방화벽 필터 일치 조건 이해
방화벽 필터에 대한 용어를 정의하기 전에 용어에 지정한 일치 조건이 처리되는 방식과 원하는 필터링 결과를 얻기 위해 다양한 유형의 일치 조건을 지정하는 방법을 이해해야 합니다. 일치 조건은 일치 조건을 정의하는 문자열(일치 문이라고 함)로 구성됩니다. 일치 조건은 패킷에 포함되어야 하는 값 또는 필드입니다.
필터 일치 조건
방화벽 필터 용어의 문에서 다음 문 중 하나에서 작업을 트리거하는 패킷 조건을 지정합니다.fromthen 다양한 옵션을 사용하거나 .thenthen interfacethen vlan from 명령문의 모든 조건이 일치해야 작업이 수행됩니다. 일치 조건을 지정하는 순서는 중요하지 않습니다. 패킷이 용어의 모든 조건과 맞아야 일치 조건이 충족되기 때문입니다.
용어에 일치 조건을 지정하지 않으면 해당 용어는 모든 패킷과 일치합니다.
문의 개별 조건 에는 값 목록이 포함될 수 없습니다.from 예를 들어 숫자 범위나 여러 원본 또는 대상 주소를 지정할 수 없습니다.
명령문의 개별 조건은 부정할 수 없습니다.from 부정 조건은 명시적 불일치입니다.
숫자 필터 일치 조건
숫자 필터 조건은 포트 및 프로토콜 번호와 같은 숫자 값으로 식별되는 패킷 필드와 일치합니다. 숫자 필터 일치 조건의 경우, 조건을 식별하는 키워드와 패킷의 필드가 일치해야 하는 단일 값을 지정합니다.
다음 방법 중 하나로 숫자 값을 지정할 수 있습니다.
단일 숫자 - 필드 값이 숫자와 일치하면 일치가 발생합니다. 예:
source-port 25;
텍스트 synonym for a single number— 필드 값이 동의어에 해당하는 숫자와 일치하면 일치가 발생합니다. 예:
source-port http;
필터 용어에 두 개 이상의 값을 지정하려면 일치 조건을 정의하는 문자열인 자체 일치 문에 각 값을 입력합니다. 예를 들어, 의 값이 10 또는 30인 경우 다음 용어에서 일치가 발생합니다.vlan
[edit firewall family family-name filter filter-name term term-name from] vlan 10; vlan 30;
숫자 필터 일치 조건에는 다음과 같은 제한 사항이 적용됩니다.
값의 범위를 지정할 수 없습니다.
쉼표로 구분된 값 목록은 지정할 수 없습니다.
숫자 필터 일치 조건에서 특정 값을 제외할 수 없습니다. 예를 들어, 일치 조건이 지정된 값과 같지 않은 경우에만 일치하는 조건을 지정할 수 없습니다.
인터페이스 필터 일치 조건
인터페이스 필터 일치 조건은 패킷의 인터페이스 이름 값과 일치할 수 있습니다. 인터페이스 필터 일치 조건의 경우, 인터페이스의 이름을 지정합니다(예:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/0/1
포트 및 VLAN 인터페이스는 논리적 단위 번호를 사용하지 않습니다. 그러나 라우터 인터페이스에 적용되는 방화벽 필터는 다음과 같이 인터페이스 필터 일치 조건에서 논리 단위 번호를 지정할 수 있습니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/1/0.0
와일드카드를 인터페이스 이름의 일부로 포함할 수 있습니다. 예를 들면 다음과 같습니다.*
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/*/1 user@switch# set interface ge-0/1/* user@switch# set interface ge-*
IP 주소 필터 일치 조건
주소 필터 일치 조건은 IP 소스 및 대상 접두사와 같은 패킷의 접두사 값과 일치할 수 있습니다. 주소 필터 일치 조건의 경우, 필드를 식별하는 키워드와 패킷이 일치해야 하는 해당 유형의 접두사 하나를 지정합니다.
주소를 단일 접두사로 지정합니다. 필드 값이 접두사와 일치하면 일치가 발생합니다. 예:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10.2.1.0/28;
각 접두사에는 암시적 0/0 except 문이 포함되어 있으며, 이는 지정된 접두사와 일치하지 않는 접두사는 명시적으로 일치하지 않는 것으로 간주됨을 의미합니다.
주소 접두사를 지정하려면 prefix/prefix-length 표기법을 사용합니다. prefix-length를 생략하면 기본값은 /32입니다. 예:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10 [edit firewall family family-name filter filter-name term term-name from] user@switch# show destination-address 10.0.0.0/32;
필터 용어에 두 개 이상의 IP 주소를 지정하려면 자체 일치 문에 각 주소를 입력합니다. 예를 들어, 필드 값이 다음 source-address 접두사 중 하나와 일치하는 경우 다음 용어에서 일치가 발생합니다.source-address
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-address 10.0.0.0/8 user@switch# set source-address 10.1.0.0/16
MAC 주소 필터 일치 조건
MAC 주소 필터 일치 조건은 패킷의 소스 및 대상 MAC 주소 값을 일치시킬 수 있습니다. MAC 주소 필터 일치 조건의 경우, 필드를 식별하는 키워드와 패킷이 일치해야 하는 해당 유형의 값 하나를 지정합니다.
MAC 주소를 다음 형식의 6진수 바이트로 지정할 수 있습니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 0011.2233.4455
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 00:11:22:33:44:55
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 001122334455
필터 용어에 MAC 주소를 두 개 이상 지정하려면 자체 일치 문에 각 MAC 주소를 입력합니다. 예를 들어, 필드 값이 다음 주소 중 하나와 일치하는 경우 다음 용어에서 일치가 발생합니다.source-mac-address
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-mac-address 00:11:22:33:44:55 user@switch# set source-mac-address 00:11:22:33:20:15
비트 필드 필터 일치 조건
비트 필드 필터 조건은 해당 필드의 특정 비트가 설정되거나 설정되지 않은 경우 패킷 필드와 일치합니다. IP 옵션, TCP 플래그 및 IP 단편화 필드를 일치시킬 수 있습니다. 비트 필드 필터 일치 조건의 경우, 필드를 식별하는 키워드를 지정하고 필드에 옵션이 있는지 확인하기 위해 테스트합니다.
일치시킬 비트 필드 값을 지정하려면 값을 큰따옴표로 묶습니다. 예를 들어, TCP 플래그 필드의 비트가 설정된 경우 일치가 발생합니다.RST
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "rst"
일반적으로 키워드를 사용하여 테스트할 비트를 지정합니다. 비트 필드 일치 키워드는 항상 단일 비트 값에 매핑됩니다. 비트 필드를 16진수 또는 10진수로 지정할 수도 있습니다.
여러 비트 필드 값을 일치시키려면 에 설명된 논리 연산자를 사용합니다.표 1 연산자는 우선 순위가 높은 순으로 나열됩니다. 작업은 왼쪽 연관입니다.
논리 연산자 |
설명 |
|---|---|
! |
부정. |
& |
논리적 AND. |
| |
논리적 OR. |
일치 항목을 무효화하려면 값 앞에 느낌표를 붙입니다. 예를 들어, TCP 플래그 필드의 RST 비트가 설정되지 않은 경우에만 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "!rst"
다음 논리적 AND 연산 예에서 패킷이 TCP 세션의 초기 패킷인 경우 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn&!ack"
다음 논리적 OR 연산 예제에서 패킷이 TCP 세션 설정 또는 삭제의 일부인 경우 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn|fin"
논리 OR 연산의 경우, 단일 용어에 최대 2개의 일치 조건을 지정할 수 있습니다. 논리 OR 연산에서 두 개 이상의 비트 필드 값을 일치시켜야 하는 경우, 추가 비트 필드 값을 사용하여 동일한 일치 조건을 연속적으로 구성합니다. 다음 예에서 구성된 두 용어는 TCP 플래그 필드의 SYN, ACK, FIN 또는 RST 비트와 일치합니다.
[edit firewall family family-name filter filter-name term term-name1 from] user@switch# set tcp-flags "syn|ack" [edit firewall family family-name filter filter-name term term-name2 from] user@switch# set tcp-flags "fin|rst"
텍스트 동의어를 사용하여 몇 가지 일반적인 비트 필드 일치를 지정할 수 있습니다. 이러한 일치 항목을 단일 키워드로 지정합니다. 텍스트 동의어의 다음 예에서 패킷이 TCP 세션의 초기 패킷인 경우 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags tcp-initial