Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

목록으로 적용된 여러 방화벽 필터 이해

이 주제에서 다루는 정보는 다음과 같습니다.

도전 과제: 대규모 방화벽 필터 관리 간소화

일반적으로 입력 또는 출력 방향 또는 둘 다의 인터페이스에 단일 방화벽 필터를 적용합니다. 그러나 디바이스가 여러 인터페이스로 구성된 경우에는 이 접근 방식이 적합하지 않을 수 있습니다. 대규모 환경에서는 영향을 받는 모든 인터페이스의 필터를 재구성할 필요 없이 여러 인터페이스에 공통적인 필터링 용어를 수정할 수 있는 유연성이 필요합니다.

일반적으로 해결책은 여러 방화벽 필터의 효과적인 "연결" 구조를 단일 인터페이스에 적용하는 것입니다. 필터링 용어를 각각 필터링 작업을 수행하는 여러 방화벽 필터로 분할합니다. 그런 다음 지정된 인터페이스에 대해 수행할 필터링 작업을 선택하고 해당 인터페이스에 필터링 작업을 적용할 수 있습니다. 이러한 방식으로 단일 방화벽 필터에서 필터링 작업에 대한 구성만 관리할 수 있습니다.

Junos OS 정책 프레임워크는 개별 라우터 인터페이스에 대한 여러 개별 방화벽 필터의 애플리케이션을 관리하기 위한 두 가지 옵션을 제공합니다. 한 가지 옵션은 여러 필터를 단일 입력 목록 또는 출력 목록으로 적용하는 것입니다. 다른 옵션은 다른 방화벽 필터의 용어 내에서 방화벽 필터를 참조하는 것입니다. 이 옵션은 PTX10003 라우터에서 지원되지 않습니다.

해결책: 방화벽 필터 목록 적용

여러 방화벽 필터에 공통적인 중복 필터링 용어를 구성하지 않도록 하는 가장 간단한 방법은 여러 방화벽 필터를 구성한 다음 각 인터페이스에 사용자 지정된 필터 목록을 적용하는 것입니다. Junos OS는 목록에 나타나는 순서대로 필터를 사용하여 인터페이스를 전송하는 패킷을 평가합니다. 여러 인터페이스에서 공유되는 필터링 용어를 수정해야 하는 경우 해당 용어가 포함된 방화벽 필터 하나만 수정하면 됩니다.

필터 목록에 대한 여러 필터 구성

각 라우터 인터페이스의 고유 목록에 방화벽 필터를 적용하도록 구성하려면 다음과 같이 공유 패킷 필터링 규칙과 인터페이스별 패킷 필터링 규칙을 분리해야 합니다.

  • Unique filters- 특정 인터페이스에 고유한 각 패킷 필터링 규칙 집합에 대해 해당 인터페이스에 대한 필터링 용어만 포함하는 별도의 방화벽 필터를 구성합니다.

  • Shared filters- 두 개 이상의 인터페이스에서 공통적인 각 패킷 필터링 규칙 집합에 대해 공유 필터링 용어를 포함하는 별도의 방화벽 필터를 구성하는 것이 좋습니다.

    팁:

    필터 목록을 사용하여 많은 수의 방화벽 필터를 적용하도록 계획할 때 관리자는 필터링 기준, 고객이 가입하는 서비스 또는 인터페이스의 목적에 따라 공유 필터를 구성하는 경우가 많습니다.

라우터 인터페이스에 필터 목록 적용

인터페이스에 방화벽 필터 목록을 적용하려면 해당 인터페이스의 패킷 필터링 요구 사항을 충족하는 필터를 선택해야 합니다. 각 인터페이스에 대해 스탠자 내에 또는 명령문(또는 둘 다)을 포함하여 관련 필터를 사용할 순서대로 지정할 수 있습니다.input-listoutput-listfilter

  • 인터페이스와 관련된 일반적인 필터링 용어를 포함하는 모든 필터를 포함합니다.

  • 인터페이스에 고유한 필터링 용어만 포함하는 필터를 포함합니다.

필터 목록에 대한 인터페이스별 이름

필터 목록이 인터페이스 아래에 구성되기 때문에 연결된 결과 필터는 인터페이스에 따라 다릅니다.

주:

인터페이스 아래에 필터 목록이 구성되면 필터 목록의 방화벽 필터가 인터페이스별로 구성되었는지 여부에 관계없이 연결된 결과 필터는 인터페이스에 따라 다릅니다. 또한 인터페이스 사양 방화벽 필터를 인스턴스화하면 방화벽 필터 카운터의 개별 인스턴스뿐만 아니라 폴리서 작업의 개별 인스턴스도 생성됩니다. 방화벽 필터 구성에 지정된 작업을 통해 적용된 모든 폴리서는 인터페이스 그룹의 각 인터페이스에 별도로 적용됩니다.

인터페이스별 필터의 시스템 생성 이름은 전체 인터페이스 이름 뒤에 입력 필터 목록의 경우 '', 출력 필터 목록의 경우 ''로 구성됩니다.-i-o

  • —예를 들어, 문을 사용하여 논리 인터페이스에필터 체인을 적용하는 경우 Junos OS는 필터에 다음 이름을 사용합니다.Input filter list nameinput-listge-1/3/0.0

  • —예를 들어, 문을 사용하여 논리 인터페이스에 필터 체인을 적용하는 경우 Junos OS는 필터에 다음 이름을 사용합니다.Output filter list nameoutput-listfe-0/1/2.0

주:

Junos OS Evolved의 경우 필터 이름이 다릅니다. 예를 들어, 필터가 inet 패밀리에 바인딩된 경우 필터의 이름은 및 입니다.ge-1/3/0/0-inet-ife-0/1/2.0-inet-o

방화벽 필터 이름을 지정하는 Junos OS 운영 모드 명령을 입력할 때 인터페이스별 필터 목록 이름을 사용할 수 있습니다.

일치하는 용어에 종료 또는 다음 용어 작업이 포함된 경우 필터 목록이 패킷을 평가하는 방법

디바이스는 종료 작업이 발생하거나 패킷이 암묵적으로 폐기될 때까지 목록의 첫 번째 필터부터 시작하여 목록의 필터에 대해 패킷을 순차적으로 평가합니다.

방화벽 필터 목록이 일치하는 용어가 종료 작업 및 작업을 지정하는지 여부에 따라 패킷을 평가하는 방법을 설명합니다.표 1next term 이 작업은 종료 작업도 아니고 비종료 작업도 아니며 흐름 제어 작업입니다.next term

표 1: 방화벽 필터 목록 동작

일치하는 용어에 포함된 방화벽 필터 작업

용어 설명

패킷 필터링 동작

종료

다음 학기

일치하는 용어에 종료 작업(예: )이 포함되지만 작업은 포함되지 않습니다discardnext term

디바이스가 종료 동작을 실행합니다. 필터의 후속 용어와 목록의 후속 필터는 패킷을 평가하는 데 사용되지 않습니다.

일치하는 용어에는 작업이 포함 되지만 종료 작업은 포함되지 않습니다.next term

디바이스가 종료되지 않는 작업을 실행한 다음 필터는 필터의 다음 용어 또는 목록의 다음 필터에 대해 패킷을 평가합니다.

주:

Junos OS Evolved에서 next term은 작업의 마지막 용어로 표시될 수 없습니다. next term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.

일치하는 용어에는 작업이나 종료 작업이 포함되지 않습니다 .next term

디바이스는 종료되지 않는 모든 작업을 실행한 다음 암시적으로 패킷을 수락합니다. 작업이 종료 작업이기 때문에 필터의 후속 용어와 목록의 후속 필터는 패킷을 평가하는 데 사용되지 않습니다.accept

작업 종료에 대한 자세한 내용은 을 참조하십시오 .방화벽 필터 종료 동작

주:

동일한 방화벽 필터 용어에서 종료 작업으로 작업을 구성할 수 없습니다.next term

목록에 프로토콜 독립적 필터와 IP 방화벽 필터가 포함된 경우 필터 목록이 패킷을 평가하는 방법

프로토콜 독립적() 방화벽 필터 및 프로토콜 특정(또는) 방화벽 필터와 동시에 연결된 단일 인터페이스에서 프로토콜 독립적 방화벽 필터가 먼저 실행됩니다.family anyfamily inetfamily inet6

첫 번째 필터의 종료 동작은 두 번째 필터가 패킷도 평가하는지 여부를 결정합니다.

  • 첫 번째 필터가 작업을 실행하여 종료되면 두 번째 필터는 패킷을 평가하지 않습니다.accept

  • 첫 번째 필터가 패킷과 일치하는 용어 없이 종료되면( 암시적 작업) 두 번째 필터도 패킷을 평가합니다.discard

  • 첫 번째 필터가 명시적 작업을 실행하여 종료되면 두 번째 필터는 패킷을 평가하지 않습니다.discard

PTX10003 라우터는 필터 목록에서 프로토콜 독립적 필터와 기타 필터의 조합을 지원하지 않습니다.

관련 항목