IPv4 트래픽 방화벽 일치 조건
인터넷 프로토콜 버전 4(IPv4) 트래픽(family inet
) 일치 조건으로 방화벽 필터를 구성할 수 있습니다.
MPC를 포함하고 있는 MX 시리즈 라우터의 경우, 해당 SNMP MIB(예: show snmp mib walk name ascii
)을(를) 살펴봄으로써 관리 정보 베이스(MIB)의 트리오 전용 일치 필터에 대한 필터 카운터를 초기화해야 합니다. 이는 Junos가 필터 카운터를 학습하도록 강요하고 필터 통계가 표시되도록 보장합니다(이는 통계를 필터링하기 위한 첫 번째 폴이 모든 카운터를 나타내지 않을 수 있기 때문입니다.). 이 지침은 향상된 모드 방화벽 필터, 유연한 조건을 가진 필터 및 특정 종료 동작을 가진 필터에 모두 적용됩니다. 자세한 내용은 관련 문서에 나열된 주제를 참조하십시오.
표 1에는 계층 [edit firewall family inet filter filter-name term term-name from]
수준에서 구성할 수 있는 match-conditions
이(가) 설명되어 있습니다.
일치 조건 |
설명 |
|
---|---|---|
|
|
|
|
(M120 및 M320을 제외한 M 시리즈 라우터) IPsec 인증 헤더(AH) 보안 매개변수 색인(SPI) 값을 일치시킵니다. 주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. |
|
|
(M120 및 M320을 제외한 M 시리즈 라우터) IPsec AH SPI 값을 일치시키지 마십시오. 주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. |
|
|
구성 데이터를 상속하는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다. 상속 우선순위를 순서대로 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선권을 갖습니다. |
|
|
구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다. |
|
|
동일한 용어에 |
|
|
하나 이상의 지정된 대상 클래스 이름을 일치시킵니다(함께 그룹화되고 클래스 이름이 부여된 대상 접두사 집합). 자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오. |
|
|
하나 이상의 지정된 대상 클래스 이름을 일치시키지 마십시오. 자세한 내용은 |
|
|
UDP 또는 TCP 대상 포트 필드를 일치시킵니다. 동일한 용어에 일치 조건에 기반하여 포트를 구성할 때 반드시 또한 동일한 필터 용어에 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). |
|
|
UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 자세한 내용은 |
|
|
|
|
|
DSCP(Differentiated Services Code Point)를 일치시킵니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. 자세한 내용은 행동 집계(BA) 분류자가 트러스트 트래픽을 우선순위 지정하는 방법 이해하기를 참조하십시오. DSCP(Differentiated Services Code Point) 필터링 및 GRE(Generic Routing Encapsulation)에 캡슐화된 IS-IS 패킷을 포함한 라우팅 엔진 소싱 패킷 클래스 포워딩을 위한 지원 기능이 추가되었습니다. 부수적으로, 서비스 등급(CoS) 및 방화벽 필터를 모두 포함하고 DSCP 또는 포워딩 클래스 필터 작업을 모두 포함하는 Junos OS 이전 버전에서 업그레이드할 때 방화벽 필터의 기준이 자동으로 CoS 설정보다 우선시됩니다. 새로운 구성을 생성할 때도 마찬가지입니다. 즉, 동일한 설정이 존재할 경우, 먼저 생성되었는지 여부에 관계없이 방화벽 필터가 CoS보다 우선시됩니다.
숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).
|
|
|
DSCP 숫자를 일치시키지 마십시오. 자세한 내용은 |
|
|
IPsec ESP(Encapsulating Security Payload) SPI 값을 일치시킵니다. 이 특정 SPI 값을 일치시킵니다. 16진수, 2진수 또는 10진수 형식으로 ESP SPI 값을 지정할 수 있습니다. 주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. |
|
|
IPsec ESP SPI 값을 일치시킵니다. 이 특정 SPI 값을 일치시키지 마십시오. 주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. |
|
|
패킷이 단편화된 패킷의 첫 번째 부분인 경우 일치시킵니다. 패킷이 단편화된 패킷의 마지막 부분인 경우 일치시키지 않습니다. 단편화된 패킷의 첫 번째 부분은 이 일치 조건은 비트 필드 일치 조건인 첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어를 사용할 수 있습니다. |
|
|
|
비트 단위로 일치할 데이터의 길이, 문자열 입력에 필요하지 않음(0..128) |
|
(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋 |
|
|
일치 시작점 이후의 바이트 오프셋 |
|
|
사전 정의된 템플릿 필드에서 유연한 일치 항목 선택 |
|
|
일치할 패킷 데이터에서 비트 마스크 아웃 |
|
|
패킷 일치 시작점 |
|
|
일치할 값 데이터/문자열 |
|
|
|
비트 단위로 일치할 데이터의 길이(0..32) |
|
(일치 시작 + 바이트) 오프셋(0..7) 이후의 비트 오프셋 |
|
|
일치 시작점 이후의 바이트 오프셋 |
|
|
사전 정의된 템플릿 필드에서 유연한 일치 항목 선택 |
|
|
패킷 일치 시작점 |
|
|
일치할 값 범위 |
|
|
이러한 값 범위를 일치시키지 마십시오 |
|
|
패킷 포워딩 클래스를 일치시킵니다.
포워딩 클래스 및 라우터 내부 출력 큐에 대한 내용은 포워딩 클래스가 클래스를 출력 큐로 할당하는 방법 이해하기를 참조하십시오. |
|
|
패킷 포워딩 클래스를 일치시키지 마십시오. 자세한 내용은 |
|
|
(수신 전용) IP 헤더의 3비트 IP 단편화 플래그 필드를 일치시킵니다. 숫자 필드 값 대신 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
|
IP 헤더의 13비트 부분 오프셋 필드를 일치시킵니다. 이 값은 데이터 부분에 대한 전체 데이터그램 메시지의 오프셋(8바이트 단위)입니다. 숫자 값, 값 범위 또는 값 집합을 지정합니다.
첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어( |
|
|
13비트 부분 오프셋 필드를 일치시키지 마십시오. |
|
|
GRE 키 필드를 일치시킵니다. GRE 키 필드는 GRE 캡슐화 도구에 의해 삽입된 4옥텟 숫자입니다. GRE 캡슐화에 사용하는 선택적 필드입니다. range은(는) 단일 GRE 키 번호 또는 키 숫자 범위가 될 수 있습니다. MPC를 포함하고 있는 MX 시리즈 라우터의 경우, 해당 SNMP 관리 정보 베이스(MIB)를 살펴봄으로써 이 조건을 포함하는 새로운 방화벽 필터를 초기화합니다. |
|
|
ICMP 메시지 코드 필드를 일치시킵니다. 주:
이 일치 조건을 사용할 때, icmp 패킷이 평가되도록 아래에 제시되어 있는 바와 같이 동일한 용어에 term Allow _ICMP { from protocol icmp { icmp-code ip-header-bad; icmp-type echo-reply; } then { policer ICMP_Policier; count Allow_ICMP; 또한 동일한 용어에 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.
|
|
|
ICMP 메시지 코드 필드를 일치시키지 마십시오. 자세한 내용은 |
|
|
ICMP 메시지 유형 필드를 일치시킵니다. 주:
이 일치 조건을 사용할 때, icmp패킷이 평가되도록 아래에 제시되어 있는 바와 같이 동일한 용어에 term Allow _ICMP { from protocol icmp { icmp-code ip-header-bad; icmp-type echo-reply; } then { policer ICMP_Policier; count Allow_ICMP; 또한 동일한 용어에 주:
Junos OS Evolved의 경우, 동일한 용어에 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
|
ICMP 메시지 유형 필드를 일치시키지 마십시오. 자세한 내용은 |
|
|
패킷이 수신된 인터페이스를 일치시킵니다. 주:
존재하지 않는 인터페이스를 사용하여 이 일치 조건을 구성할 경우, 용어는 패킷과 일치하지 않습니다. |
|
|
패킷이 수신된 논리 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시킵니다. 논리 인터페이스를 인터페이스 그룹 주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. 자세한 내용은 인터페이스 그룹 집합에서 수신된 패킷 필터링 개요를 참조하십시오. |
|
|
패킷이 수신된 논리 인터페이스를 지정된 인터페이스 그룹 또는 인터페이스 그룹 집합과 일치시키지 마십시오. 자세한 내용은 주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. |
|
|
패킷이 수신된 인터페이스를 지정된 인터페이스 모음과 일치시킵니다. 인터페이스 집합을 정의하려면 주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. 자세한 내용은 인터페이스 집합에서 수신된 패킷 필터링 개요를 참조하십시오. |
|
|
존재하는 경우, 8비트 IP 옵션 필드를 지정된 값 또는 값 목록과 일치시킵니다. 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(옵션 값도 나열되어 있음). IP 옵션에 대한 모든 값을 일치시키려면 텍스트 동의어 예를 들어, 일치 조건 대부분의 인터페이스의 경우, 하나 이상의 특정 IP 옵션 값(
MX 시리즈의 10기가비트 이더넷 MPC(Modular Port Concentrator), 100기가비트 이더넷 MPC, 60기가비트 이더넷 MPC, 60기가비트 큐잉 이더넷 MPC 및 60기가비트 이더넷 Enhanced 큐잉 MPC는 IPv4 패킷 헤더의 IP 옵션 필드를 파싱할 수 있습니다. 이러한 MPC에 구성된 인터페이스 경우, Junos Evolved OS 릴리스 20.2R1부터 주:
|
|
|
IP 옵션 필드를 지정된 값 또는 값 목록과 일치시키지 마십시오. |
|
|
이 조건을 사용하면 IP 헤더에 추가 조각 플래그가 활성화된 경우 조각 오프셋이 0이 아닌 경우 및 을 일치시킵니다. 주:
첫 번째 및 마지막 부분 모두를 일치시키기 위해 다른 일치 조건을 지정하는 두 용어( |
|
|
패킷 손실 우선순위(PLP) 수준을 일치시킵니다. 단일 수준 또는 여러 수준을 지정합니다. M120 및 M320 라우터, Enhanced CFEB(CFEB-E)가 있는 M7i 및 M10i 라우터 그리고 MX 시리즈 라우터에서 지원됩니다. Enhanced II FPC(Flexible PIC Concentrator)가 있는 M320, MX 시리즈 및 T 시리즈의 IP 트래픽의 경우,
|
|
|
PLP 수준을 일치시키지 마십시오. 자세한 내용은 |
|
|
수신된 패킷 길이를 바이트로 일치시킵니다. 길이는 패킷 헤더를 포함하여 IP 패킷만 언급하고 모든 레이어 2 캡슐화 오버헤드를 포함하지 않습니다. 또한 일치할 값의 범위를 지정할 수 있습니다. |
|
|
수신된 패킷 길이(바이트)를 일치시키지 마십시오. 자세한 내용은 |
|
|
UDP 또는 TCP 소스나 대상 포트 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건에 기반하여 포트를 구성할 때 동일한 필터 용어에 숫자 값 대신, |
|
|
소스 또는 대상 UDP나 TCP 포트 필드를 일치시키지 마십시오. 자세한 내용은 |
|
|
IP 우선순위 필드를 일치시킵니다. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
|
IP 우선순위 필드를 일치시키지 마십시오. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
|
접두사 목록은 주:
이 일치 조건은 PTX1000 라우터에서는 지원되지 않습니다. |
|
|
IP 프로토콜 유형 필드를 일치시킵니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
|
IP 프로토콜 유형 필드를 일치시키지 마십시오. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
|
Proxy Mobile IPv4(PMIPv4) 액세스 기술 유형 확장에 대한 8비트 Tech-Type 필드에 지정되어 있는 RAT(Radio Access Technology) 유형을 일치시킵니다. 기술 유형은 디바이스 액세스 기술을 지정하며 이를 통해 모바일 디바이스가 액세스 네트워크와 연결됩니다. 단일 값, 값 범위 또는 값 집합을 지정합니다. 0~255 범위의 숫자 값 또는 시스템 키워드로 기술 유형을 지정할 수 있습니다.
|
|
|
RAT 유형을 일치시키지 마십시오. |
|
|
주:
이 일치 조건은 PTX 시리즈 라우터에서는 지원되지 않습니다. |
|
|
동일한 용어에 |
|
|
하나 이상의 지정된 소스 클래스 이름(함께 그룹화되고 클래스 이름이 부여되어 있는 소스 접두사 모음)을 일치시킵니다. 자세한 내용은 주소 클래스에 기반한 방화벽 필터 일치 조건을 참조하십시오. |
|
|
하나 이상의 지정된 소스 클래스 이름을 일치시키지 마십시오. 자세한 내용은 |
|
|
UDP 또는 TCP 소스 포트 필드를 일치시킵니다. 동일한 용어에 일치 조건에 기반하여 포트를 구성할 때 동일한 필터 용어에 숫자 값 대신, |
|
|
UDP 또는 TCP 소스 포트 필드를 일치시키지 마십시오. 자세한 내용은 |
|
|
|
|
|
설정된 TCP 세션의 TCP 패킷(연결의 첫 번째 패킷 이외의 패킷)을 일치시킵니다. 이는 이 일치 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이를 확인하려면 |
|
|
TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다. 개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다.
TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. 비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다. 결합된 비트 필드 일치 조건의 경우, 이 일치 조건을 구성하는 경우, 동일한 용어에 IPv4 트래픽의 경우에만, 이 일치 조건은 데이터그램이 단편화된 패킷의 첫 번째 부분을 포함하는지 암묵적으로 확인하지 않습니다. IPv4 트래픽에만 해당하는 이 조건을 확인하려면 |
|
|
TCP 연결의 패킷 초기 패킷을 일치시킵니다. 이는 이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 |
|
|
IPv4 TTL(time-to-live) 숫자를 일치시킵니다. TTL 값 또는 TTL 값 범위를 지정합니다. |
|
|
IPv4 TTL 숫자를 일치시키지 마십시오. 자세한 내용은 |
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.