방화벽 필터 구성 지침

방화벽 필터 구성을 위한 문 계층

표준 방화벽 필터를 구성하려면 다음 문을 포함할 수 있습니다. IPv4 표준 방화벽 필터의 family inet 경우 문은 선택 사항입니다. IPv6 표준 방화벽 필터의 family inet6 경우 문은 필수입니다.

다음 계층 수준 중 하나에 방화벽 구성을 포함할 수 있습니다.

• [edit]

• [edit logical-systems logical-system-name]

주:

스테이트리스 방화벽 필터링의 경우, 터널 대상에 대한 다음 홉 인터페이스인 인터페이스의 입력 트래픽에 적용되는 방화벽 필터를 통해 출력 터널 트래픽을 허용해야 합니다. 방화벽 필터는 터널을 통해 라우터(또는 스위치)를 나가는 패킷에만 영향을 미칩니다.

주:

ACX7100 플랫폼에서 VPLS 방화벽 필터는 에서 이(가) 아닌 아래에서 family ethernet-switchingfamily VPLS구성됩니다. 관리 필터는 family inet 또는 inet6 에서 구성되며 구문은 이 형식입니다.

방화벽 필터 프로토콜 제품군

방화벽 필터 구성은 특정 프로토콜 체계에 따라 다릅니다. 문 아래에서 트래픽을 firewall 필터링할 프로토콜 체계를 지정하기 위해 다음 문 중 하나를 포함합니다.

• family any-프로토콜 독립 트래픽을 필터링합니다.

• family inet-인터넷 프로토콜 버전 4(IPv4) 트래픽을 필터링합니다.

• family inet6-인터넷 프로토콜 버전 6(IPv6) 트래픽을 필터링합니다.

• family mpls-MPLS 트래픽을 필터링합니다.

• family vpls-가상 프라이빗 LAN 서비스(VPLS) 트래픽을 필터링합니다.

• family ccc-레이어 2 CCC(Circuit Cross-Connection) 트래픽을 필터링합니다.

• family bridge-MX 시리즈 3D 유니버설 에지 라우터에 대해서만 레이어 2 브리징 트래픽을 필터링합니다.

• family ethernet-switching-레이어 2(이더넷) 트래픽을 필터링합니다.

family family-name 명령문은 IPv4가 아닌 프로토콜 체계를 지정하는 경우에만 필요합니다. IPv4 방화벽 필터를 구성하려면, 및 [edit firewall family inet] 계층 수준이 동일하기 때문에 문을 포함하지 family inet 않고 계층 수준에서 필터 [edit firewall] 를 [edit firewall] 구성할 수 있습니다.

주:

브리지 패밀리 필터의 ip-protocol 경우, 일치 기준은 IPv6이 아닌 IPv4에 대해서만 지원됩니다. 이는 MX 3D MPC 라인 카드와 같은 Junos Trio 칩셋을 지원하는 라인 카드에 적용됩니다.

방화벽 필터 이름 및 옵션

문 아래에서 family family-name 방화벽 필터를 생성하고 이름을 지정하는 문을 포함 filter filter-name 할 수 있습니다. 필터 이름은 문자, 숫자 및 하이픈(-)을 포함하며 최대 64자 길이입니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.

[edit firewall family family-name filter filter-name] 계층 수준에서 다음 문은 선택 사항입니다.

• accounting-profile

• instance-shared (MCS(Modular Port Concentrator)가 있는 MX 시리즈 라우터만 해당)

• interface-specific

• physical-interface-filter

방화벽 필터 용어

문 아래에서 filter filter-name 필터 용어를 만들고 이름을 지정하는 문을 포함 term term-name 할 수 있습니다.

• 방화벽 필터에서 적어도 하나의 용어를 구성해야 합니다.

• 방화벽 필터 내에서 각 용어에 대해 고유한 이름을 지정해야 합니다. 용어 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자 길이입니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.

• 방화벽 필터 구성 내에서 용어를 지정하는 순서가 중요합니다. 방화벽 필터 용어는 구성된 순서대로 평가됩니다. 기본적으로 새 용어는 항상 기존 필터 끝에 추가됩니다. 구성 모드 명령을 사용하여 insert 방화벽 필터의 용어를 재정의할 수 있습니다.

[edit firewall family family-name filter filter-name term term-name] 계층 수준에서 filter filter-name 문은 또는 then 문과 from 같은 용어에 유효하지 않습니다. 이 계층 수준에 포함되면 문 filter filter-name 은 방화벽 필터를 중첩 하는 데 사용됩니다.

방화벽 필터 일치 조건

방화벽 필터 일치 조건은 필터링되는 트래픽 유형에 따라 다릅니다.

태그 처리된 MPLS IPv4 또는 IPv6 트래픽을 제외하고 문 아래에서 from 용어의 일치 조건을 지정합니다. MPLS 태그 처리된 IPv4 트래픽의 경우, 문에 따라 용어의 IPv4 주소별 일치 조건과 문에 따라 ip-version ipv4protocol (tcp | udp) IPv4 포트별 일치 조건을 지정합니다.

MPLS 태그 처리된 IPv6 트래픽의 경우, 문에 따라 용어의 IPv6 주소별 일치 조건과 문에 따라 ip-version ipv6protocol (tcp | udp) IPv6 포트별 일치 조건을 지정합니다.

표 1 은(는) 방화벽 필터를 구성할 수 있는 트래픽 유형을 설명합니다.

표 1: 프로토콜 체계별 방화벽 필터 일치 조건

트래픽 유형	일치 조건이 지정된 계층 수준
프로토콜 독립	[edit firewall family any filter filter-name term term-name] 전체 일치 조건 목록은 프로토콜 독립 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
IPv4	[edit firewall family inet filter filter-name term term-name] 전체 일치 조건 목록은 IPv4 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
IPv6	[edit firewall family inet6 filter filter-name term term-name] 전체 일치 조건 목록은 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS	[edit firewall family mpls filter filter-name term term-name] 전체 일치 조건 목록은 MPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv4 주소	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ] 전체 일치 조건 목록은 MPLS 태그 처리된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv4 포트	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)] 전체 일치 조건 목록은 MPLS 태그 처리된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv6 주소	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ] 전체 일치 조건 목록은 MPLS 태그 처리된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv6 포트	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)] 전체 일치 조건 목록은 MPLS 태그 처리된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
VPLS	[edit firewall family vpls filter filter-name term term-name] 전체 일치 조건 목록은 VPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
레이어 2 CCC	[edit firewall family ccc filter filter-name term term-name] 전체 일치 조건 목록은 레이어 2 CCC 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
레이어 2 브리징 (MX 시리즈 라우터 및 EX 시리즈 스위치만 해당)	[edit firewall family bridge filter filter-name term term-name] [edit firewall family ethernet-switching filter filter-name term term-name] (EX 시리즈 스위치 전용) 전체 일치 조건 목록은 레이어 2 브리징 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.

일치 조건( address, destination-address또는 source-address 일치 조건)에서 IPv6 주소를 지정하는 경우, RFC 4291, IP 버전 6 주소 지정 아키텍처에 설명된 텍스트 표현에 구문을 사용합니다. IPv6 주소에 대한 자세한 내용은 IPv6 개요 및 지원되는 IPv6 표준을 참조하십시오.

방화벽 필터 작업

then 방화벽 필터 용어에 대한 문에서 용어와 일치하는 패킷에 수행할 작업을 지정할 수 있습니다.

표 2 은(는) 방화벽 필터 용어에 지정할 수 있는 작업 유형을 요약합니다.

표 2: 방화벽 필터 작업 범주

작업 유형	설명	코멘트
종료	특정 패킷에 대한 방화벽 필터의 모든 평가를 중단합니다. 라우터(또는 스위치)는 지정된 작업을 수행하며 패킷을 검사하는 데 추가 용어는 사용되지 않습니다. 방화벽 필터 용어에 하나의 종료 작업 만 지정할 수 있습니다. 필터 용어 내에서 두 개 이상의 종료 작업을 지정하려고 하면 최신 종료 작업이 기존 종료 작업을 대체합니다. 그러나 단일 용어에 하나 이상의 비 종료 작업 으로 하나의 종료 작업을 지정할 수 있습니다. 예를 들어, 용어 내에서 및 syslog을(를) 으로 count 지정할 accept 수 있습니다. 종료 작업을 포함하는 용어의 수에 관계없이 시스템이 기간 내에 종료 작업을 처리하면 전체 방화벽 필터 처리가 중단됩니다.	방화벽 필터 종료 동작을 참조하십시오.
비명확성(Nontermining)	패킷에서 다른 기능(카운터 증분, 패킷 헤더에 대한 정보 로깅, 패킷 데이터 샘플링 또는 시스템 로그 기능을 사용하여 원격 호스트에 정보 전송 등)을 수행하지만 패킷을 검사하는 데 추가 용어가 사용됩니다.	모든 비기타적 작업에는 암묵적 수락 작업이 포함 됩니다. 동일한 용어에 다른 종료 작업이 구성되지 않은 경우 이 수락 작업이 수행됩니다. 방화벽 필터 비테러 작업을 참조하십시오.
플로우 제어	표준 방화벽 필터의 경우에만 동작 next term 은 라우터(또는 스위치)가 패킷에 구성된 작업을 수행하도록 지시한 다음 필터를 종료하는 대신 필터의 다음 용어를 사용하여 패킷을 평가합니다. next term 작업이 포함되면 일치하는 패킷이 방화벽 필터의 다음 용어에 대해 평가됩니다. 그렇지 않으면 일치하는 패킷이 방화벽 필터의 후속 조건에 대해 평가되지 않습니다. 예를 들어, 비종말 동작 count으로 용어를 구성할 때, 용어의 행동은 암묵적인 에서 암묵 discardaccept적인 것으로 변경합니다. 작업을 next term 수행하면 방화벽 필터에 대한 지속적인 평가가 이뤄지게 되었습니다.	동일한 필터 용어에 next term 종료 동작으로 작업을 구성할 수 없습니다. 그러나 동일한 필터 용어에 다른 비테미닝 동작으로 다음 용어 작업을 구성할 수 있습니다. 표준 방화벽 필터 구성에 따라 최대 1024 next term 개 작업이 지원됩니다. 이 제한을 초과하는 표준 방화벽 필터를 구성하는 경우 후보 구성에 커밋 오류가 발생합니다. 주: Junos OS Evolved에서는 next term 작업의 마지막 용어로 표시될 수 없습니다. 동작으로 지정되지만 구성된 일치 조건 없이 필터 용어 next term 는 지원되지 않습니다.