Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. TFTP 액세스를 차단하기 위한 필터 구성

요구 사항

이 예제를 구성하기 전에 디바이스 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

기본적으로 DoS(Denial-of-Service) 공격에 대한 취약점을 줄이기 위해 Junos OS는 소스 주소가 0.0.0.0이고 대상 주소가 255.255.255.255인 DHCP(Dynamic Host Configuration Protocol) 또는 BOOTP(Bootstrap Protocol) 패킷을 필터링하고 폐기합니다. 이 기본 필터는 유니캐스트 RPF 검사라고합니다. 그러나 일부 벤더의 장비는 자동으로 이러한 패킷을 허용합니다.

토폴로지

다른 벤더의 장비와 상호 운영하려면 이들 두 주소를 모두 검사하는 필터를 구성하고 이러한 패킷을 수락하여 기본 RPF 체크 필터를 무시할 수 있습니다. 이 예에서는 TFTP(Trivial File Transfer Protocol) 액세스를 차단하여 TFTP 연결 설정 시도를 기록합니다.

구성

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 를 참조하십시오 구성 모드에서 CLI 편집기 사용.

이 예제를 구성하려면 다음 작업을 수행합니다.

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 구성 명령을 텍스트 파일로 복사하여 줄 바꿈을 제거한 다음 계층 수준에서 CLI [edit] 에 명령을 붙여 넣습니다.

스테이트리스 방화벽 필터 구성

단계별 절차

TFTP 액세스를 선택적으로 차단하는 스테이트리스 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. 스테이트리스 방화벽 필터 tftp_access_control를 만듭니다.

  2. UDP 포트 69에서 수신된 패킷에 대한 일치를 지정합니다.

  3. 일치하는 패킷을 패킷 포워딩 엔진의 버퍼에 로깅한 다음 폐기할 것을 지정합니다.

방화벽 필터를 루프백 인터페이스에 적용

단계별 절차

방화벽 필터를 루프백 인터페이스에 적용하려면 다음을 수행합니다.

지원자 구성 확인 및 커밋

단계별 절차

지원자 구성을 확인하고 커밋하려면 다음을 수행합니다.

  1. 구성 모드 명령을 입력하여 스테이트리스 방화벽 필터의 구성을 show firewall 확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

  2. 구성 모드 명령을 입력하여 인터페이스의 구성을 show interfaces 확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

  3. 디바이스 구성을 완료한 경우 지원자 구성을 커밋합니다.

확인

구성이 올바르게 작동 중인지 확인합니다.

로깅 및 폐기된 패킷 검증

목적

방화벽 필터 조건의 작업이 수행되었는지 확인합니다.

실행

발신

  1. 라우터 또는 스위치에서 방화벽 로그를 지우십시오.

  2. 다른 호스트에서 이 라우터 또는 스위치에서 UDP 포트 69 로 패킷을 보냅니다.