예: 인터페이스 그룹에서 상태 비저장 방화벽 필터 구성
방화벽 필터는 네트워크를 보호하고 네트워크 관리를 간소화하는 데 필수적입니다. Junos OS에서는 시스템을 통한 데이터 패킷 전송을 제어하고 필요에 따라 패킷을 조작하기 위해 무상태 방화벽 필터를 구성할 수 있습니다. 인터페이스 그룹에 스테이트리스 방화벽 필터를 적용하면 인터페이스 그룹의 각 인터페이스를 통해 전송되는 패킷을 필터링하는 데 도움이 됩니다. 이 예에서는 특정 인터페이스 그룹에 대해 태그가 지정된 패킷과 일치하도록 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
라우팅 인스턴스에 속한 인터페이스를 통해 물리적 또는 논리적으로 서로 연결된 두 개의 주니퍼 네트웍스 라우터 또는 스위치
Junos OS 릴리스 7.4 이상
개요
인터페이스 그룹에 스테이트리스 방화벽 필터를 적용하여 인터페이스 그룹의 모든 인터페이스에 적용할 수 있습니다. 이를 통해 다양한 인터페이스에서 패킷 필터링을 동시에 관리할 수 있습니다.
이 예에서는 인터페이스 그룹에 속하도록 두 개의 라우터 또는 스위치 인터페이스를 구성합니다. 또한 세 가지 용어로 무상태 방화벽 필터를 구성합니다. 용어 term1
로, 필터는 해당 인터페이스 그룹에서 수신된 것으로 태그가 지정되고 ICMP 프로토콜 태그를 포함하는 패킷을 일치시킵니다. 필터는 조건과 일치하는 패킷을 카운트하고, 기록하고, 거부합니다. 용어 term2
로 필터는 ICMP 프로토콜 태그를 포함하는 패킷과 일치합니다. 필터는 조건과 일치하는 모든 패킷을 카운트하고, 기록하고, 수락합니다. 용어 term3
로 필터는 모든 전송 패킷을 계산합니다.
방화벽 필터를 라우팅 인스턴스에 적용하면 인터페이스 그룹의 모든 인터페이스에 필터링 메커니즘을 동시에 적용할 수 있습니다. 이를 위해서는 인터페이스 그룹의 모든 인터페이스가 단일 라우팅 인스턴스에 속해야 합니다.
루프백 인터페이스에 방화벽 필터를 적용하면 인터페이스는 라우팅 엔진으로 향하는 모든 패킷을 필터링합니다.
CLI Quick Configuration(빠른 컨피그레이션)은 의 그림 1모든 디바이스에 대한 컨피그레이션을 보여줍니다. 단계별 절차 섹션에서는 디바이스 R1의 단계를 설명합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]
계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit
을(를) 입력합니다.
디바이스 R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
디바이스 R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
인터페이스 그룹에서 상태 비저장 방화벽 필터 구성 및 적용
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 을(를) 참조하십시오구성 모드에서 CLI 편집기 사용.
인터페이스 그룹에서 무상태 방화벽 필터를 filter_if_group
구성하려면 다음을 수행합니다.
무상태 방화벽 필터를
filter_if_group
생성합니다.[edit firewall] user@R1# edit family inet filter filter_if_group
인터페이스를 구성하고 인터페이스 그룹
1
에 두 개의 인터페이스를 할당합니다.[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
인터페이스 그룹
1
및 ICMP 프로토콜에서 수신된 패킷을 일치시키도록 용어term1
를 구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
일치하는 모든 패킷을 카운트, 로그 및 거부하도록 용어
term1
를 구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
ICMP 프로토콜과 패킷을 일치시키도록 용어
term2
를 구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
일치하는 모든 패킷을 카운트, 로그 및 수락하도록 용어
term2
를 구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
모든 전송 패킷을 계산하도록 용어
term3
를 구성합니다.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
방화벽 필터를 라우팅 인스턴스에 적용하여 라우터(또는 스위치)의 인터페이스 그룹에 적용합니다.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드에서 , show firewall
및 show forwarding-options
명령을 실행하여 show interfaces
구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit] user@R1# show interfaces ge-0/0/0 { unit 0 { family inet { filter { group 1; } address 172.16.17.2/30; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.19.2/30; } } } ge-0/0/2 { unit 0 { family inet { filter { group 1; } address 20.1.1.2/30; } } } lo0 { unit 0 { family inet { address 20.0.0.1/32; } } }
[edit] user@R1# show firewall family inet { filter filter_if_group { term term1 { from { interface-group 1; protocol icmp; } then { count if_group_counter1; log; reject; } } term term2 { from { protocol icmp; } then { count if_group_counter2; log; accept; } } term term3 { then count default; } } }
[edit] user@R1# show forwarding-options family inet { filter { input filter_if_group; } }
검증
구성이 올바르게 작동하고 있는지 확인합니다.
인터페이스 구성 확인
목적
인터페이스가 올바르게 구성되었는지 확인합니다.
작업
인터페이스의 상태를 표시하려면 작동 모드 명령을 show interfaces terse
사용합니다.
디바이스 R0
user@R0> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.1/30 multiservice ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.1/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.1/30 multiservice lo0 up up lo0.0 up up inet 10.0.0.1 --> 0/0
디바이스 R1
user@R1> show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/0.0 up up inet 172.16.17.2/30 multiservice ... ge-0/0/1 up up ge-0/0/1.0 up up inet 172.16.19.2/30 multiservice ge-0/0/2 up up ge-0/0/2.0 up up inet 20.1.1.2/30 multiservice ...
의미
디바이스 R0 및 R1의 모든 인터페이스는 물리적으로 연결되어 있으며 작동 중입니다. 디바이스 R1의 인터페이스 그룹은 1
ge-0/0/0.0 및 ge-0/0/2.0의 두 인터페이스로 구성됩니다.
무상태 방화벽 필터 구성 확인
목적
방화벽 필터 일치 조건이 올바르게 구성되었는지 확인합니다.
작업
방화벽 필터 카운터를 표시하려면 작동 모드 명령을
show firewall filter filter_if_group
입력합니다.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
방화벽 필터에 의해 평가된 패킷에 대한 패킷 헤더의 로컬 로그를 표시하려면 운영 모드 명령을
show firewall log
입력합니다.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
방화벽 필터가 디바이스 R1의 인터페이스 그룹에서
1
활성화되도록 하려면 디바이스 R0의ping <address>
CLI에서 운영 모드 명령을 사용합니다.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
방화벽 필터가 인터페이스 그룹에
1
없는 인터페이스에 적용되지 않도록 하려면 디바이스 R0의 CLI에서 운영 모드 명령을 사용합니다ping <address>
.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
의미
무상태 방화벽 필터는 인터페이스 그룹 1
내의 모든 인터페이스에 적용됩니다. 상태 비저장 방화벽 필터의 용어 term1
일치 조건은 인터페이스 그룹 1
및 소스 ICMP 프로토콜의 인터페이스에서 수신되거나 전송되는 패킷을 카운트, 로그 및 거부합니다. 용어 term2
일치 조건은 ICMP 프로토콜로 태그가 지정된 패킷을 일치시키고 해당 패킷을 카운트, 로그 및 수락합니다. 용어 term3
일치 조건은 모든 전송 패킷을 계산합니다.