방화벽 필터 개요(QFX 시리즈)

필터를 적용할 수 있는 위치

방화벽 필터를 구성한 후 다음 내용에 적용할 수 있습니다.

• 포트 -시스템 포트를 통과하는 레이어 2 트래픽을 필터링합니다.

• VLAN—VLAN에 들어가거나, VLAN 내에서 브리징되거나, VLAN을 떠나는 레이어 2 패킷에 대한 액세스 제어를 필터링하고 제공합니다.

• 레이어 3(라우팅된) 인터페이스 - IPv4 및 IPv6 인터페이스, 라우팅된 VLAN 인터페이스(RVI) 및 루프백 인터페이스의 트래픽을 필터링합니다. 루프백 인터페이스는 스위치 자체로 전송되거나 스위치에 의해 생성된 트래픽을 필터링합니다.

• 레이어 2 CCC 인터페이스 - 레이어 2 CCC(Circuit Cross-Connect) 인터페이스를 필터링합니다.

• MPLS — 인터페이스를 MPLS 필터링합니다.

또한 방화벽 필터를 QFX 및 EX4600 독립형 스위치의 관리 인터페이스(예: me0)에 적용할 수 있습니다. QFX3000-G 또는 QFX3000-M 시스템의 관리 인터페이스에 필터를 적용할 수 없습니다.

• (QFX 시리즈) Junos OS 릴리스 13.2X51-D15부터 송신 방향으로 루프백 인터페이스에 필터를 적용할 수 있습니다.

• (QFX10000) Junos OS 릴리스 18.2R1부터 레이어 2 서킷 인터페이스에서 및 으로 수신 및 송신 방화벽 필터를 폴리서 작업으로 countdiscard 적용할 수 있습니다.

• (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Junos OS 릴리스 19.2R1부터는, 및 일치 조건을 IPv4 및 loss-priority IPv6 인터페이스의 송신 방향으로 적용interfaceforwarding-class할 수 있습니다.

방화벽 필터를 구성하는 요소

방화벽 필터를 구성할 때 패밀리 주소 유형(이더넷 스위칭, inet(IPv4용), inet6(IPv6용), CCC(Circuit Cross-Connect) 또는 MPLS), 필터링 기준(일치 조건의 용어)과 일치가 발생할 경우 수행할 작업을 정의합니다.

각 용어는 다음으로 구성됩니다.

• 일치 조건 - 일치로 간주되기 위해 패킷이 포함되어야 하는 값입니다. IP, TCP, UDP 또는 ICMP 헤더의 대부분의 필드에 대한 값을 지정할 수 있습니다. 인터페이스 이름에서도 일치시킬 수 있습니다.

• 작업 - 패킷이 일치 조건과 일치할 경우 수행된 작업입니다. 일치하는 패킷을 수락, 폐기 또는 거부하는 방화벽 필터를 구성한 다음 카운팅, 분류, 폴리싱과 같은 더 많은 작업을 수행할 수 있습니다. 기본 작업은 허용합니다.

방화벽 필터 처리 방법

필터에 여러 용어가 있는 경우, 용어의 순서가 중요합니다. 패킷이 첫 번째 용어와 일치하면 스위치는 해당 용어로 정의된 작업을 수행하며 다른 용어는 평가되지 않습니다. 스위치가 패킷과 첫 번째 용어 간의 일치를 찾지 못하면 패킷을 다음 용어와 비교합니다. 패킷과 두 번째 용어 사이에 일치가 발생하지 않으면 시스템은 일치가 발견될 때까지 필터의 각 연속 용어와 패킷을 계속 비교합니다. 일치하는 용어가 없으면 스위치는 기본적으로 패킷을 삭제합니다.