방화벽 필터 구성 지침

방화벽 필터 구성을 위한 문 계층

표준 방화벽 필터를 구성하기 위해 다음 문을 포함할 수 있습니다. IPv4 표준 방화벽 필터의 경우 문은 family inet 선택 사항입니다. IPv6 표준 방화벽 필터의 경우 문은 family inet6 필수입니다.

다음 계층 수준 중 하나에 방화벽 구성을 포함할 수 있습니다.

• [edit]

• [edit logical-systems logical-system-name]

주:

스테이트리스 방화벽 필터링의 경우, 터널 대상을 향한 다음 홉 인터페이스인 인터페이스의 입력 트래픽에 적용된 방화벽 필터를 통해 출력 터널 트래픽을 허용해야 합니다. 방화벽 필터는 터널을 통해 라우터(또는 스위치)에서 나가는 패킷에만 영향을 미칩니다.

주:

ACX7100 플랫폼에서 VPLS 방화벽 필터는 아래가 아닌 family VPLS아래에 family ethernet-switching 구성됩니다. 관리 필터는 제품군 또는 inet6 에서 inet 구성되며 구문은 다음과 같은 형식입니다.

방화벽 필터 프로토콜 제품군

방화벽 필터 구성은 특정 프로토콜 제품군에 따라 다릅니다. firewall 문 아래에 다음 문 중 하나를 포함하여 트래픽을 필터링할 프로토콜 패밀리를 지정합니다.

• family any- 프로토콜 독립적 트래픽을 필터링합니다.

• family inet- 인터넷 프로토콜 버전 4(IPv4) 트래픽을 필터링합니다.

• family inet6- IPv6(Internet Protocol version 6) 트래픽을 필터링합니다.

• family mpls- MPLS 트래픽을 필터링합니다.

• family vpls- VPLS(Virtual Private LAN Service) 트래픽을 필터링합니다.

• family ccc- 레이어 2 CCC(Circuit Cross-Connection) 트래픽을 필터링합니다.

• family bridge- MX 시리즈 3D 유니버설 에지 라우터에 대해서만 레이어 2 브리징 트래픽을 필터링합니다.

• family ethernet-switching- 레이어 2(이더넷) 트래픽을 필터링합니다.

문은 family family-name IPv4 이외의 프로토콜 패밀리를 지정하는 데만 필요합니다. IPv4 방화벽 필터를 구성하려면 및 [edit firewall family inet] 계층 수준이 동일하므로 문을 포함하지 family inet 않고 계층 수준에서 필터를 [edit firewall] 구성할 수 있습니다[edit firewall].

주:

브리지 제품군 필터의 경우 ip-protocol 일치 기준은 IPv4에 대해서만 지원되며 IPv6에 대해서는 지원되지 않습니다. 이는 MX 3D MPC 라인 카드와 같은 Junos Trio 칩셋을 지원하는 라인 카드에 적용됩니다.

방화벽 필터 이름 및 옵션

family family-name 문 아래에 방화벽 필터를 만들고 이름을 지정하는 문을 포함할 filter filter-name 수 있습니다. 필터 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자 길이입니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.

[edit firewall family family-name filter filter-name] 계층 수준에서 다음 문은 선택 사항입니다.

• accounting-profile

• instance-shared (MPCS(Modular Port Concentrator)가 있는 MX 시리즈 라우터만 해당)

• interface-specific

• physical-interface-filter

방화벽 필터 용어

filter filter-name 문 아래에 문을 포함하여 term term-name 필터 용어를 생성하고 이름을 지정할 수 있습니다.

• 방화벽 필터에서 하나 이상의 용어를 구성해야 합니다.

• 방화벽 필터 내에서 각 용어에 대해 고유한 이름을 지정해야 합니다. 용어 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자까지 가능합니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.

• 방화벽 필터 구성 내에서 용어를 지정하는 순서가 중요합니다. 방화벽 필터 용어는 구성된 순서대로 평가됩니다. 기본적으로 새 용어는 항상 기존 필터의 끝에 추가됩니다. 구성 모드 명령을 insert 사용하여 방화벽 필터의 용어를 재정렬할 수 있습니다.

[edit firewall family family-name filter filter-name term term-name] 계층 수준에서 문은 filter filter-name 또는 then 문과 from 동일한 용어로 유효하지 않습니다. 이 계층 수준에 filter filter-name 포함된 문은 방화벽 필터를 중첩 하는 데 사용됩니다.

방화벽 필터 일치 조건

방화벽 필터 일치 조건은 필터링되는 트래픽 유형에 따라 다릅니다.

MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽을 제외하고, 명령문에서 from 용어의 일치 조건을 지정합니다. MPLS 태그가 지정된 IPv4 트래픽의 경우, 문에서 ip-version ipv4 용어의 IPv4 주소별 일치 조건을 지정하고 문에서 protocol (tcp | udp) 용어의 IPv4 포트별 일치 조건을 지정합니다.

MPLS 태그가 지정된 IPv6 트래픽의 경우, 문 아래에 ip-version ipv6 용어의 IPv6 주소별 일치 조건을 지정하고 문 아래에 protocol (tcp | udp) 용어의 IPv6 포트별 일치 조건을 지정합니다.

표 1 에서는 방화벽 필터를 구성할 수 있는 트래픽 유형을 설명합니다.

표 1: 프로토콜 제품군별 방화벽 필터 일치 조건

트래픽 유형	일치 조건이 지정되는 계층 수준
프로토콜 독립적	[edit firewall family any filter filter-name term term-name] 일치 조건의 전체 목록은 프로토콜 독립적 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
IPv4	[edit firewall family inet filter filter-name term term-name] 일치 조건의 전체 목록은 IPv4 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
IPv6	[edit firewall family inet6 filter filter-name term term-name] 일치 조건의 전체 목록은 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS	[edit firewall family mpls filter filter-name term term-name] 일치 조건의 전체 목록은 MPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv4 주소	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ] 일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv4 포트	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)] 일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv6 주소	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ] 일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
MPLS 플로우의 IPv6 포트	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)] 일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
VPLS	[edit firewall family vpls filter filter-name term term-name] 일치 조건의 전체 목록은 VPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
레이어 2 CCC	[edit firewall family ccc filter filter-name term term-name] 일치 조건의 전체 목록은 레이어 2 CCC 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
레이어 2 브리징 (MX 시리즈 라우터 및 EX 시리즈 스위치만 해당)	[edit firewall family bridge filter filter-name term term-name] [edit firewall family ethernet-switching filter filter-name term term-name] (EX 시리즈 스위치 전용) 일치 조건의 전체 목록은 레이어 2 브리징 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.

일치 조건( address, destination-address, 또는 source-address 일치 조건)에서 IPv6 주소를 지정하는 경우 RFC 4291, IP 버전 6 주소 지정 아키텍처에 설명된 텍스트 표현 구문을 사용합니다. IPv6 주소에 대한 자세한 내용은 IPv6 개요 및 지원되는 IPv6 표준을 참조하십시오.

방화벽 필터 동작

방화벽 필터 용어에 then 대한 문에서 용어와 일치하는 패킷에 대해 수행할 작업을 지정할 수 있습니다.

표 2 방화벽 필터 용어에 지정할 수 있는 작업 유형을 요약합니다.

표 2: 방화벽 필터 동작 범주

작업 유형	설명	코멘트
종료	특정 패킷에 대한 방화벽 필터의 모든 평가를 중지합니다. 라우터(또는 스위치)는 지정된 작업을 수행하며 패킷을 검사하는 데 추가 용어가 사용되지 않습니다. 방화벽 필터 용어에서 하나의 종료 작업 만 지정할 수 있습니다. 필터 용어 내에 둘 이상의 종료 동작을 지정하려고 하면 최신 종료 동작 이 기존 종료 동작을 대체합니다. 그러나 단일 용어에서 하나 이상의 비 종료 작업과 함께 하나의 종료 작업을 지정할 수 있습니다. 예를 들어, 용어 내에서 및 로 count 지정할 accept 수 있습니다syslog. 종료 동작을 포함하는 용어 수에 관계없이, 시스템이 용어 내에 종료 동작을 처리하면 전체 방화벽 필터의 처리가 중단됩니다.	방화벽 필터 종료 동작을 참조하십시오.
종료되지 않음	패킷에 대한 다른 기능(예: 카운터 증가, 패킷 헤더에 대한 정보 로깅, 패킷 데이터 샘플링 또는 시스템 로그 기능을 사용하여 원격 호스트로 정보 전송)을 수행하지만 패킷을 검사하는 데 추가 용어가 사용됩니다.	종료되지 않는 모든 동작에는 암시적 수락 동작이 포함됩니다. 이 수락 작업은 동일한 용어에 다른 종료 작업이 구성되지 않은 경우 수행됩니다. 방화벽 필터 비 종료 동작을 참조하십시오.
플로우 제어	표준 방화벽 필터의 경우에만 next term 이 작업은 라우터(또는 스위치)가 패킷에 대해 구성된 작업을 수행하도록 지시한 다음, 필터를 종료하는 대신 필터의 다음 용어를 사용하여 패킷을 평가합니다. next term 작업이 포함된 경우 방화벽 필터의 다음 용어에 대해 일치하는 패킷이 평가됩니다. 그렇지 않으면 일치하는 패킷이 방화벽 필터의 후속 용어에 대해 평가되지 않습니다. 예를 들어, nonterminating 작업 count으로 용어를 구성하면 용어의 작업이 암시적 discard 에서 암시적 accept으로 변경됩니다. 이 next term 작업은 방화벽 필터를 계속 평가하도록 강제합니다.	동일한 필터 용어에서 next term 종료 작업으로 작업을 구성할 수 없습니다. 그러나 동일한 필터 용어에서 종료되지 않는 다른 작업으로 다음 용어 작업을 구성할 수 있습니다. 표준 방화벽 필터 구성당 최대 1024 next term 개의 작업이 지원됩니다. 이 한도를 초과하는 표준 방화벽 필터를 구성하면 후보 구성에 커밋 오류가 발생합니다. 주: Junos OS Evolved에서 next term은 작업의 마지막 용어로 표시될 수 없습니다. next term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.