예: 인터페이스 그룹에서 상태 비저장 방화벽 필터 구성
방화벽 필터는 네트워크를 보호하고 네트워크 관리를 간소화하는 데 필수적입니다. Junos OS에서는 시스템을 통한 데이터 패킷 전송을 제어하고 필요에 따라 패킷을 조작하기 위해 무상태 방화벽 필터를 구성할 수 있습니다. 인터페이스 그룹에 스테이트리스 방화벽 필터를 적용하면 인터페이스 그룹의 각 인터페이스를 통해 전송되는 패킷을 필터링하는 데 도움이 됩니다. 이 예에서는 특정 인터페이스 그룹에 대해 태그가 지정된 패킷과 일치하도록 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
라우팅 인스턴스에 속한 인터페이스를 통해 물리적 또는 논리적으로 서로 연결된 두 개의 주니퍼 네트웍스 라우터 또는 스위치
Junos OS 릴리스 7.4 이상
개요
인터페이스 그룹에 스테이트리스 방화벽 필터를 적용하여 인터페이스 그룹의 모든 인터페이스에 적용할 수 있습니다. 이를 통해 다양한 인터페이스에서 패킷 필터링을 동시에 관리할 수 있습니다.
이 예에서는 인터페이스 그룹에 속하도록 두 개의 라우터 또는 스위치 인터페이스를 구성합니다. 또한 세 가지 용어로 무상태 방화벽 필터를 구성합니다. 용어 로, 필터는 해당 인터페이스 그룹에서 term1수신된 것으로 태그가 지정되고 ICMP 프로토콜 태그를 포함하는 패킷을 일치시킵니다. 필터는 조건과 일치하는 패킷을 카운트하고, 기록하고, 거부합니다. 용어 로 필터는 ICMP 프로토콜 태그를 포함하는 패킷과 일치합니다.term2 필터는 조건과 일치하는 모든 패킷을 카운트하고, 기록하고, 수락합니다. 용어 로 필터는 모든 전송 패킷을 계산합니다.term3
방화벽 필터를 라우팅 인스턴스에 적용하면 인터페이스 그룹의 모든 인터페이스에 필터링 메커니즘을 동시에 적용할 수 있습니다. 이를 위해서는 인터페이스 그룹의 모든 인터페이스가 단일 라우팅 인스턴스에 속해야 합니다.
루프백 인터페이스에 방화벽 필터를 적용하면 인터페이스는 라우팅 엔진으로 향하는 모든 패킷을 필터링합니다.
CLI Quick Configuration(빠른 컨피그레이션)은 의 모든 디바이스에 대한 컨피그레이션을 보여줍니다.그림 1 단계별 절차 섹션에서는 디바이스 R1의 단계를 설명합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
디바이스 R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
디바이스 R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
인터페이스 그룹에서 상태 비저장 방화벽 필터 구성 및 적용
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 을(를) 참조하십시오.구성 모드에서 CLI 편집기 사용https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
인터페이스 그룹에서 무상태 방화벽 필터를 구성하려면 다음을 수행합니다.filter_if_group
무상태 방화벽 필터를 생성합니다.
filter_if_group[edit firewall] user@R1# edit family inet filter filter_if_group
인터페이스를 구성하고 인터페이스 그룹 에 두 개의 인터페이스를 할당합니다.
1[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
인터페이스 그룹 및 ICMP 프로토콜에서 수신된 패킷을 일치시키도록 용어 를 구성합니다.
term11[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
일치하는 모든 패킷을 카운트, 로그 및 거부하도록 용어 를 구성합니다.
term1[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
ICMP 프로토콜과 패킷을 일치시키도록 용어 를 구성합니다.
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
일치하는 모든 패킷을 카운트, 로그 및 수락하도록 용어 를 구성합니다.
term2[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
모든 전송 패킷을 계산하도록 용어 를 구성합니다.
term3[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
방화벽 필터를 라우팅 인스턴스에 적용하여 라우터(또는 스위치)의 인터페이스 그룹에 적용합니다.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드에서 , 및 명령을 실행하여 구성을 확인합니다.show interfacesshow firewallshow forwarding-options 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
검증
구성이 올바르게 작동하고 있는지 확인합니다.
인터페이스 구성 확인
목적
인터페이스가 올바르게 구성되었는지 확인합니다.
작업
인터페이스의 상태를 표시하려면 작동 모드 명령을 사용합니다.show interfaces terse
디바이스 R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0디바이스 R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...의미
디바이스 R0 및 R1의 모든 인터페이스는 물리적으로 연결되어 있으며 작동 중입니다. 디바이스 R1의 인터페이스 그룹은 ge-0/0/0.0 및 ge-0/0/2.0의 두 인터페이스로 구성됩니다.1
무상태 방화벽 필터 구성 확인
목적
방화벽 필터 일치 조건이 올바르게 구성되었는지 확인합니다.
작업
방화벽 필터 카운터를 표시하려면 작동 모드 명령을 입력합니다.
show firewall filter filter_if_groupuser@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
방화벽 필터에 의해 평가된 패킷에 대한 패킷 헤더의 로컬 로그를 표시하려면 운영 모드 명령을 입력합니다.
show firewall loguser@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
방화벽 필터가 디바이스 R1의 인터페이스 그룹에서 활성화되도록 하려면 디바이스 R0의 CLI에서 운영 모드 명령을 사용합니다.
1ping <address>user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
방화벽 필터가 인터페이스 그룹에 없는 인터페이스에 적용되지 않도록 하려면 디바이스 R0의 CLI에서 운영 모드 명령을 사용합니다 .
1ping <address>user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
의미
무상태 방화벽 필터는 인터페이스 그룹 내의 모든 인터페이스에 적용됩니다.1 상태 비저장 방화벽 필터의 용어 일치 조건은 인터페이스 그룹 및 소스 ICMP 프로토콜의 인터페이스에서 수신되거나 전송되는 패킷을 카운트, 로그 및 거부합니다.term11 용어 일치 조건은 ICMP 프로토콜로 태그가 지정된 패킷을 일치시키고 해당 패킷을 카운트, 로그 및 수락합니다.term2 용어 일치 조건은 모든 전송 패킷을 계산합니다.term3