Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 일치 조건 이해

방화벽 필터에 대한 용어를 정의하기 전에 용어의 조건이 처리되는 방식과 인터페이스, 숫자, 주소 및 비트 필드 필터 일치 조건을 지정하여 원하는 필터 결과를 얻는 방법을 이해해야 합니다.

필터 일치 조건

from방화벽 필터 용어의 문에서는 명령문의 작업이 then 수행되기 위해 패킷이 일치해야 하는 조건을 지정합니다. 작업이 구현되려면 모든 조건이 일치해야 합니다. 일치 조건을 지정하는 순서는 중요하지 않습니다. 패킷이 용어의 모든 조건과 맞아야 일치 조건이 충족되기 때문입니다.

동일한 조건에 대해 여러 값을 지정하는 경우 해당 값 중 하나에 대한 일치가 해당 조건과 일치합니다. 예를 들어, 명령문을 사용하여 source-address 여러 IP 소스 주소를 지정하는 경우 이러한 IP 소스 주소 중 하나를 포함하는 패킷은 조건과 일치합니다. 경우에 따라 다음과 같이 가능한 값을 대괄호로 묶어 동일한 조건에 대해 여러 값을 지정할 수 있습니다.

다른 경우에는 다음과 같이 여러 문을 입력해야 합니다.

용어에 일치 조건을 지정하지 않으면 해당 용어는 모든 패킷과 일치합니다.

주:

기존 Junos OS 방화벽 필터와 달리, 조건을 부정하기 위해 조건문에 사용할 except 수 없습니다.

숫자 필터 일치 조건

포트 및 프로토콜 번호와 같은 숫자 값으로 식별되는 숫자 필터 일치 조건을 지정할 수 있습니다. 숫자 필터 일치 조건의 경우, 패킷의 필드가 일치로 간주되기 위해 포함해야 하는 조건과 단일 값을 지정합니다.

다음 방법 중 하나로 숫자 값을 지정할 수 있습니다.

  • 단일 숫자 - 필드 값이 숫자와 일치하면 일치가 발생합니다. 예를 들어 텔넷 트래픽을 일치시키려면 다음을 수행합니다.

  • Text synonym for a single number(단일 숫자에 대한 텍스트 동의어) - 필드 값이 동의어에 해당하는 숫자와 일치하면 일치가 발생합니다. 예를 들어 텔넷 트래픽을 일치시키려면 다음을 수행합니다.

  • 필터 용어에서 동일한 일치 조건에 대해 여러 값을 지정하려면 각 값을 자체 일치 문에 입력합니다. 예를 들어, 패킷의 소스 포트 값이 22 또는 23인 경우 다음 용어에서 일치가 발생합니다.

인터페이스 필터 일치 조건

패킷이 수신되거나 전송되는 인터페이스와 일치하도록 인터페이스 필터 일치 조건을 지정할 수 있습니다. 예를 들어, VLAN에 필터를 적용하는 경우 VLAN에 참여하는 일부 인터페이스에서는 필터가 일치하고 VLAN의 다른 인터페이스에서는 일치하지 않기를 원할 수 있습니다. 인터페이스의 이름을 지정할 때 논리적 단위를 포함해야 합니다.

이 예에서 마지막 문자(0)는 논리 단위를 지정합니다. 인터페이스 이름의 일부로 와일드카드(*)를 포함할 수 있습니다. 예:

논리 단위에 대한 값 또는 와일드카드를 지정해야 합니다.

IP 주소 필터 일치 조건

패킷의 IP 소스 또는 대상 주소 또는 접두사와 일치하도록 주소 필터 일치 조건을 지정할 수 있습니다. 주소 또는 접두사 유형과 주소 또는 접두사 자체를 지정합니다. 예:

접두사 길이를 생략하면 기본값은 /32입니다. 예:

필터 용어에 두 개 이상의 IP 주소 또는 접두사를 지정하려면 자체 일치 문에 각 주소 또는 접두사를 입력합니다. 예를 들어, 패킷의 소스 주소가 다음 접두사 중 하나와 일치하는 경우 다음 용어에서 일치가 발생합니다.

MAC 주소 필터 일치 조건

소스 또는 대상 MAC 주소와 일치하도록 MAC 주소 필터 일치 조건을 지정할 수 있습니다. 패킷이 일치하는 것으로 간주되기 위해 포함해야 하는 주소 유형과 값을 지정합니다.

MAC 주소를 다음 형식 중 하나에서 6개의 16진수 바이트로 지정할 수 있습니다.

사용하는 형식에 관계없이 시스템은 주소를 표준 형식(이 경우 00:11:22:33:44:55)으로 확인합니다.

필터 용어에 MAC 주소를 두 개 이상 지정하려면 각 MAC 주소를 자체 일치 문에 입력합니다. 예를 들어, MAC 소스 주소의 값이 다음 주소 중 하나와 일치하는 경우 다음 용어에서 일치가 발생합니다.

비트 필드 필터 일치 조건

비트 필드 필터 일치 조건을 지정하여 이더넷 프레임과 IP, TCP, UDP 및 ICMP 헤더의 특정 필드 내의 특정 비트를 일치시킬 수 있습니다. 일반적으로 일치하는 것으로 간주되기 위해 패킷에 설정해야 하는 필드 내의 필드와 비트를 지정합니다.

대부분의 경우 키워드를 사용하여 일치시킬 비트를 지정할 수 있습니다. 예를 들어, TCP SYN 패킷에서 일치시키려면 다음과 같이 입력할 syn수 있습니다.

SYN 비트가 8비트 tcp-flags 필드의 세 번째 최하위 비트이기 때문에 입력할 0x02 수도 있습니다.

여러 비트 필드 값을 일치시키려면 에 표 1설명된 논리 연산자를 사용합니다. 연산자는 우선 순위가 높은 순으로 나열됩니다. 작업은 왼쪽에서 오른쪽으로 평가됩니다.

표 1: 방화벽 필터에 대한 작업

논리 연산자

설명

!

부정

&

논리 AND

|

논리적 OR

논리 연산자를 사용하는 경우 값을 따옴표로 묶고 공백을 포함하지 마십시오. 예를 들어, 다음 문은 TCP 핸드셰이크의 두 번째 패킷과 일치합니다.

일치 항목을 무효화하려면 값 앞에 느낌표를 붙입니다. 예를 들어, 다음 문은 TCP 핸드셰이크의 초기 패킷과만 일치합니다.

텍스트 동의어를 사용하여 몇 가지 일반적인 비트 필드 일치를 지정할 수 있습니다. 예를 들어, 다음 문은 TCP 핸드셰이크의 초기 패킷과도 일치합니다.