Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

무상태 방화벽 필터 구성 요소

이 주제에서 다루는 정보는 다음과 같습니다.

프로토콜 제품군

문에서 트래픽을 필터링할 프로토콜 패밀리를 지정할 수 있습니다.firewall

은(는) 방화벽 필터 프로토콜 제품군에 대해 설명합니다.표 1

표 1: 방화벽 필터 프로토콜 제품군

필터링할 트래픽 유형

구성 문

설명

프로토콜 독립적

family any

논리적 인터페이스에서 구성된 모든 프로토콜 제품군.

IPv4(인터넷 프로토콜 버전 4)

family inet

문은 IPv4의 경우 선택 사항입니다.family inet

IPv6(인터넷 프로토콜 버전 6)

family inet6

  

MPLS

family mpls

  

MPLS 태깅 IPv4

family mpls

IP 주소 및 포트에서 최대 5개의 MPLS 스택 레이블에 대한 매칭을 지원합니다.

MPLS 태그가 지정된 IPv6

family mpls

IP 주소 및 포트에서 최대 5개의 MPLS 스택 레이블에 대한 매칭을 지원합니다.

가상 프라이빗 LAN 서비스(VPLS)

family vpls

레이어 2 서킷 교차 연결

family ccc

레이어 2 브리징

(MX 시리즈 라우터의 경우) 및 (EX 시리즈 스위치의 경우)family bridgefamily ethernet-switching

MX 시리즈 라우터 및 EX 시리즈 스위치만 해당됩니다.

필터 유형

문 아래에서 구성할 필터의 유형과 이름을 지정할 수 있습니다.family family-name

표 2 은(는) 방화벽 필터 유형을 설명합니다.

표 2: 필터 유형

필터 유형

구성 문

설명
표준 방화벽 필터

filter filter-name

다음 트래픽 유형을 필터링합니다.

  • 프로토콜 독립적

  • IPv4

  • IPv6

  • MPLS

  • MPLS 태깅 IPv4

  • MPLS 태그가 지정된 IPv6

  • VPLS

  • 레이어 2 CCC

  • 레이어 2 브리징(MX 시리즈 라우터 및 EX 시리즈 스위치만 해당)
서비스 필터

service-filter service-filter-name

서비스 처리를 위해 수락되기 전에 수신 또는 송신에 적용하거나 서비스 처리가 완료된 후 반환 서비스 트래픽에 적용할 패킷 필터링을 정의합니다.

다음 트래픽 유형을 필터링합니다.

  • IPv4

  • IPv6

다음 하드웨어에서만 구성된 논리적 인터페이스에서만 지원됩니다.

  • M 시리즈 및 T 시리즈 라우터의 Adaptive Services(AS) PIC

  • M 시리즈 및 T 시리즈 라우터의 멀티서비스(MS) PIC

  • MX 시리즈 라우터(및 EX 시리즈 스위치)의 멀티서비스(MS) DPC
단순 필터

simple-filter simple-filter-name

수신 트래픽에만 적용할 패킷 필터링을 정의합니다.

다음 트래픽 유형을 필터링합니다.

  • IPv4

다음 하드웨어에서만 구성된 논리적 인터페이스에서만 지원됩니다.

  • M120, M320 또는 T 시리즈 라우터에 설치된 기가비트 이더넷 지능형 큐잉(IQ2) PIC

  • MX 시리즈 라우터(및 EX 시리즈 스위치)에 설치된 향상된 큐잉 고집적 포트 집중 장치(EQ DPC)

용어

, 또는 명령문에서 하나 이상의 방화벽 필터 용어를 구성해야 합니다.filterservice-filtersimple-filter 용어는 일치 조건 및 작업이 정의되는 명명된 구조입니다. 방화벽 필터 내에서 각 용어에 대해 고유한 이름을 구성해야 합니다.

팁:

인터페이스의 각 프로토콜 제품군에 대해 각 방향에 하나 이상의 필터를 적용할 수 없습니다. 동일한 프로토콜 제품군에 대해 동일한 방향으로 추가 필터를 적용하려고 하면 마지막 필터가 이전 필터를 덮어씁니다. 그러나 동일한 프로토콜 제품군의 필터를 동일한 인터페이스의 입력 및 출력 방향에 적용할 수 있습니다.

모든 상태 비저장 방화벽 필터에는 하나 이상의 용어가 포함되어 있으며, 각 용어는 일치 조건과 작업이라는 두 가지 구성 요소로 구성됩니다. 일치 조건은 패킷이 일치로 간주되기 위해 포함해야 하는 값 또는 필드를 정의합니다. 패킷이 일치하면 해당 작업이 수행됩니다. 기본적으로 방화벽 필터와 일치하지 않는 패킷은 폐기됩니다.

패킷이 해당 인터페이스의 수신 트래픽에 방화벽 필터가 적용되지 않은 인터페이스에 도착하면 패킷이 기본적으로 수락됩니다.

주:

용어 수가 많은 방화벽 필터는 구성 커밋 시간과 라우팅 엔진 성능에 모두 부정적인 영향을 미칠 수 있습니다.

또한 다른 필터의 용어 내에 상태 비저장 방화벽 필터를 구성할 수 있습니다. 이 방법을 사용하면 모든 필터 정의를 수정할 필요 없이 여러 필터에 공통 용어를 추가할 수 있습니다. 원하는 공통 용어로 하나의 필터를 구성하고 이 필터를 다른 필터의 용어로 구성할 수 있습니다. 따라서 이러한 공통 용어를 변경하려면 여러 필터 대신 공통 용어가 포함된 하나의 필터만 수정하면 됩니다.

일치 조건

방화벽 필터 용어는 방화벽 필터 용어와 일치하는 것으로 간주되기 위해 패킷에 포함되어야 하는 필드 또는 값을 지정하기 위해 일치 조건이라고 하는 패킷 필터링 기준을 하나 이상 포함해야 합니다. 일치하려면 패킷이 용어의 모든 조건과 일치해야 합니다. 패킷이 방화벽 필터 용어와 일치하면 라우터(또는 스위치)가 패킷에 대해 구성된 작업을 수행합니다.

방화벽 필터 용어에 여러 일치 조건이 포함된 경우, 패킷이 방화벽 필터 용어와 일치하는 것으로 간주되려면 모든 일치 조건을 충족해야 합니다.

단일 일치 조건이 값 범위와 같은 여러 값으로 구성된 경우, 패킷은 방화벽 필터 용어에 대한 일치로 간주되기 위해 값 중 하나만 일치해야 합니다.

방화벽 필터 용어에 지정할 수 있는 일치 조건의 범위는 방화벽 필터가 구성된 프로토콜 제품군에 따라 다릅니다. IP 소스 주소 필드, IP 대상 주소 필드, TCP 또는 UDP 소스 포트 필드, IP 프로토콜 필드, ICMP(Internet Control Message Protocol) 패킷 유형, IP 옵션, TCP 플래그, 수신 논리적 또는 물리적 인터페이스, 발신 논리적 또는 물리적 인터페이스 등 다양한 일치 조건을 정의할 수 있습니다. 이는 사전 정의되거나 고정된 일치 조건입니다.

MPC 또는 MIC가 있는 MX 시리즈 3D 유니버설 에지 라우터에서는 IPv4, IPv6, 레이어 2 브리지, CCC 및 VPLS 프로토콜 제품군에 대해 유연한 일치 조건을 구축할 수 있습니다. 이러한 유연한 일치 조건을 통해 사용자는 패킷 내에서 시작 위치, 바이트 오프셋, 일치 길이 및 기타 매개 변수를 지정할 수 있습니다.

각 프로토콜 제품군은 서로 다른 일치 조건 집합을 지원하며, 일부 일치 조건은 특정 라우팅 디바이스에서만 지원됩니다. 예를 들어, VPLS 트래픽에 대한 여러 일치 조건은 MX 시리즈 3D 유니버설 에지 라우터에서만 지원됩니다.

방화벽 필터 용어의 문에서는 후속 문의 작업이 수행되기 위해 패킷이 갖추어야 하는 특성을 지정합니다.fromthen 이러한 특성을 일치 조건이라고 합니다. 패킷은 작업이 수행되기 위해 문의 모든 조건과 일치해야 하며, 이는 명령문의 조건 순서가 중요하지 않다는 것을 의미하기도 합니다.fromfrom

개별 일치 조건이 값 목록(예: 여러 소스 및 대상 주소) 또는 숫자 값 범위를 지정할 수 있는 경우, 값 중 하나라도 패킷과 일치하면 일치가 발생합니다.

필터 용어가 일치 조건을 지정하지 않는 경우, 용어는 모든 패킷을 수락하며 용어의 문에 지정된 작업은 선택 사항입니다.then

주:

일부 숫자 범위 및 비트 필드 일치 조건에서는 텍스트 동의어를 지정할 수 있습니다. 동의어의 전체 목록:

  • J-Web 인터페이스를 사용하는 경우 해당 목록에서 동의어를 선택하십시오.

  • CLI를 사용하는 경우 문 뒤에 물음표()를 입력합니다.?from

행동

방화벽 필터 용어에 지정된 작업은 용어에 지정된 조건과 일치하는 모든 패킷에 대해 수행할 작업을 정의합니다.

단일 용어 내에 구성된 작업은 구성된 조건과 일치하는 트래픽에 대해 모두 수행됩니다.

모범-사례:

방화벽 필터 용어당 하나 이상의 작업을 명시적으로 구성하는 것이 좋습니다. 용어의 모든 조건과 일치하는 패킷은 용어가 다른 작업이나 추가 작업을 지정하지 않는 한 자동으로 수락됩니다.

방화벽 필터 동작은 다음 범주로 나뉩니다.

필터 종료 동작

필터 종료 동작은 특정 패킷에 대한 방화벽 필터의 모든 평가를 중단합니다. 라우터(또는 스위치)는 지정된 작업을 수행하며 추가 용어는 검사되지 않습니다.

종료되지 않는 동작

종료되지 않는 동작은 카운터 증가, 패킷 헤더에 대한 정보 로깅, 패킷 데이터 샘플링 또는 시스템 로그 기능을 사용하여 원격 호스트로 정보 전송과 같은 패킷에 대한 다른 기능을 수행하는 데 사용됩니다.

, , 또는 와 같은 명시적 종료 작업 없이 , , 또는 와 같은 비종료 작업이 있으면 의 기본 종료 작업이 발생합니다.countlogsyslogacceptdiscardrejectaccept 방화벽 필터 동작을 종료하지 않으려면 종료되지 않는 동작 이후의 동작을 사용합니다 .next term

주:

Junos OS Evolved에서 next term은 작업의 마지막 용어로 표시될 수 없습니다. next term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.

이 예에서 용어 1에는 암시적 기본 종료 작업이 있으므로 용어 2는 평가되지 않습니다.accept

이 예에서는 용어 1에 명시적 플로우 제어 작업이 있으므로 용어 2가 평가됩니다.next term

흐름 제어 작업

표준 스테이트리스 방화벽 필터의 경우에만, 이 작업을 통해 라우터(또는 스위치)가 패킷에 대해 구성된 작업을 수행한 후 필터를 종료하는 대신 필터에서 다음 용어를 평가할 수 있습니다.next term

표준 상태 비저장 방화벽 필터 구성당 최대 1024 개의 작업이 지원됩니다.next term 이 한도를 초과하는 표준 필터를 구성하면 후보 구성에서 커밋 오류가 발생합니다.

관련 항목