예: 여러 방화벽 필터에 대한 참조 중첩
이 예에서는 여러 방화벽 필터에 대한 중첩 참조를 구성하는 방법을 보여 줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 여러 방화벽 필터 간에 공유할 수 있는 일치 조건 및 작업 조합에 대해 방화벽 필터를 구성합니다. 그런 다음 첫 번째 방화벽 필터를 참조하는 두 개의 방화벽 필터를 구성합니다. 나중에 공통 필터링 기준을 변경해야 하는 경우 하나의 공유 방화벽 필터 구성만 수정하면 됩니다.
토폴로지
방화벽 필터는 UDP 소스 또는 대상 포트 필드 번호가 인 패킷을 삭제합니다.common_filter69 두 개의 추가 방화벽 필터와 은 모두 .filter1filter2common_filter
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 .[edit]
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common_filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common_filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
중첩된 방화벽 필터 구성
단계별 절차
공통 필터를 공유하는 두 개의 중첩된 방화벽 필터를 구성하려면 다음을 수행합니다.
CLI에서 IPv4 방화벽 필터를 구성하는 계층 수준으로 이동합니다.
[edit] user@host# edit firewall family inet
다른 여러 필터에서 참조할 공통 필터를 구성합니다.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
공통 필터를 참조하는 필터를 구성합니다.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common_filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
공통 필터를 참조하는 두 번째 필터를 구성합니다.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common_filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
인터페이스에 중첩된 방화벽 필터 모두 적용
단계별 절차
논리적 인터페이스에 중첩된 방화벽 필터를 모두 적용하려면 다음을 수행합니다.
첫 번째 중첩 필터를 논리적 인터페이스 입력에 적용합니다.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
두 번째 중첩 필터를 논리적 인터페이스 입력에 적용합니다.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 방화벽 필터의 구성을 확인합니다.
show firewall명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common_filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common_filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.
show interfaces명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 및 작동 모드 명령을 입력합니다.show firewall filter filter1show firewall filter filter2