중첩된 구성의 여러 방화벽 필터 이해

도전 과제: 대규모 방화벽 필터 관리 간소화

일반적으로 입력 또는 출력 방향 또는 둘 다의 인터페이스에 단일 방화벽 필터를 적용합니다. 그러나 이 접근 방식은 라우터(또는 스위치)가 수백개, 심지어 수백 개의 인터페이스로 구성된 경우에는 실용적이지 않을 수 있습니다. 이러한 규모의 환경에서는 영향을 받는 모든 인터페이스의 필터를 재구성할 필요 없이 여러 인터페이스에 공통적인 필터링 용어를 수정할 수 있는 유연성이 필요합니다.

일반적으로 해결책은 여러 상태 비저장 방화벽 필터의 효과적인 "연결" 구조를 단일 인터페이스에 적용하는 것입니다. 필터링 용어를 구성된 여러 방화벽 필터로 분할하여 각 라우터(또는 스위치) 인터페이스에 고유한 필터를 적용할 수 있지만 필요에 따라 여러 라우터(또는 스위치) 인터페이스에 공통 필터를 적용할 수도 있습니다. Junos OS 정책 프레임워크는 개별 라우터(또는 스위치) 인터페이스에 대한 여러 개별 방화벽 필터의 애플리케이션을 관리하기 위한 두 가지 옵션을 제공합니다. 한 가지 옵션은 여러 필터를 단일 입력 목록 또는 출력 목록으로 적용하는 것입니다. 다른 옵션은 다른 상태 비저장 방화벽 필터의 용어 내에서 상태 비저장 방화벽 필터를 참조하는 것입니다.

해결책: 방화벽 필터에 대한 중첩 참조 구성

여러 방화벽 필터에 공통적인 중복 필터링 용어를 구성하지 않도록 하는 가장 구조화된 방법은 공통 필터링 용어가 포함된 별도의 필터를 참조 하여 각 필터에 공유 필터링 용어가 포함되도록 여러 방화벽 필터를 구성하는 것입니다. Junos OS는 필터 용어를 필터 정의에 나타나는 순서대로 사용하여 인터페이스를 전송하는 패킷을 평가합니다. 여러 인터페이스에서 공유되는 필터링 용어를 수정해야 하는 경우 하나의 방화벽 필터만 수정하면 됩니다.

주:

대체 방법(방화벽 필터 목록 적용)과 유사하게 중첩된 방화벽 필터를 구성하면 여러 방화벽 필터가 새 방화벽 필터 정의로 결합됩니다.

중첩된 방화벽 필터 구성

각 라우터(또는 스위치) 인터페이스에 대해 중첩된 방화벽 필터를 구성하려면 다음과 같이 공유 패킷 필터링 규칙과 인터페이스별 패킷 필터링 규칙을 분리해야 합니다.

• 여러 인터페이스에 공통적인 각 패킷 필터링 규칙 집합에 대해 공유 필터링 용어가 포함된 별도의 방화벽 필터를 구성합니다.

• 각 라우터(또는 스위치) 인터페이스에 대해 다음을 포함하는 별도의 방화벽 필터를 구성합니다.

  • 해당 인터페이스에 고유한 모든 필터링 용어입니다.

  • 일반적인 필터링 용어를 포함하는 방화벽 필터에 대한 참조를 포함하는 추가 필터링 용어입니다.filter

라우터 또는 스위치 인터페이스에 중첩된 방화벽 필터 적용

중첩된 방화벽 필터를 적용하는 것은 중첩되지 않은 방화벽 필터를 적용하는 것과 다르지 않습니다. 각 인터페이스에 대해 스탠자 내에 또는 문(또는 둘 다)을 포함하여 적절한 중첩 방화벽 필터를 지정할 수 있습니다.inputoutputfilter

인터페이스에 중첩된 방화벽 필터를 적용하면 공유 필터링 용어 및 인터페이스별 방화벽 필터는 별도의 필터링 용어 내에서 문을 통해 다른 필터를 포함하는 단일 중첩된 방화벽 필터를 통해 적용됩니다.filter

주:

커밋 확인 및 커밋은 지원되지 않는 중첩 필터에 대해 실패하지 않습니다. 지원되지 않는 중첩 필터는 vty 명령에 언급되지 않은 필터 조합입니다 show jexpr dfw filter-types.