예를 들면 다음과 같습니다. 인터페이스 그룹에서 스테이트리스(Stateless) 방화벽 필터 구성
방화벽 필터는 네트워크를 보호하고 네트워크 관리를 단순화하는 데 필수적입니다. Junos OS 스테이트리스 방화벽 필터를 구성하여 시스템을 통해 데이터 패킷의 전송을 제어하고 필요에 따라 패킷을 조작할 수 있습니다. 무상태 방화벽 필터를 인터페이스 그룹에 적용하면 인터페이스 그룹의 각 인터페이스를 통해 전송하는 패킷을 필터링하는 데 도움이 됩니다. 이 예는 특정 인터페이스 그룹에 태그 처리된 패킷과 일치하도록 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
라우팅 인스턴스에 속한 인터페이스를 통해 물리적으로 또는 논리적으로 서로 연결된 두 개의 주니퍼 네트웍스 라우터 또는 스위치
Junos OS 릴리스 7.4 이상
개요
무상태 방화벽 필터를 인터페이스 그룹에 적용하여 인터페이스 그룹의 모든 인터페이스에 적용할 수 있습니다. 이를 통해 다양한 인터페이스에서 패킷 필터링을 동시에 관리할 수 있습니다.
이 예에서는 인터페이스 그룹에 속하도록 두 개의 라우터 또는 스위치 인터페이스를 구성합니다. 또한 스테이트리스(stateless) 방화벽 필터를 세 개의 용어로 구성합니다. 용어 term1에서 필터는 해당 인터페이스 그룹에서 수신된 대로 태그 처리된 패킷과 일치하며 ICMP 프로토콜 태그를 포함합니다. 필터는 조건과 일치하는 패킷을 카운트, 로그 및 거부합니다. 용어 term2로 이 필터는 ICMP 프로토콜 태그를 포함하는 패킷과 일치합니다. 필터는 조건과 일치하는 모든 패킷을 카운트, 로그 및 허용합니다. 용어 term3로 필터는 모든 전송 패킷을 계산합니다.
방화벽 필터를 라우팅 인스턴스에 적용하여 인터페이스 그룹의 모든 인터페이스에 필터링 메커니즘을 동시에 적용할 수 있습니다. 이를 위해서는 인터페이스 그룹의 모든 인터페이스가 단일 라우팅 인스턴스에 속해야 합니다.
방화벽 필터를 루프백 인터페이스에 적용하면 인터페이스가 라우팅 엔진 목적지로 향하는 모든 패킷을 필터링합니다.
CLI 빠른 구성은 의 모든 디바이스 그림 1에 대한 구성을 보여줍니다. 단계별 절차 섹션은 디바이스 R1의 단계를 설명합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
디바이스 R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
디바이스 R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
인터페이스 그룹에서 무상태 방화벽 필터 구성 및 적용
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드에서 을(를) 참조하십시오구성 모드에서 CLI 편집기 사용.
인터페이스 그룹에서 스테이트리스 방화벽 필터 filter_if_group 를 구성하려면 다음을 수행합니다.
스테이트리스(stateless) 방화벽 필터
filter_if_group를 생성합니다.[edit firewall] user@R1# edit family inet filter filter_if_group
인터페이스를 구성하고 인터페이스 그룹에
1두 개의 인터페이스를 할당합니다.[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
인터페이스 그룹
1및 ICMP 프로토콜에서 수신된 패킷과 일치하도록 용어를term1구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
일치하는 모든 패킷을 카운트, 로그, 거부하기 위한 용어를
term1구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
패킷과 ICMP 프로토콜을 일치하도록 용어를
term2구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
일치하는 모든 패킷을 카운트, 로그 및 수락하도록 용어를
term2구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
모든 전송 패킷을 계산하도록 용어를
term3구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
방화벽 필터를 라우팅 인스턴스에 적용하여 라우터(또는 스위치) 인터페이스 그룹에 적용합니다.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
디바이스 구성이 완료되면 후보 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드에서, show firewall및 show forwarding-options 명령을 실행하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
확인
구성이 제대로 작동하는지 확인합니다.
인터페이스 구성 확인
목적
인터페이스가 제대로 구성되었는지 확인합니다.
실행
인터페이스의 상태를 표시하려면 작동 모드 명령을 사용합니다 show interfaces terse .
디바이스 R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0디바이스 R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...의미
디바이스 R0 및 R1의 모든 인터페이스는 물리적으로 연결되고 작동합니다. 디바이스 R1의 인터페이스 그룹은 1 두 개의 인터페이스(즉 ge-0/0/0.0 및 ge-0/0/2.0)로 구성됩니다.
스테이트리스 방화벽 필터 구성 확인
목적
방화벽 필터 일치 조건이 제대로 구성되었는지 확인합니다.
실행
방화벽 필터 카운터를 표시하려면 작동 모드 명령을 입력
show firewall filter filter_if_group합니다.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
방화벽 필터가 평가한 패킷에 대한 패킷 헤더의 로컬 로그를 표시하려면 운영 모드 명령을 입력합니다
show firewall log.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
방화벽 필터가 디바이스 R1의 인터페이스 그룹에서
1활성화되어 있는지 확인하려면 디바이스 R0의 CLI에서 운영 모드 명령을 사용합니다ping <address>.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
방화벽 필터가 인터페이스 그룹에
1없는 인터페이스에 적용되지 않도록 하려면 디바이스 R0의 CLI에서 운영 모드 명령을 사용합니다ping <address>.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
의미
스테이트리스 방화벽 필터는 인터페이스 그룹의 1모든 인터페이스에 적용됩니다. 스테이트리스 방화벽 필터의 용어 term1 일치 조건은 인터페이스 그룹 1 및 소스 ICMP 프로토콜의 인터페이스에서 수신되거나 전송된 패킷을 카운트, 로그 및 거부합니다. 일치 조건이라는 용어 term2 는 ICMP 프로토콜로 태그된 패킷과 일치하며 해당 패킷을 카운트, 로그 및 수락합니다. 일치 조건이라는 용어 term3 는 모든 전송 패킷을 계산합니다.