방화벽 필터 일치 조건 이해
방화벽 필터에 대한 용어를 정의하기 전에 용어에서 지정한 일치 조건을 처리하는 방법과 원하는 필터링 결과를 얻기 위해 다양한 유형의 일치 조건을 지정하는 방법을 이해해야 합니다. 일치 조건은 일치 조건을 정의하는 문자열(일치 문이라고 함)으로 구성됩니다. 일치 조건은 패킷이 포함해야 하는 값 또는 필드입니다.
필터 일치 조건
from방화벽 필터 용어의 문에서 문 중 하나에서 then 작업을 트리거하는 패킷 조건을 지정합니다. then다양한 옵션, 또는 then vlan을(를) then interface 제공합니다. 명령문의 from 모든 조건이 작업을 수행하려면 일치해야 합니다. 일치 조건을 지정하는 순서는 중요하지 않습니다. 패킷이 일치가 발생하려면 용어의 모든 조건과 일치해야 하기 때문입니다.
용어에 일치 조건을 지정하지 않으면 해당 용어가 모든 패킷과 일치합니다.
명령문의 from 개별 조건에는 값 목록이 포함될 수 없습니다. 예를 들어, 숫자 범위 또는 여러 소스 또는 대상 주소를 지정할 수 없습니다.
성명서의 from 개별 조건을 무시할 수 없습니다. 부정된 조건은 명시적 불일치입니다.
숫자 필터 일치 조건
숫자 필터 조건은 포트 및 프로토콜 번호와 같은 숫자 값으로 식별되는 패킷 필드와 일치합니다. 숫자 필터 일치 조건의 경우, 조건 및 패킷의 필드가 일치해야 하는 단일 값을 식별하는 키워드를 지정합니다.
다음 방법 중 하나로 숫자 값을 지정할 수 있습니다.
단일 번호 - 필드 값이 숫자와 일치하면 일치가 발생합니다. 예를 들어,
source-port 25;
단일 번호에 대한 텍스트 동의어 - 필드 값이 동의어에 해당하는 숫자와 일치하면 일치가 발생합니다. 예를 들어,
source-port http;
필터 용어에 두 개 이상의 값을 지정하려면 일치 조건을 정의하는 문자열인 자체 일치 문에 각 값을 입력합니다. 예를 들어, 값 vlan 이 10 또는 30인 경우 다음 용어에 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] vlan 10; vlan 30;
숫자 필터 일치 조건에 다음과 같은 제한이 적용됩니다.
값의 범위를 지정할 수 없습니다.
쉼표로 구분된 값 목록을 지정할 수 없습니다.
숫자 필터 일치 조건에서 특정 값을 제외할 수 없습니다. 예를 들어, 일치 조건이 지정된 값과 동일하지 않은 경우에만 일치하는 조건을 지정할 수 없습니다.
인터페이스 필터 일치 조건
인터페이스 필터 일치 조건은 패킷의 인터페이스 이름 값을 일치시킬 수 있습니다. 인터페이스 필터 일치 조건의 경우, 인터페이스 이름을 지정합니다( 예:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/0/1
포트 및 VLAN 인터페이스는 논리적 단위 번호를 사용하지 않습니다. 그러나 라우터 인터페이스에 적용되는 방화벽 필터는 인터페이스 필터 일치 조건에서 논리적 단위 번호를 지정할 수 있습니다. 예:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/1/0.0
예를 들어, 인터페이스 이름의 일부로 와일드카드를 포함 * 할 수 있습니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/*/1 user@switch# set interface ge-0/1/* user@switch# set interface ge-*
IP 주소 필터 일치 조건
주소 필터 일치 조건은 IP 소스 및 대상 접두사와 같은 패킷의 접두사 값을 일치시킬 수 있습니다. 주소 필터 일치 조건의 경우, 필드를 식별하는 키워드와 패킷이 일치해야 하는 해당 유형의 접두사를 지정합니다.
주소를 단일 접두사로 지정합니다. 필드 값이 접두사와 일치하면 일치가 발생합니다. 예를 들어,
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10.2.1.0/28;
각 접두사에는 문을 제외한 암시적 0/0이 포함되어 있습니다. 즉, 지정된 접두사와 일치하지 않는 접두사들은 명시적으로 일치하지 않는 것으로 간주됩니다.
주소 접두사를 지정하려면 표기법 접두사/접두사 길이를 사용합니다. 접두사 길이를 생략하면 기본값은 /32입니다. 예를 들어,
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10 [edit firewall family family-name filter filter-name term term-name from] user@switch# show destination-address 10.0.0.0/32;
필터 용어에 두 개 이상의 IP 주소를 지정하려면 각 주소를 자체 일치 문에 입력합니다. 예를 들어, 필드 값 source-address 이 다음 소스 주소 접두사 중 하나와 일치하면 다음 용어에 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-address 10.0.0.0/8 user@switch# set source-address 10.1.0.0/16
MAC 주소 필터 일치 조건
MAC 주소 필터 일치 조건은 패킷의 소스 및 대상 MAC 주소 값과 일치할 수 있습니다. MAC 주소 필터 일치 조건의 경우, 필드를 식별하는 키워드와 패킷이 일치해야 하는 해당 유형의 한 값을 지정합니다.
MAC 주소 다음 형식으로 666진수 바이트로 지정할 수 있습니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 0011.2233.4455
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 00:11:22:33:44:55
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 001122334455
필터 용어에 두 개 이상의 MAC 주소 지정하려면 각 MAC 주소 자체 일치 문에 입력합니다. 예를 들어 필드 값 source-mac-address 이 다음 주소 중 하나와 일치하면 다음 용어에 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-mac-address 00:11:22:33:44:55 user@switch# set source-mac-address 00:11:22:33:20:15
비트 필드 필터 일치 조건
해당 필드의 특정 비트가 설정되지 않았거나 설정되지 않은 경우 비트 필드 필터 조건은 패킷 필드와 일치합니다. IP 옵션, TCP 플래그 및 IP 단편화 필드를 일치시킬 수 있습니다. 비트 필드 필터 일치 조건의 경우, 필드 및 테스트를 식별하는 키워드를 지정하여 옵션이 필드에 존재하는지 결정합니다.
일치하는 비트 필드 값을 지정하려면 큰따옴표로 값을 묶습니다. 예를 들어, TCP 플래그 필드의 비트가 RST 설정된 경우 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "rst"
일반적으로 키워드를 사용하여 테스트할 비트를 지정합니다. 비트 필드 일치 키워드는 항상 단일 비트 값에 매핑됩니다. 또한 비트 필드를 16진수 또는 10진수 숫자로 지정할 수 있습니다.
여러 비트 필드 값을 일치하려면 에 설명 표 1된 논리 연산자를 사용합니다. 연산자는 우선 순위가 높은 순서대로 나열됩니다. 운영은 좌측 연결입니다.
논리적 연산자 |
설명 |
|---|---|
! |
부정. |
& |
논리적 AND. |
| |
논리적 OR. |
일치를 무효화하려면, 값에 느낌표가 앞에 붙입니다. 예를 들어, TCP 플래그 필드의 RST 비트가 설정되지 않은 경우에만 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "!rst"
논리적 AND 연산의 다음 예에서는 패킷이 TCP 세션의 초기 패킷인 경우 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn&!ack"
논리적 OR 연산의 다음 예에서는 패킷이 TCP 세션 설정의 일부이거나 분해되는 경우 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn|fin"
논리적 OR 작업의 경우, 단일 용어에 최대 2개의 일치 조건을 지정할 수 있습니다. 논리적 OR 작업에서 두 개 이상의 비트 필드 값을 일치시켜야 하는 경우, 추가 비트 필드 값으로 연속적으로 동일한 일치 조건을 구성합니다. 다음 예시에서 구성된 두 용어는 TCP 플래그 필드에서 SYN, ACK, FIN 또는 RST 비트와 일치합니다.
[edit firewall family family-name filter filter-name term term-name1 from] user@switch# set tcp-flags "syn|ack" [edit firewall family family-name filter filter-name term term-name2 from] user@switch# set tcp-flags "fin|rst"
텍스트 동의어를 사용하여 일반적인 비트 필드 일치 항목을 지정할 수 있습니다. 이러한 일치 항목을 단일 키워드로 지정합니다. 텍스트 동의어의 다음 예에서는 패킷이 TCP 세션의 초기 패킷인 경우 일치가 발생합니다.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags tcp-initial