주소 필드에 기반한 방화벽 필터 일치 조건
패킷 주소 필드(IPv4 소스 및 대상 주소, IPv6 소스 및 대상 주소, 또는 MAC(Media Access Control) 소스 및 대상 주소를 지정된 주소 또는 접두사 값에 대해 평가하는 방화벽 필터 일치 조건을 구성할 수 있습니다.
주소 필드에 기반한 방화벽 필터 일치 조건의 '0/0 제외' 주소에 대한 묵시적 일치
주소 또는 주소 접두사 집합을 기반으로 하는 모든 방화벽 필터 일치 조건은 주소 0.0.0.0/0 except (IPv4 또는 VPLS 트래픽용) 또는 0:0:0:0:0:0:0:0/0 except (IPv6 트래픽의 경우) 암시적 일치와 연결됩니다. 결과적으로, 지정된 주소 필드가 지정된 주소 또는 주소 접두사 중 어느 것과 일치하지 않는 패킷은 전체 용어와 일치하지 않습니다.
주소 필드를 서브넷 마스크 또는 접두사에 일치
지정된 주소 접두사 내에 있는 소스 주소 또는 대상 주소와 일치하도록 단일 일치 조건을 지정할 수 있습니다.
IPv4 서브넷 마스크 표기법
IPv4 주소의 경우, 접두사 길이가 아닌 서브넷 마스크 값을 지정할 수 있습니다. 예를 들어,
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
접두사 표기법
주소 접두사를 지정하려면 표기법 prefix/prefix-length을(를) 사용합니다. 다음 예시에서 대상 주소가 접두사와 일치하면 일치가 발생합니다.10.0.0.0/8
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
IPv4 주소의 기본 접두사 길이
IPv4 주소에 대해 지정 /prefix-length 하지 않으면 접두사 길이는 으로 기본값으로 지정 /32됩니다. 다음 예는 기본 접두사 값을 보여줍니다.
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
IPv6 주소의 기본 접두사 길이
IPv6 주소에 대해 지정 /prefix-length 하지 않으면 접두사 길이는 기본값으로 /128입니다. 다음 예는 기본 접두사 값을 보여줍니다.
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
MAC 주소의 기본 접두사 길이
VPLS, 레이어 2 CCC 또는 레이어 2 브리징 패킷의 미디어 액세스 제어(MAC) 주소를 지정 /prefix-length 하지 않으면 접두사 길이는 을(를) 기본으로 합니다 /48. 다음 예는 기본 접두사 값을 보여줍니다.
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
주소 필드를 제외 값과 일치
주소 필드 일치 조건의 경우, 키워드를 except 포함하여 지정된 주소 또는 접두사와 일치하지 않는 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.
- IPv4 또는 IPv6 트래픽의 IP 주소 제외
- VPLS 또는 레이어 2 브리징 트래픽의 IP 주소 제외
- VPLS 또는 레이어 2 브리징 트래픽의 MAC 주소 제외
- 모든 주소를 제외하려면 '0/0' 주소에 대한 명시적 일치가 필요합니다.
IPv4 또는 IPv6 트래픽의 IP 주소 제외
다음 IPv4 및 IPv6 일치 조건의 except 경우, 키워드를 포함하여 지정된 IP 주소 또는 접두사와 일치하지 않는 IP 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.
address address except—소스 IP 주소 또는 대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
source-address address except—소스 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
destination-address address except—대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
다음 예시에서 에 속하는 172.16.0.0/16주소를 제외하고 접두사 아래에 172.0.0.0/8 있는 모든 IPv4 대상 주소에 대해 일치가 발생합니다. 다른 모든 주소는 암묵적으로 이 조건과 일치하지 않습니다.
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set destination-address 172.16.0.0/16 except
user@host# set destination-address 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
다음 예시에서 접두사 내에 속하지 않는 IPv4 대상 주소에 대해 일치가 발생합니다.10.1.1.0/24
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
VPLS 또는 레이어 2 브리징 트래픽의 IP 주소 제외
MX 시리즈 라우터에서만 다음 VPLS 및 레이어 2 브리징 일치 조건의 경우, 키워드를 포함 except 하여 지정된 IP 주소 또는 접두사와 일치하지 않는 IP 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.
ip-address address except—소스 IP 주소 또는 대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
source-ip-address address except—소스 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
destination-ip-address address except—대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
MX 시리즈 라우터에서 VPLS 트래픽을 필터링하기 위한 다음 예에서 소스 IP 주소가 예외 범위 55.0.1.0/255.0.255.0 내에 있고 대상 IP 주소가 일치하는 경우 일치 5172.16.5.0/8가 발생합니다.
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
VPLS 또는 레이어 2 브리징 트래픽의 MAC 주소 제외
다음 VPLS 또는 레이어 2 브리징 트래픽 일치 조건의 경우, 키워드를 포함 except 하여 지정된 MAC 주소 또는 접두사와 일치하지 않는 MAC 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.
source-mac-address address except—소스 MAC 주소 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
destination-mac-address address except—대상 MAC 주소 지정된 주소나 접두사와 일치하지 않으면 일치가 발생합니다.
모든 주소를 제외하려면 '0/0' 주소에 대한 명시적 일치가 필요합니다.
하나 이상의 주소 예외 일치 조건(키워드를 사용하는 except 주소 일치 조건)으로 구성된 방화벽 필터 일치 조건을 지정하지만 일치 가능한 주소 일치 조건이 없는 경우 구성된 접두사 중 하나와 일치하지 않는 패킷은 전체 일치 작업에 실패합니다. 접두사 목록에 없는 모든 주소와 일치하도록 주소 예외 일치 조건의 방화벽 필터 용어를 구성하려면, 용어에 일치할 수 있는 주소를 포함하도록 명시적 일치 0/0 항목을 포함해야 합니다.
IPv4 트래픽에 대한 다음 예시 방화벽 필터의 from-trusted-addresses 경우, 용어는 일치하는 트래픽을 삭제하지 못하고 INTRUDERS-COUNTshow firewall 운영 모드 명령의 출력에서 카운터가 누락되었습니다.
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
접두사 목록에 없는 모든 주소와 일치하도록 주소-예외 일치 조건의 필터 용어를 유발하려면, 일치 조건 집합에서 의 명시적 일치 0/0 를 포함합니다.
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-prefix-list {
0.0.0.0/0;
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
일치 조건에 소스 접두사 주소를 추가 0.0.0.0/0 하면 용어 from-trusted-addresses 는 일치하는 트래픽을 폐기하고 INTRUDERS-COUNT 카운터는 운영 모드 명령의 show firewall 출력에 표시됩니다.
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
IP 주소 필드와 단일 값 일치
IPv4 및 IPv6 트래픽의 경우, MX 시리즈 라우터에서만 VPLS 및 레이어 2 브리징 트래픽의 경우 단일 주소 또는 접두사 값을 소스 또는 대상 IP 주소 필드 중 하나에 일치시키는 단일 일치 조건을 사용할 수 있습니다.
IPv4 또는 IPv6 트래픽의 IP 주소 필드 일치
IPv4 또는 IPv6 트래픽의 경우, 단일 일치 조건을 사용하여 소스 또는 대상 IP 주소 필드 중 하나에 대한 일치와 동일한 주소 또는 접두사 값을 지정할 수 있습니다. 및 destination-address 일치 조건에 대해 source-address 동일한 주소를 지정하는 별도의 필터 용어를 만드는 대신 일치 조건만 address 사용합니다. 소스 IP 주소 또는 대상 IP 주소 가 지정된 주소 또는 접두사와 일치하면 일치가 발생합니다.
일치 조건으로 키워드를 exceptaddress 사용하는 경우, 소스 IP 주소와 대상 IP 주소 가 모두 예외가 적용되기 전에 지정된 값과 일치하면 일치가 발생합니다.
또는 destination-address 일치 조건을 지정 source-address 하는 방화벽 필터 용어에서는 일치 조건을 지정할 address 수도 없습니다.
VPLS 또는 레이어 2 브리징 트래픽의 IP 주소 필드 일치
MX 시리즈 라우터에서만 VPLS 또는 레이어 2 브리징 트래픽의 경우, 단일 일치 조건을 사용하여 소스 또는 대상 IP 주소 필드 중 하나에 대한 일치와 동일한 주소 또는 접두사 값을 지정할 수 있습니다. 및 destination-ip-address 일치 조건에 대해 source-ip-address 동일한 주소를 지정하는 별도의 필터 용어를 만드는 대신 일치 조건만 ip-address 사용합니다. 소스 IP 주소 또는 대상 IP 주소 가 지정된 주소 또는 접두사와 일치하면 일치가 발생합니다.
일치 조건으로 키워드를 exceptip-address 사용하는 경우, 소스 IP 주소와 대상 IP 주소 가 모두 예외가 적용되기 전에 지정된 값과 일치하면 일치가 발생합니다.
또는 destination-ip-address 일치 조건을 지정 source-ip-address 하는 방화벽 필터 용어에서는 일치 조건을 지정할 ip-address 수도 없습니다.
주소 필드를 인접하지 않은 접두사와 일치
IPv4 트래픽의 경우에만 IP 소스 또는 대상 주소 필드를 지정된 접두사에 일치하도록 단일 일치 조건을 지정합니다. 접두사들이 연속적일 필요는 없습니다. 즉, 또는 destination-address 일치 조건 아래의 source-address 접두사에 인접하거나 서로 인접할 필요가 없습니다.
다음 예시에서 대상 주소가 접두사 또는 접두사 중 하나와 10.0.0.0/8 일치하면 일치가 192.168.0.0/32 발생합니다.
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
일치 조건 내에서 접두사 를 지정하는 순서는 중요하지 않습니다. 패킷은 일치 조건의 모든 접두사에 대해 평가되어 일치가 발생하는지 여부를 결정합니다. 접두사들이 겹치는 경우, longest-match 규칙을 사용하여 일치가 발생하는지 여부를 결정합니다. 인접하지 않은 접두사의 일치 조건에는 암시적 0/0 except 문이 포함되며, 이는 일치 조건에 포함된 접두사와 일치하지 않는 모든 접두사가 명시적으로 일치하지 않는 것으로 간주됩니다.
접두사가 순서에 독립적이며 longest-match 규칙을 사용하기 때문에, 더 긴 접두사가 동일한 유형(지정 except 여부)인 한 더 짧은 접두사를 하위화합니다. 이는 더 긴 접두사와 일치하는 모든 것이 더 짧은 접두사와 일치하기 때문입니다.
다음 예를 고려하십시오.
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
source-address 일치 조건 내에서는 두 개의 주소가 무시됩니다. 값은 172.16.3.0/16 동일한 유형인 주소 172.16.0.0/10아래에 속하기 때문에 무시됩니다. 이 값은 10.2.2.2 except 암시적 0.0.0.0/0 except 일치 값으로 하위화되기 때문에 무시됩니다.
다음 소스 IP 주소가 이 방화벽 필터에 의해 평가된다고 가정합니다.
소스 IP 주소 172.16.1.2- 이 주소는 접두사와 172.16.0.0/10 일치하므로 문의 작업이 then 수행됩니다.
소스 IP 주소 172.16.2.2- 이 주소는 접두사와 172.16.2.0/24 일치합니다. 이 접두사(즉, 키워드 포함 except )가 부정되므로 명시적 불일치 가 발생합니다. 필터가 있는 경우 필터의 다음 용어가 평가됩니다. 더 이상 용어가 없으면 패킷이 폐기됩니다.
소스 IP 주소 10.1.2.3- 이 주소는 조건에 포함된 source-address 접두사와 일치하지 않습니다. 대신, 일치 조건에 따라 source-address 구성된 접두사 목록의 끝에 있는 암시적 0.0.0.0/0 except 일치하며 불일치로 간주됩니다.
명령문은 172.16.3.0/24 주소 172.16.0.0/10아래에 포함되기 때문에 무시됩니다. 둘 다 동일한 유형입니다.
문은 10.2.2.2 except 일치 조건에 따라 source-address 구성된 접두사 목록의 끝에 있는 암시적 0.0.0.0/0 except 문에 의해 하위화되기 때문에 무시됩니다.
방화벽 필터 용어에 일치 조건이 포함되어 from address address 있고 후속 용어에 동일한 주소에 대한 일치 조건을 포함하는 from source-address address 경우, 패킷은 개입 조건에 의해 평가되기 전에 후자의 용어에 의해 처리될 수 있습니다. 그 결과, 개입 조건에 의해 거부되어야 하는 패킷이 대신 수락되거나 대신 수락해야 하는 패킷이 거부될 수 있습니다.
이러한 일이 발생하지 않도록 하려면 다음을 수행하는 것이 좋습니다. 일치 조건을 포함하는 모든 방화벽 필터 용어의 from address address 경우, 해당 용어를 두 개의 개별 용어로 대체합니다. 일치 조건을 포함하는 from source-address address 하나와 일치 조건을 포함하는 다른 조건을 포함합니다 from destination-address address .
주소 필드를 접두사 목록에 일치
라우팅 정책 문 또는 패킷 주소 필드를 평가하는 무상태 방화벽 필터 일치 조건에서 사용할 IPv4 또는 IPv6 주소 접두사 목록을 정의할 수 있습니다.
IPv4 또는 IPv6 주소 접두사 목록을 정의하려면 문을 포함합니다 prefix-list prefix-list .
prefix-list name {
ip-addresses;
apply-path path;
}
다음 계층 수준에서 문을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
접두사 목록을 정의한 후에는 IPv4 또는 IPv6 주소 접두사를 기반으로 방화벽 필터 일치 조건을 지정할 때 이를 사용할 수 있습니다.
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}