비트 필드 값에 기반한 방화벽 필터 일치 조건
비트 필드 값에 대한 일치 조건
표 1 은(는) 패킷의 특정 비트 필드가 설정되었는지 여부에 기반한 방화벽 필터 일치 조건을 나열합니다. 두 번째와 세 번째 열에는 일치 조건이 지원되는 트래픽 유형이 나열됩니다.
비트 필드 일치 조건 |
값 일치 |
표준 스테이트리스 방화벽 필터에 대한 프로토콜 제품군 |
서비스 필터를 위한 프로토콜 제품군 |
|---|---|---|---|
fragment-flags flags |
IP 헤더의 3비트 IP 단편화 플래그 필드에 대한 16진수 값 또는 텍스트 별칭. |
family inet |
family inet |
fragment-offset value |
IP 헤더의 13비트 부분 오프셋 필드에 대한 16진수 값 또는 텍스트 별칭입니다. |
family inet |
family inet |
tcp-flags value† |
TCP 헤더에 있는 8비트 TCP 플래그 필드의 하위 6비트에 대한 16진수 값 또는 텍스트 별칭입니다. |
family inetfamily inet6family vplsfamily bridge |
family inetfamily inet6 |
† Junos OS는 IPv4 트래픽에 대한 TCP 플래그를 일치시킬 때 첫 번째 프래그먼트 비트를 자동으로 확인하지 않습니다. IPv4 트래픽에 대해서만 첫 번째 부분 비트를 first-fragment 확인하려면 일치 조건을 사용합니다. |
|||
공통 비트 필드 값 또는 조합에 대한 일치 조건
표 2 패킷에서 일반적으로 사용되는 특정 값 또는 비트 필드 조합 이 설정되었는지 여부를 기반으로 하는 방화벽 필터 일치 조건을 설명합니다.
텍스트 동의어를 사용하여 몇 가지 일반적인 비트 필드 일치를 지정할 수 있습니다. 이전 예에서 동일한 일치 조건을 로 지정할 tcp-initial 수 있습니다.
일부 숫자 범위 및 비트 필드 일치 조건에서는 텍스트 동의어를 지정할 수 있습니다. 동의어의 전체 목록:
J-Web 인터페이스를 사용하는 경우 해당 목록에서 동의어를 선택하십시오.
CLI를 사용하는 경우 문 뒤에 물음표(?)를 from 입력합니다.
일치 조건 |
설명 |
표준 스테이트리스 방화벽 필터에 대한 프로토콜 제품군 |
서비스 필터를 위한 프로토콜 제품군 |
|---|---|---|---|
first-fragment |
비트 필드 일치 조건에 fragment-offset 0대한 텍스트 별칭으로, 단편화된 패킷의 첫 번째 부분을 나타냅니다. |
family inet |
family inet |
is-fragment |
비트 필드 일치 조건에 fragment-offset 0 except대한 텍스트 별칭으로, 단편화된 패킷의 후행 부분을 나타냅니다. |
family inet |
family inet |
tcp-established |
비트 필드 일치 조건 tcp-flags "(ack | rst)"의 별칭으로, 설정된 TCP 세션을 나타내지만 TCP 연결의 첫 번째 패킷은 나타내지 않습니다. |
family inetfamily inet6 |
— |
tcp-initial |
비트 필드 일치 조건 tcp-flags "(!ack & syn)"의 별칭으로, TCP 연결의 첫 번째 패킷을 나타내지만 설정된 TCP 세션은 나타내지 않습니다. |
family inetfamily inet6 |
— |
비트 필드 값에 대한 논리 연산자
표 3 는 무상태 방화벽 필터 일치 조건을 지정할 때 단일 비트 필드 값에 적용할 수 있는 논리 연산자를 나열합니다. 연산자는 우선 순위가 높은 순으로 순서대로 나열됩니다. 작업은 왼쪽 연관이며, 이는 작업이 왼쪽에서 오른쪽으로 처리됨을 의미합니다.
우선 순위 순서 |
비트 필드 논리 연산자 |
설명 |
|---|---|---|
1 |
(complex-match-condition) |
그룹화 - 괄호 밖의 연산자가 적용되기 전에 복잡한 일치 조건이 평가됩니다. |
2 |
! match-condition |
부정 - 일치 조건이 거짓이면 일치가 발생합니다. |
3 |
match-condition-1 & match-condition-2또는match-condition-1 + match-condition-2 |
논리적 AND - 두 일치 조건이 모두 참이면 일치가 발생합니다. |
4 |
match-condition-1 | match-condition-2또는match-condition-1 , match-condition-2 |
논리적 OR - 일치 조건 중 하나가 참이면 일치가 발생합니다. |
단일 비트 필드 값 또는 텍스트 별칭에 일치
및 tcp-flags 비트 일치 조건의 fragment-flags 경우, 패킷 필드의 특정 비트가 설정되었는지 여부에 따라 방화벽 필터 일치 조건을 지정할 수 있습니다.
단일 비트를 지정하는 숫자 값 - 1비트가 설정된 숫자 값을 사용하여 단일 비트 필드 일치 조건을 지정할 수 있습니다. 일치 조건에 따라 10진수 값, 2진수 값 또는 16진수 값을 지정할 수 있습니다. 이진 값을 지정하려면 접두사 b가 있는 숫자를 지정합니다. 16진수 값을 지정하려면 접두사 0x로 숫자를 지정합니다.
다음 예제에서 TCP 플래그 필드의 비트가 설정된 경우 RST 일치가 발생합니다.
[edit firewall family inet filter filter_tcp_rst_number term term1 from] user@host# set tcp-flags 0x04
단일 비트를 지정하는 텍스트 별칭 - 일반적으로 큰따옴표(" ")로 묶인 텍스트 별칭을 사용하여 단일 비트 필드 일치 조건을 지정합니다.
다음 예제에서 TCP 플래그 필드의 비트가 설정된 경우 RST 일치가 발생합니다.
[edit firewall family inet filter filter_tcp_rst_alias term term1 from] user@host# set tcp-flags “rst”
여러 비트 필드 값 또는 텍스트 별칭에 대한 일치
패킷 필드의 특정 비트 집합이 설정되었는지 여부에 따라 방화벽 필터 일치 조건을 지정할 수 있습니다.
다중 설정 비트를 지정하기 위한 숫자 값 - 이진 표현에 두 개 이상의 설정 비트가 있는 숫자 값을 지정하면 이 값은 세트 비트의 논리 AND로 처리됩니다.
다음 예에서 두 일치 조건은 동일합니다. 비트 0x01 또는 0x02 가 설정되지 않은 경우 일치가 발생합니다.
[edit firewall family inet filter reset_or_not_initial_packet term term5 from] user@host# set tcp-flags “!0x3” user@host# set tcp-flags “!(0x01 & 0x02)”
공통 비트 필드 일치를 지정하는 텍스트 별칭 - 텍스트 별칭을 사용하여 몇 가지 공통 비트 필드 일치를 지정할 수 있습니다. 이러한 일치 항목을 단일 키워드로 지정합니다.
다음 예제 tcp-established 에서 의 별칭 “(ack | rst)”인 조건은 연결의 첫 번째 패킷이 아닌 TCP 패킷에서 일치가 발생하도록 지정합니다.
[edit firewall family inet filter reset_or_not_initial_packet term term6 from] user@host# set tcp-established
부정 비트 필드 값에 대한 일치
일치 항목을 무효화하려면 값 앞에 느낌표를 붙입니다.
다음 예에서는 TCP 플래그 필드의 비트가 RST 설정되지 않은 경우 일치가 발생합니다.
[edit firewall family inet filter filter_tcp_rst term term1 from] user@host# set tcp-flags “!rst”
두 비트 필드 값의 논리 OR에 대한 일치
(| 또는 ,)를 사용하여 비트 필드가 지정된 두 비트 필드 값 중 하나와 일치하는 경우 일치가 발생하도록 지정할 수 있습니다.
다음 예제에서는 패킷이 TCP 세션의 초기 패킷이 아닌 경우 일치가 발생합니다.
[edit firewall family inet filter not_initial_packet term term3 from] user@host# set tcp-flags "!syn | ack"
TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. TCP 세션의 초기 패킷이 아닌 패킷에서는 SYN 플래그가 설정되지 않았거나 ACK 플래그가 설정되어 있습니다.
두 비트 필드 값의 논리 AND에 대한 일치
(& 또는 +)를 사용하여 비트 필드가 지정된 두 비트 필드 값 모두와 일치하는 경우 일치가 발생하도록 지정할 수 있습니다.
다음 예제에서는 패킷이 TCP 세션의 초기 패킷인 경우 일치가 발생합니다.
[edit firewall family inet filter initial_packet term term2 from] user@host# set tcp-flags “syn & !ack”
TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. TCP 세션의 초기 패킷인 패킷에서 SYN 플래그는 설정되고 ACK 플래그는 설정되지 않습니다.
비트 필드 일치 조건 그룹화
를 사용하여 괄호 안의 복잡한 일치 조건이 괄호 밖의 연산자가 적용되기 전에 평가되도록 지정할 수 있습니다.
다음 예제에서는 패킷이 TCP 재설정이거나 패킷이 TCP 세션의 초기 패킷이 아닌 경우 일치가 발생합니다.
[edit firewall family inet filter reset_or_not_initial_packet term term4 from] user@host# set tcp-flags “!(syn & !ack) | rst”
TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. TCP 세션에서 초기 패킷이 아닌 패킷에서는 SYN 플래그가 설정되지 않고 ACK 필드가 설정됩니다.