표준 방화벽 필터가 패킷을 평가하는 방법
이 주제에서 다루는 정보는 다음과 같습니다.
방화벽 필터 패킷 평가 개요
다음 시퀀스는 디바이스 인터페이스의 입력 또는 출력 트래픽이 방화벽 필터와 연결된 경우 디바이스가 인터페이스에 들어오거나 나가는 패킷을 평가하는 방법을 설명합니다. 패킷 평가는 다음과 같이 진행됩니다.
디바이스는 필터의 첫 번째 용어부터 시작하여 방화벽 필터의 용어에 대해 패킷을 순차적으로 평가합니다.
패킷이 용어에 지정된 모든 조건과 일치하면 디바이스는 해당 용어에 지정된 모든 작업을 수행합니다.
패킷이 용어에 지정된 모든 조건과 일치하지 않으면 디바이스는 필터의 다음 용어(후속 용어가 있는 경우)로 진행하고 해당 용어에 대해 패킷을 평가합니다.
패킷이 방화벽 필터의 용어와 일치하지 않으면 디바이스는 암시적으로 패킷을 삭제합니다.
서비스 필터 및 단순 필터와 달리 방화벽 필터는 종료 작업도 아니고 비종료 작업도 아닌 흐름 제어 작업인 작업을 지원합니다 .
next term주:Junos 및
Junos OS Evolved 에서는 작업의 마지막 용어로 표시될 수 없습니다.next termnext term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.일치하는 용어에 작업이 포함된 경우 디바이스는 방화벽 필터 내의 다음 용어에서 패킷 평가를 계속합니다.
next term일치하는 용어에 작업이 포함되지 않은 경우 지정된 방화벽 필터에 대한 패킷 평가는 이 용어에서 종료됩니다.
next term디바이스는 이 필터의 후속 용어에 대해 패킷을 평가하지 않습니다.
방화벽 필터 구성당 최대 1024 개의 작업이 지원됩니다.
next term이 한도를 초과하는 방화벽 필터를 구성하면 후보 구성에 커밋 오류가 발생합니다.패킷이 조치 없이 기간과 일치하거나 패킷이 방화벽 필터의 마지막 기간과 일치하지 않을 경우, 디바이스는 주어진 방화벽 필터에 대한 패킷 평가를 중단합니다.
next term로컬 패킷이 수신 방화벽 필터와 연결된 라우터 인터페이스에 도착하면 필터는 패킷을 두 번 평가합니다. 첫 번째 평가는 라우터 포워딩 플레인의 중앙 처리 요소인 패킷 포워딩 엔진에서 발생하며, 두 번째 평가는 라우터의 컨트롤 플레인 소프트웨어를 실행하는 라우팅 엔진에서 발생합니다.
주:로컬 패킷(라우터 자체로 전송되거나 라우터 자체에 의해 전송되는 데이터 청크)에는 일반적으로 라우팅 프로토콜 데이터, Telnet 또는 SSH와 같은 IP 서비스에 대한 데이터, ICMP(Internet Control Message Protocol)와 같은 관리 프로토콜에 대한 데이터가 포함됩니다.
방화벽 필터의 첫 번째 평가가 들어오는 로컬 패킷 또는 패킷 컨텍스트 값을 수정하는 경우, 방화벽 필터의 두 번째 평가는 업데이트된 패킷 또는 패킷 컨텍스트 값을 기반으로 합니다.
예를 들어, 필터에 패킷과 관련된 포워딩 클래스 또는 손실 우선순위 값을 기반으로 하는 일치 조건이 포함되어 있고, 필터에 패킷과 연관된 포워딩 클래스 또는 손실 우선순위 값을 수정하는 작업이 포함되어 있다고 가정해 보겠습니다. 수신 로컬 패킷이 연결된 인터페이스에 도착하고 패킷 전달 엔진의 필터 평가가 패킷을 삭제하지 않고 수정하는 경우, 라우팅 엔진의 필터 평가는 원래 패킷 컨텍스트가 아닌 수정된 패킷 컨텍스트를 기반으로 합니다.
단일 방화벽 필터에서 패킷 평가
표 1 은(는) 단일 방화벽 필터와 연결된 디바이스 인터페이스에서의 패킷 필터링 동작을 설명합니다.
Junos OS Evolved에서 next term은 작업의 마지막 용어로 표시될 수 없습니다. next term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.
방화벽 필터 이벤트 |
작업 |
후속 조치 |
|
|---|---|---|---|
방화벽 필터 용어는 일치 조건을 지정하지 않습니다. |
이 용어는 기본적으로 모든 패킷과 일치하므로 디바이스는 해당 용어로 지정된 작업을 수행합니다. |
용어 동작에 작업이 포함된 경우, 디바이스는 방화벽 필터 내에서 다음 용어에 대한 패킷 평가를 계속합니다(후속 용어가 존재하는 경우). |
|
패킷은 방화벽 필터 용어로 지정된 모든 조건과 일치합니다. |
디바이스는 해당 용어로 지정된 작업을 수행합니다. |
용어 동작에 작업이 포함된 경우, 디바이스는 방화벽 필터 내에서 다음 용어에 대한 패킷 평가를 계속합니다(후속 용어가 존재하는 경우). |
|
패킷은 방화벽 필터 용어로 지정된 모든 조건과 일치하지만 용어는 어떠한 작업도 지정하지 않습니다. |
디바이스는 패킷을 암시적으로 수락합니다. |
용어 동작에 작업이 포함된 경우, 디바이스는 방화벽 필터 내에서 다음 용어에 대한 패킷 평가를 계속합니다(후속 용어가 존재하는 경우). |
|
패킷이 방화벽 필터 용어로 지정된 모든 조건과 일치하지 않습니다. |
디바이스는 해당 용어에 지정된 작업을 수행하지 않습니다. |
디바이스는 필터 내의 다음 용어에 대해 패킷 평가를 계속합니다(후속 용어가 존재하는 경우). |
|
패킷이 필터의 용어와 일치하지 않습니다. |
디바이스는 암시적으로 패킷을 버립니다 모든 방화벽 필터 구성에는 필터 끝에 암시적 작업이 포함됩니다. term t_explicit_discard {
then discard;
}
|
||
모범 사례: 구체적으로 삭제되지 않은 모든 트래픽을 명시적으로 수락
방화벽 필터가 특별히 삭제하지 않는 모든 트래픽을 허용하도록 할 수 있습니다. 이 경우 종료 작업을 지정하는 마지막 용어로 방화벽 필터를 구성하는 것이 좋습니다.accept
다음 예제 스니펫에서 방화벽 필터의 마지막 용어로 용어를 구성하면 필터가 구체적으로 삭제하지 않은 모든 트래픽을 허용하도록 방화벽 필터가 명시적으로 구성됩니다.t_allow_all_else
term t_allow_all_else {
then accept;
}
이 모범 사례를 따르면 방화벽 필터의 문제 해결을 단순화할 수 있습니다.
모범 사례: 구체적으로 허용되지 않는 트래픽은 명시적으로 거부합니다.
반면에, 방화벽 필터가 구체적으로 허용하지 않는 트래픽을 방화벽 필터가 거부하도록 할 수 있습니다. 이 경우 종료 작업을 지정하는 마지막 용어로 방화벽 필터를 구성하는 것이 좋습니다.reject
다음 예제 코드 조각에서 방화벽 필터의 마지막 용어로 용어를 구성 하면 필터가 구체적으로 허용하지 않은 트래픽을 거부하도록 방화벽 필터가 명시적으로 구성됩니다.t_deny_all_else
term t_deny_all_else {
then reject;
}
이 모범 사례를 따르면 방화벽 필터의 문제 해결을 단순화할 수 있습니다.
단일 인터페이스에 연결된 여러 방화벽 필터
지원되는 디바이스 인터페이스에서 여러 방화벽 필터를 단일 인터페이스에 연결할 수 있습니다. 자세한 정보는 목록으로 적용된 여러 방화벽 필터 이해을 참조하십시오.
지원되는 인터페이스에서 프로토콜 독립적() 방화벽 필터와 프로토콜별(또는) 방화벽 필터를 동일한 인터페이스에 연결할 수 있습니다.family anyfamily inetfamily inet6 프로토콜 독립적 방화벽 필터가 먼저 실행됩니다. 자세한 정보는 표준 방화벽 필터 적용 지침을 참조하십시오.
여러 인터페이스에 연결된 단일 방화벽 필터
지원되는 인터페이스에서 단일 방화벽 필터를 여러 인터페이스와 연결할 수 있으며, Junos OS는 연결된 각 인터페이스에 대해 해당 방화벽 필터의 인터페이스별 인스턴스를 생성합니다.
Junos OS는 방화벽 필터의 각 인터페이스별 인스턴스화를 시스템에서 생성된 인터페이스별 이름과 연결합니다.
필터 용어의 모든 작업에 대해 패킷 전달 엔진은 별도의 인터페이스별 카운터를 유지하며, Junos OS는 각 카운터를 시스템에서 생성된 인터페이스별 이름과 연결합니다.
count필터 용어의 모든 작업에 대해 Junos OS는 폴리서 작업의 별도의 인터페이스별 인스턴스를 생성합니다.
policer
자세한 정보는 인터페이스별 방화벽 필터 인스턴스 개요을 참조하십시오.