예: 여러 방화벽 필터 목록 적용
이 예에서는 여러 방화벽 필터 목록을 적용하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 다음을 확인하세요.
-
라우터 또는 스위치를 설치하고 PIC, DPC 또는 MPC를 지원하며 초기 라우터 또는 스위치 구성을 수행했습니다.
-
토폴로지에서 기본 이더넷을 구성했습니다.
-
IP 버전 4(IPv4) 프로토콜(
family inet)을 실행하도록 논리적 인터페이스를 구성하고 인터페이스 주소로 논리적 인터페이스를 구성했습니다. 이 예는 IP 주소 172.16.1.2/30으로 구성된 논리적 인터페이스를ge-1/3/0.0사용합니다.주:완벽을 기하기 위해 이 예의 구성 섹션에는 논리적 인터페이스에
ge-1/3/0.0대한 IP 주소 설정이 포함됩니다. -
트래픽이 토폴로지에서 흐르고 있는지, 수신 및 송신 IPv4 트래픽이 논리적 인터페이스를
ge-1/3/0.0통해 흐르고 있는지 확인했습니다. -
이 라우터 또는 스위치의 논리적 인터페이스에
ge-1/3/0.0연결된 원격 호스트에 액세스할 수 있는지 확인했습니다.
물리적 인터페이스 폴리서/필터는 목록 필터에 대해 지원되지 않습니다.
개요
이 예에서는 세 개의 IPv4 방화벽 필터를 구성하고 목록을 사용하여 각 필터를 동일한 논리적 인터페이스에 직접 적용합니다.
토폴로지
이 예는 논리적 인터페이스 ge-1/3/0.0에서 입력 필터 목록으로 다음 방화벽 필터를 적용합니다. 각 필터에는 IPv4 패킷을 평가하고 TCP 헤더의 필드 값을 기반으로 패킷을 수락하는 단일 용어가 포함되어 있습니다.destination port
FTP 포트 번호()에서 일치하는 필터가
filter_FTP일치합니다.21SSH 포트 번호(
22)에서 필터가filter_SSH일치합니다.Telnet 포트 번호()의 필터
filter_Telnet일치 항목입니다23.
인바운드 패킷이 입력 목록의 필터와 일치하지 않으면 패킷이 삭제됩니다.
Junos OS는 필터 이름이 목록에 나타나는 순서대로 목록의 필터를 사용합니다. 이 간단한 예제에서는 모든 필터가 동일한 작업을 지정하므로 순서는 중요하지 않습니다.
모든 필터는 단독으로(또는 문 사용input) 또는 다른 필터와 함께(또는 output-list 문 사용) 다른 인터페이스에 적용할 수 있습니다input-list.output 목표는 인터페이스별 필터 목록에서 재사용할 수 있는 여러 개의 "최소한" 방화벽 필터를 구성하는 것입니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 [edit] .
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
다중 IPv4 방화벽 필터 구성
단계별 절차
IPv4 방화벽 필터를 구성하려면 다음을 수행합니다.
CLI에서 IPv4 방화벽 필터를 구성하는 계층 수준으로 이동합니다.
[edit] user@host# edit firewall family inet
포트 21에 대한 패킷을 카운트하고 수락하도록 첫 번째 방화벽 필터를 구성합니다.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
포트 22에 대한 패킷을 카운트하고 수락하도록 두 번째 방화벽 필터를 구성합니다.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
포트 23에서 패킷을 카운트하고 수락하도록 세 번째 방화벽 필터를 구성합니다.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
폐기된 패킷을 계산하도록 마지막 방화벽 필터를 구성합니다.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
필터를 논리 인터페이스에 입력 목록 및 출력 목록으로 적용합니다
단계별 절차
6개의 IPv4 방화벽 필터를 입력 필터 목록 및 출력 필터 목록으로 적용하려면 다음을 수행합니다.
논리적 인터페이스에
ge-1/3/0.0IPv4 방화벽 필터를 적용하는 계층 수준으로 CLI를 이동합니다.[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
논리적 인터페이스에 대한 IPv4 프로토콜 제품군을 구성합니다.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
필터를 입력 필터 목록으로 적용합니다.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 방화벽 필터의
show firewall구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }구성 모드 명령을 입력하여
show interfaces인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 올바르게 작동하고 있는지 확인합니다.
FTP, SSH 또는 Telnet 포트를 목적지로 하는 경우에만 인바운드 패킷이 수락되는지 확인
목적
논리적 인터페이스에 대해 세 개의 필터가 모두 활성화되어 있는지 확인합니다.
작업
입력 패킷이 세 가지 필터에 따라 수락되는지 확인하려면:
이 라우터(또는 스위치)의 논리적 인터페이스에
ge-1/3/0.0연결된 원격 호스트에서 헤더에 대상 포트 번호가 21인 패킷을 보냅니다. 패킷이 수락되어야 합니다.이 라우터(또는 스위치)의 논리적 인터페이스에
ge-1/3/0.0연결된 원격 호스트에서 헤더에 대상 포트 번호가 22인 패킷을 보냅니다. 패킷이 수락되어야 합니다.이 라우터(또는 스위치)의 논리적 인터페이스에
ge-1/3/0.0연결된 원격 호스트에서 헤더에 대상 포트 번호가 23인 패킷을 보냅니다. 패킷이 수락되어야 합니다.이 라우터(또는 스위치)의 논리적 인터페이스에
ge-1/3/0.0연결된 원격 호스트에서 대상 포트 번호가 21, 22 또는 23 이외의 패킷을 보냅니다. 패킷은 폐기해야 합니다.-
의
ge-1/3/0.0입력에 적용된 필터 목록에 대한 카운터 정보를 표시하려면 작동 모드 명령을 입력합니다show firewall filter ge-1/3/0.0-inet-i. 명령 출력은 다음 카운터와 관련된 필터 용어와 일치하는 바이트 및 패킷 수를 표시합니다.-
pkts_FTP-ge-1/3/0.0-inet-i -
pkts_SSH-ge-1/3/0.0-inet-i -
pkts_Telnet-ge-1/3/0.0-inet-i -
pkts_discard-ge-1/3/0.0-inet-i
-