Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

목록으로 적용된 여러 방화벽 필터 이해하기

이 주제는 다음 정보를 다룹니다.

과제: 대규모 방화벽 필터 관리 단순화

일반적으로 단일 방화벽 필터 를 입력 또는 출력 방향 또는 두 가지 모두의 인터페이스에 적용합니다. 그러나 많은 인터페이스로 구성된 디바이스가 있는 경우 이러한 접근 방식이 실용적이지 않을 수 있습니다. 대규모 환경에서는 영향을 받는 모든 인터페이스의 필터를 재구성할 필요 없이 여러 인터페이스에 공통된 필터링 용어를 수정할 수 있는 유연성을 원합니다.

일반적으로 솔루션은 여러 방화벽 필터의 효과적으로 "연동된" 구조를 단일 인터페이스에 적용하는 것입니다. 필터링 용어를 각각 필터링 작업을 수행하는 여러 방화벽 필터로 분할합니다. 그런 다음 특정 인터페이스에 대해 수행할 필터링 작업을 선택하고 해당 인터페이스에 필터링 작업을 적용할 수 있습니다. 이러한 방식으로 단일 방화벽 필터에서 필터링 작업에 대한 구성만 관리합니다.

Junos OS 정책 프레임워크는 여러 별도의 방화벽 필터를 개별 라우터 인터페이스에 적용하기 위한 두 가지 옵션을 제공합니다. 한 가지 옵션은 여러 필터를 단일 입력 목록 또는 출력 목록으로 적용하는 것입니다. 다른 옵션은 다른 방화벽 필터의 용어 내에서 방화벽 필터를 참조하는 것입니다. 이 옵션은 PTX10003 라우터에서는 지원되지 않습니다.

솔루션: 방화벽 필터 목록 적용

여러 방화벽 필터에 공통적인 중복 필터링 용어를 구성하지 않도록 하는 가장 간단한 방법은 여러 방화벽 필터를 구성한 다음 각 인터페이스에 맞춤형 필터 목록을 적용하는 것입니다. Junos OS 필터를 목록에 나타나는 순서대로 사용하여 인터페이스를 전송하는 패킷을 평가합니다. 여러 인터페이스에서 공유되는 필터링 용어를 수정해야 하는 경우 해당 용어를 포함하는 하나의 방화벽 필터만 수정하면 됩니다.

필터 목록을 위한 여러 필터 구성

각 라우터 인터페이스에 대한 고유한 목록에 적용될 방화벽 필터를 구성하려면 다음과 같이 인터페이스별 패킷 필터링 규칙과 공유 패킷 필터링 규칙을 분리하는 것이 포함됩니다.

  • Unique filters-특정 인터페이스에 고유한 패킷 필터링 규칙의 각 집합에 대해 해당 인터페이스에 대한 필터링 용어만 포함하는 별도의 방화벽 필터를 구성합니다.

  • Shared filters-두 개 이상의 인터페이스에서 공통된 패킷 필터링 규칙의 각 집합에 대해 공유 필터링 용어를 포함하는 별도의 방화벽 필터를 구성하는 것을 고려하십시오.

    팁:

    필터 목록을 사용하여 많은 수의 방화벽 필터를 계획할 때, 관리자는 종종 필터링 기준, 고객이 구독하는 서비스 또는 인터페이스 목적으로 공유 필터를 구성합니다.

라우터 인터페이스에 필터 목록 적용

방화벽 필터 목록을 인터페이스에 적용하는 것은 해당 인터페이스의 패킷 필터링 요구 사항을 충족하는 필터를 선택하는 데 있어 문제가 됩니다. 각 인터페이스에 대해 스탠자 내에 filter 또는 output-list 문(또는 둘 다)을 포함 input-list 하여 사용할 순서대로 관련 필터를 지정할 수 있습니다.

  • 인터페이스와 관련된 공통 필터링 용어를 포함하는 모든 필터를 포함합니다.

  • 인터페이스 고유의 필터링 용어만 포함하는 필터를 포함합니다.

필터 목록에 대한 인터페이스별 이름

필터 목록이 인터페이스에 따라 구성되므로 결과적으로 연결 필터는 인터페이스에 따라 다릅니다.

주:

필터 목록이 인터페이스에 따라 구성되면 필터 목록의 방화벽 필터가 인터페이스별으로 구성되든 그렇지 않든 관계없이 결과로 생성된 연결 필터는 인터페이스에 따라 지정됩니다. 또한 인터페이스 사양 방화벽 필터의 인스턴스화는 방화벽 필터 카운터의 별도의 인스턴스를 생성할 뿐만 아니라 폴리서 작업의 인스턴스를 분리합니다. 방화벽 필터 구성에 지정된 작업을 통해 적용되는 모든 폴리서는 인터페이스 그룹의 각 인터페이스에 별도로 적용됩니다.

인터페이스별 필터의 시스템 생성 이름은 전체 인터페이스 이름으로 구성되며 출력 필터 목록의 입력 필터 목록 또는 '-i'에 대한 '-o'이 뒤따릅니다.

  • Input filter list name-예를 들어, 문을 사용하여 input-list 필터 체인을 논리적 인터페이스 ge-1/3/0.0에 적용하는 경우 Junos OS 필터에 다음 이름을 사용합니다.

  • Output filter list name-예를 들어, 문을 사용하여 output-list 필터 체인을 논리적 인터페이스 fe-0/1/2.0에 적용하는 경우 Junos OS 필터에 다음 이름을 사용합니다.

주:

진화한 Junos OS 필터 이름은 다릅니다. 예를 들어, 필터가 inet 체계에 바인딩된 경우 필터의 이름은 ge-1/3/0/0-inet-i 및 입니다 fe-0/1/2.0-inet-o.

방화벽 필터 이름을 지정하는 Junos OS 운영 모드 명령을 입력할 때 필터 목록의 인터페이스별 이름을 사용할 수 있습니다.

일치한 용어에 종료 또는 다음 용어 작업을 포함할 때 필터 목록이 패킷을 평가하는 방법

디바이스는 종료 작업이 발생하거나 패킷이 암묵적으로 폐기될 때까지 목록의 필터에 대해 패킷을 순차적으로 평가합니다.

표 1 은(는) 일치하는 용어가 종료 작업 및 next term 작업을 지정하는지 여부에 따라 방화벽 필터 목록이 패킷을 평가하는 방법을 설명합니다. 이 next term 작업은 종료 작업이나 종료 작업이 아니라 플로우 제어 작업입니다.

표 1: 방화벽 필터 목록 동작

일치하는 용어에 포함된 방화벽 필터 작업

용어 설명

패킷 필터링 동작

종료

다음 용어

일치하는 용어는 종료 작업(예: discard)을 포함하지만 작업은 포함되지 않습니다 next term .

디바이스는 종료 작업을 실행합니다. 필터의 후속 용어가 없으며 목록의 후속 필터는 패킷을 평가하는 데 사용되지 않습니다.

일치하는 용어는 작업을 포함 next term 하지만 종료 동작은 포함하지 않습니다.

디바이스는 비테러 작업을 실행한 다음 디바이스가 필터 또는 목록의 다음 필터의 다음 용어에 대해 패킷을 평가합니다.

주:

Junos OS Evolved에서는 next term 작업의 마지막 용어로 표시될 수 없습니다. 동작으로 지정되지만 구성된 일치 조건 없이 필터 용어 next term 는 지원되지 않습니다.

일치하는 용어에는 작업이나 종료 작업이 모두 next term 포함되어 있지 않습니다.

디바이스는 비테미닝 작업을 실행한 다음 디바이스가 패킷을 암묵적으로 수락합니다. accept 작업이 종료 작업이므로 필터의 후속 용어가 없으며 목록의 후속 필터는 패킷을 평가하는 데 사용되지 않습니다.

종료 작업에 대한 자세한 내용은 을(를) 참조하십시오 방화벽 필터 종료 작업.

주:

동일한 방화벽 필터 용어에 종료 동작으로 작업을 구성할 next term 수 없습니다.

필터 목록이 프로토콜 독립 및 IP 방화벽 필터를 포함할 때 패킷을 평가하는 방법

프로토콜 독립() 방화벽 필터와 프로토콜별(family anyfamily inet또는family inet6) 방화벽 필터와 연결된 단일 인터페이스에서 프로토콜 독립 방화벽 필터가 먼저 실행됩니다.

첫 번째 필터의 종료 동작은 두 번째 필터도 패킷을 평가하는지 여부를 결정합니다.

  • 작업을 실행하여 첫 번째 필터가 accept 종료되면 두 번째 필터도 패킷을 평가합니다.

  • 첫 번째 필터가 패킷과 일치하는 용어( 암시적 discard 작업)없이 종료되면 두 번째 필터도 패킷을 평가합니다.

  • 명시적 discard 작업을 실행하여 첫 번째 필터가 종료되면 두 번째 필터는 패킷을 평가하지 않습니다.

PTX10003 라우터는 필터 목록의 프로토콜 독립 필터 및 기타 필터 조합을 지원하지 않습니다.

관련 항목