Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예: TFTP 액세스를 차단하는 필터 구성

요구 사항

이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.

개요

기본적으로 Junos OS는 서비스 거부(DoS) 공격에 대한 취약성을 줄이기 위해 소스 주소가 0.0.0.0이고 대상 주소가 255.255.255.255인 DHCP(Dynamic Host Configuration Protocol) 또는 BOOTP(Bootstrap Protocol) 패킷을 필터링하고 폐기합니다. 이 기본 필터를 유니캐스트 RPF 검사라고 합니다. 그러나 일부 공급업체의 장비는 이러한 패킷을 자동으로 수락합니다.

토폴로지

다른 벤더의 장비와 상호 운용하기 위해 이러한 두 주소를 모두 확인하고 이러한 패킷을 수락하여 기본 RPF-check 필터를 재정의하는 필터를 구성할 수 있습니다. 이 예에서는 TFTP(Trivial File Transfer Protocol) 액세스를 차단하여 TFTP 연결 설정 시도를 기록합니다.

구성

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.

이 예를 구성하려면 다음 작업을 수행합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 .[edit]

무상태 방화벽 필터 구성

단계별 절차

TFTP 액세스를 선택적으로 차단하는 무상태 방화벽 필터를 구성하려면:

  1. 무상태 방화벽 필터를 생성합니다.tftp_access_control

  2. UDP 포트 69에서 수신된 패킷에 일치 항목을 지정합니다.

  3. 일치하는 패킷이 패킷 전달 엔진의 버퍼에 기록된 다음 삭제되도록 지정합니다.

루프백 인터페이스에 방화벽 필터 적용

단계별 절차

루프백 인터페이스에 방화벽 필터를 적용하려면 다음을 수행합니다.

후보 구성 확인 및 커밋

단계별 절차

후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.

  1. 구성 모드 명령을 입력하여 무상태 방화벽 필터의 구성을 확인합니다.show firewall 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.

  2. 구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.show interfaces 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.

  3. 디바이스 구성을 완료하면 후보 구성을 커밋합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

기록 및 폐기된 패킷 확인

목적

방화벽 필터 용어의 작업이 수행되었는지 확인합니다.

작업

발신

  1. 라우터 또는 스위치에서 방화벽 로그를 삭제합니다.

  2. 다른 호스트에서 이 라우터 또는 스위치의 UDP 포트 로 패킷을 보냅니다.69

관련 항목