.1R1 이상용 MX 시리즈에서 더 이상 사용되지 않습니다.
  10. 계층 수준에서 IDP 정책을 구성합니다.

    이 예에서 IDP 정책은 test1, 규칙은 r1, 사전 정의된 공격은 FTP:USER:ROOT, 사전 정의된 공격 그룹은 "권장 공격"입니다.

  11. IDP 서비스에 대한 추적 옵션을 구성합니다.

    이 예에서 로그 파일 이름은 idp-demo.log입니다.

  12. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  13. 다음 계층 수준으로 이동합니다.
  14. 계층 수준에서 AACL 규칙을 구성합니다.

    이 예에서 AACL 규칙은 앱 인식 이며 용어는 t1입니다.

  15. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  16. 다음 계층 수준으로 이동합니다.
  17. APPID 프로필을 구성합니다.

    이 예에서 APPID 프로필은 dummy-profile입니다.

  18. IDP 프로필을 구성합니다.

    이 예에서 IDP 프로필은 test1입니다.

  19. 정책 결정 통계 프로필을 구성합니다.

    이 예에서 정책 결정 통계 프로필은 lpdf-stats입니다.

  20. AACL 규칙을 구성합니다.

    이 예에서 AACL 규칙 이름은 앱 인식입니다.

  21. 두 개의 스테이트풀 방화벽 규칙을 구성합니다.

    이 예에서 첫 번째 규칙은 r1 이고 두 번째 규칙은 r2입니다.

  22. 계층 수준에서 서비스 PIC 실패 시 트래픽을 우회하도록 서비스 집합을 구성합니다.
  23. 인터페이스별 서비스 집합 옵션을 구성합니다.

    이 예에서 서비스 인터페이스는 ms-0/1/0입니다.

  24. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  25. 다음 계층 수준으로 이동합니다.
  26. 계층 수준에서 서비스 인터페이스에 대한 선택적 알림 매개 변수를 구성합니다. 디버깅에만 필요합니다.

    이 예에서 알릴 호스트는 로컬입니다.

  27. 두 개의 스테이트풀 방화벽 규칙을 구성합니다.

    이 예에서 첫 번째 규칙은 r1 이고 두 번째 규칙은 r2입니다.

  28. 네트워크 주소 변환(NAT) 규칙을 구성합니다.

    이 예에서 네트워크 주소 변환(NAT) 규칙은 SET-MSR-ADDR입니다.

  29. 인터페이스별 서비스 집합 옵션을 구성합니다.

    이 예에서 서비스 인터페이스는 sp-3/1/0입니다.

  30. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  31. 다음 계층 수준으로 이동합니다.
  32. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 ge-1/2/2.1입니다.

  33. 다음 계층 수준으로 이동합니다.
  34. 계층 수준에서 수신된 패킷에 대한 서비스 집합을 구성합니다.

    이 예제에서 입력 서비스 집합은 App-Aware-Set입니다.

  35. 전송된 패킷에 대한 서비스 집합을 구성합니다.

    이 예제에서 출력 서비스 집합은 App-Aware-Set입니다.

  36. 다음 계층 수준으로 이동합니다.
  37. 계층 수준에서 인터페이스 주소를 구성합니다.

    이 예에서 인터페이스 주소는 10.10.9.10/30입니다.

  38. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  39. 다음 계층 수준으로 이동합니다.
  40. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 ge-1/1/0.48입니다.

  41. 다음 계층 수준으로 이동합니다.
  42. 계층 수준에서 수신된 패킷에 대한 서비스 집합을 구성합니다.

    이 예에서 서비스 집합은 NAT-SFW-SET입니다.

  43. 전송된 패킷에 대한 서비스 집합을 구성합니다.

    이 예에서 서비스 집합은 NAT-SFW-SET입니다.

  44. 다음 계층 수준으로 이동합니다.
  45. 인터페이스 주소를 구성합니다.

    이 예에서 인터페이스 주소는 10.48.0.1/31입니다.

  46. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  47. 다음 계층 수준으로 이동합니다.
  48. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 ms-0/1/0.0입니다.

  49. 다음 계층 수준으로 이동합니다.
  50. 계층 수준에서 프로토콜 패밀리를 구성합니다.
  51. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  52. 다음 계층 수준으로 이동합니다.
  53. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 sp-3/1/0.0입니다.

  54. 다음 계층 수준으로 이동합니다.
  55. 계층 수준에서 서비스 인터페이스에 대한 선택적 알림 매개 변수를 구성합니다. 디버깅에만 필요합니다.

    이 예에서 알릴 호스트는 로컬입니다.

  56. 다음 계층 수준으로 이동합니다.
  57. 계층 수준에서 프로토콜 패밀리를 구성합니다.
  58. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  59. 다음 계층 수준으로 이동합니다.
  60. 계층 수준에서 중복 설정을 구성합니다.
  61. FPC 및 PIC를 구성합니다.

    이 예에서 FPC는 슬롯 0에 있고 PIC는 슬롯 1에 있습니다.

  62. 제어 기능 실행 전용 코어 수를 구성합니다.

    이 예에서 제어 코어의 수는 1입니다.

  63. 데이터 전용 프로세싱 코어 수를 구성합니다.

    이 예에서 데이터 코어 수는 7입니다.

  64. 개체 캐시의 크기를 메가바이트 단위로 구성합니다. 128MB 단위의 값만 허용되며 객체 캐시의 최대값은 1280MB가 될 수 있습니다. MS-100에서 값은 512MB입니다.

    이 예에서 개체 캐시의 크기는 1280MB입니다.

  65. 정책 데이터베이스의 크기를 메가바이트 단위로 구성합니다.

    이 예에서 정책 데이터베이스의 크기는 64MB입니다.

  66. 패키지를 구성합니다.

    이 예에서 첫 번째 패키지는 jservices-appid, 두 번째 패키지는 jservices-aacl, 세 번째 패키지는 jservices-llpdf, 네 번째 패키지는 jservices-idp, 다섯 번째 패키지는 jservices-sfw입니다. jservices-sfw는 Junos OS 릴리스 10.1 이상에서만 사용할 수 있습니다.

  67. IP 네트워크 서비스를 구성합니다.
  68. 다음 계층 수준으로 이동하여 구성을 확인합니다.

예: 가상 라우팅 및 포워딩(VRF) 및 서비스 구성

다음 예는 VRF(가상 라우팅 및 포워딩)와 서비스 구성을 결합합니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

출시
설명
17.1R1
IDP 기능은 Junos OS 릴리스 17.1R1 이상용 MX 시리즈에서 더 이상 사용되지 않습니다.
17.1R1
[edit security idp] 명령문은 Junos OS 릴리스 17.1R1 이상용 MX 시리즈에서 더 이상 사용되지 않습니다.
17.1
accept skip-ids- 패킷이 수락되어 목적지로 전송되지만 MS-MPC에 구성된 IDS 규칙 처리는 건너뜁니다.
14.2
Junos OS 릴리스 14.2부터 MS-MPC 및 MS-MIC 인터페이스 카드는 Junos Network Secure 스테이트풀 방화벽에 대한 IPv6 트래픽을 지원합니다.