방화벽 필터 계획 이해
방화벽 필터를 생성하여 적용하기 전에 필터가 수행할 목표와 일치 조건 및 작업을 사용하여 목표를 달성하는 방법을 결정하십시오. 패킷 매칭 방법, 방화벽 필터의 기본 및 구성된 작업, 방화벽 필터를 적용할 위치를 이해하는 것이 중요합니다.
포트, VLAN 또는 라우터 인터페이스당 방향(입력 및 출력)당 하나의 방화벽 필터를 적용할 수 있습니다. 예를 들어, 주어진 포트에 대해 입력 방향에 최대 하나의 필터를 적용하고 출력 방향에 하나의 필터를 적용할 수 있습니다. 용어가 너무 많으면 커밋 작업 중에 처리 시간이 더 오래 걸리고 테스트 및 문제 해결이 더 어려워질 수 있으므로 각 방화벽 필터에 포함하는 용어(규칙)의 수를 보수적으로 사용해야 합니다.
방화벽 필터를 구성하고 적용하기 전에 각 필터에 대해 다음 질문에 답하십시오.
필터의 목적은 무엇입니까?
예를 들어, 시스템은 헤더 정보를 기반으로 패킷을 드롭하고, 트래픽 속도를 제한하고, 패킷을 포워딩 클래스로 분류하고, 패킷을 기록 및 계산하거나, 서비스 거부 공격을 방지할 수 있습니다.
적절한 일치 조건은 무엇입니까? 일치를 위해 패킷에 포함되어야 하는 패킷 헤더 필드를 결정합니다. 가능한 필드는 다음과 같습니다.
레이어 2 헤더 필드 - 소스 및 대상 MAC 주소, 802.1Q 태그, 이더넷 유형 또는 VLAN.
레이어 3 헤더 필드 - 소스 및 대상 IP 주소, 프로토콜 및 IP 옵션(IP 우선순위, IP 단편화 플래그 또는 TTL 유형).
TCP 헤더 필드 - 소스 및 대상 포트와 플래그.
ICMP 헤더 필드 - 패킷 유형 및 코드.
일치가 발생할 경우 취해야 할 적절한 조치는 무엇입니까?
시스템은 패킷을 수락, 폐기 또는 거부할 수 있습니다.
어떤 추가 작업 수정자가 필요할 수 있습니까?
예를 들어, 지정된 포트로 패킷을 미러링(복사)하거나, 일치하는 패킷을 카운트하거나, 트래픽 관리를 적용하거나, 패킷을 감시하도록 시스템을 구성할 수 있습니다.
방화벽 필터를 적용해야 하는 포트, 라우터 인터페이스 또는 VLAN은 무엇입니까?
다음과 같은 기본 지침으로 시작합니다.
레이어 2 인터페이스(포트)에 들어오거나 나가는 패킷을 필터링해야 하는 경우 계층 수준에서 필터를 적용합니다.
[edit family ethernet switching filter]포트 필터입니다.특정 VLAN의 포트로 들어오거나 나가는 패킷을 필터링해야 하는 경우 VLAN 필터를 사용합니다.
레이어 3(라우팅) 인터페이스 또는 RVI(라우팅된 VLAN 인터페이스)에 들어오거나 나가는 패킷을 필터링해야 하는 경우 라우터 방화벽 필터를 사용합니다. 계층 수준에서 인터페이스에 필터를 적용합니다.
[edit family inet]루프백 인터페이스에 라우터 방화벽 필터를 적용할 수도 있습니다.
방화벽 필터를 적용할 인터페이스 또는 VLAN을 선택하기 전에 해당 배치가 다른 인터페이스로의 트래픽 흐름에 어떤 영향을 미칠 수 있는지 이해해야 합니다. 일반적으로 필터가 소스 또는 대상 IP 주소, IP 프로토콜 또는 프로토콜 정보(예: ICMP 메시지 유형, TCP 또는 UDP 포트 번호)와 일치하는 경우 소스 디바이스에 가까운 필터를 적용합니다. 그러나 필터가 소스 IP 주소 에서만 일치하는 경우 대상 디바이스에 가까운 필터를 적용해야 합니다. 필터를 소스 디바이스에 너무 가깝게 적용하면 필터로 인해 해당 소스 디바이스가 네트워크에서 사용할 수 있는 다른 서비스에 액세스하지 못할 수 있습니다.
주:송신 방화벽 필터는 라우팅 엔진에서 로컬로 생성된 제어 패킷의 흐름에 영향을 미치지 않습니다.
방화벽 필터는 어느 방향으로 적용해야 합니까?
일반적으로 인터페이스로 들어오는 트래픽에 대해 인터페이스에서 나가는 트래픽에 대해 구성하는 것과는 다른 작업을 구성합니다.
필터를 몇 개나 만들어야 하나요?
적용할 수 있는 방화벽 필터 수에 대한 자세한 내용은 생성할 방화벽 필터 수 계획을 참조하십시오.생성할 방화벽 필터 수 계획