Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: 여러 방화벽 필터 목록 적용

이 예에서는 여러 방화벽 필터 목록을 적용하는 방법을 보여 줍니다.

요구 사항

시작하기 전에 다음을 확인하세요.

  • 라우터 또는 스위치를 설치하고 PIC, DPC 또는 MPC를 지원하며 초기 라우터 또는 스위치 구성을 수행했습니다.

  • 토폴로지에서 기본 이더넷을 구성했습니다.

  • IP 버전 4(IPv4) 프로토콜()을 실행하도록 논리적 인터페이스를 구성하고 인터페이스 주소로 논리적 인터페이스를 구성했습니다.family inet 이 예는 IP 주소 172.16.1.2/30으로 구성된 논리적 인터페이스를 사용합니다.ge-1/3/0.0

    주:

    완벽을 기하기 위해 이 예의 구성 섹션에는 논리적 인터페이스에 대한 IP 주소 설정이 포함됩니다.ge-1/3/0.0

  • 트래픽이 토폴로지에서 흐르고 있는지, 수신 및 송신 IPv4 트래픽이 논리적 인터페이스를 통해 흐르고 있는지 확인했습니다.ge-1/3/0.0

  • 이 라우터 또는 스위치의 논리적 인터페이스에 연결된 원격 호스트에 액세스할 수 있는지 확인했습니다.ge-1/3/0.0

주:

물리적 인터페이스 폴리서/필터는 목록 필터에 대해 지원되지 않습니다.

개요

이 예에서는 세 개의 IPv4 방화벽 필터를 구성하고 목록을 사용하여 각 필터를 동일한 논리적 인터페이스에 직접 적용합니다.

토폴로지

이 예는 논리적 인터페이스 에서 입력 필터 목록으로 다음 방화벽 필터를 적용합니다.ge-1/3/0.0 각 필터에는 IPv4 패킷을 평가하고 TCP 헤더의 필드 값을 기반으로 패킷을 수락하는 단일 용어가 포함되어 있습니다.destination port

  • FTP 포트 번호()에서 일치하는 필터가 일치합니다.filter_FTP21

  • SSH 포트 번호()에서 필터가 일치합니다.filter_SSH22

  • Telnet 포트 번호()의 필터 일치 항목입니다.filter_Telnet23

인바운드 패킷이 입력 목록의 필터와 일치하지 않으면 패킷이 삭제됩니다.

주:

Junos OS는 필터 이름이 목록에 나타나는 순서대로 목록의 필터를 사용합니다. 이 간단한 예제에서는 모든 필터가 동일한 작업을 지정하므로 순서는 중요하지 않습니다.

모든 필터는 단독으로(또는 문 사용) 또는 다른 필터와 함께(또는 문 사용) 다른 인터페이스에 적용할 수 있습니다.inputoutputinput-listoutput-list 목표는 인터페이스별 필터 목록에서 재사용할 수 있는 여러 개의 "최소한" 방화벽 필터를 구성하는 것입니다.

구성

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용

CLI 빠른 구성

이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 .[edit]

다중 IPv4 방화벽 필터 구성

단계별 절차

IPv4 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. CLI에서 IPv4 방화벽 필터를 구성하는 계층 수준으로 이동합니다.

  2. 포트 21에 대한 패킷을 카운트하고 수락하도록 첫 번째 방화벽 필터를 구성합니다.

  3. 포트 22에 대한 패킷을 카운트하고 수락하도록 두 번째 방화벽 필터를 구성합니다.

  4. 포트 23에서 패킷을 카운트하고 수락하도록 세 번째 방화벽 필터를 구성합니다.

  5. 폐기된 패킷을 계산하도록 마지막 방화벽 필터를 구성합니다.

필터를 논리 인터페이스에 입력 목록 및 출력 목록으로 적용합니다

단계별 절차

6개의 IPv4 방화벽 필터를 입력 필터 목록 및 출력 필터 목록으로 적용하려면 다음을 수행합니다.

  1. 논리적 인터페이스에 IPv4 방화벽 필터를 적용하는 계층 수준으로 CLI를 이동합니다.ge-1/3/0.0

  2. 논리적 인터페이스에 대한 IPv4 프로토콜 제품군을 구성합니다.

  3. 필터를 입력 필터 목록으로 적용합니다.

후보 구성 확인 및 커밋

단계별 절차

후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.

  1. 구성 모드 명령을 입력하여 방화벽 필터의 구성을 확인합니다.show firewall 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.

  2. 구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.show interfaces 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.

  3. 디바이스 구성을 완료하면 후보 구성을 커밋합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

FTP, SSH 또는 Telnet 포트를 목적지로 하는 경우에만 인바운드 패킷이 수락되는지 확인

목적

논리적 인터페이스에 대해 세 개의 필터가 모두 활성화되어 있는지 확인합니다.

작업

입력 패킷이 세 가지 필터에 따라 수락되는지 확인하려면:

  1. 이 라우터(또는 스위치)의 논리적 인터페이스에 연결된 원격 호스트에서 헤더에 대상 포트 번호가 21인 패킷을 보냅니다.ge-1/3/0.0 패킷이 수락되어야 합니다.

  2. 이 라우터(또는 스위치)의 논리적 인터페이스에 연결된 원격 호스트에서 헤더에 대상 포트 번호가 22인 패킷을 보냅니다.ge-1/3/0.0 패킷이 수락되어야 합니다.

  3. 이 라우터(또는 스위치)의 논리적 인터페이스에 연결된 원격 호스트에서 헤더에 대상 포트 번호가 23인 패킷을 보냅니다.ge-1/3/0.0 패킷이 수락되어야 합니다.

  4. 이 라우터(또는 스위치)의 논리적 인터페이스에 연결된 원격 호스트에서 대상 포트 번호가 21, 22 또는 23 이외의 패킷을 보냅니다.ge-1/3/0.0 패킷은 폐기해야 합니다.

  5. 의 입력에 적용된 필터 목록에 대한 카운터 정보를 표시하려면 작동 모드 명령을 입력합니다 .ge-1/3/0.0show firewall filter ge-1/3/0.0-inet-i 명령 출력은 다음 카운터와 관련된 필터 용어와 일치하는 바이트 및 패킷 수를 표시합니다.

    • pkts_FTP-ge-1/3/0.0-inet-i

    • pkts_SSH-ge-1/3/0.0-inet-i

    • pkts_Telnet-ge-1/3/0.0-inet-i

    • pkts_discard-ge-1/3/0.0-inet-i