예: ICMP 플러드로부터 논리적 시스템을 보호하기 위한 무상태 방화벽 필터 구성
이 예는 논리적 시스템에서 ICMP 서비스 거부 공격으로부터 보호하는 상태 비저장 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서는 디바이스 초기화를 제외한 특별한 구성이 필요하지 않습니다.
개요
이 예에서는 ICMP 패킷에 정책을 적용하는 protect-RE라는 상태 비저장 방화벽 필터를 보여줍니다. ICMP 패킷의 트래픽 속도를 1,000,000bps로 제한하고 버스트 크기를 15,000바이트로 제한합니다.icmp-policer 트래픽 속도를 초과하는 패킷은 폐기됩니다.
폴리서는 라는 필터 용어의 동작에 통합됩니다.icmp-term
이 예에서는 직접 연결된 물리적 라우터에서 논리적 시스템에 구성된 인터페이스로 ping이 전송됩니다. 논리적 시스템은 ICMP 패킷이 최대 1Mbps(대역폭 제한)의 속도로 수신되는 경우 이를 수락합니다. 논리적 시스템은 이 속도를 초과할 때 모든 ICMP 패킷을 삭제합니다. 문은 최대 15Kbps의 트래픽 버스트를 허용합니다.burst-size-limit 버스트가 이 한도를 초과하면 모든 패킷이 삭제됩니다. 플로우 속도가 가라앉으면 ICMP 패킷이 다시 수락됩니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.구성 모드에서 CLI 편집기 사용https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
논리적 시스템에서 ICMP 방화벽 필터를 구성하려면:
논리적 시스템에서 인터페이스를 구성합니다.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
인터페이스에서 수신할 ICMP 패킷을 명시적으로 활성화합니다.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
폴리서를 생성합니다.
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
필터 용어에 폴리서를 적용합니다.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
논리적 시스템 인터페이스에 폴리서를 적용합니다.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
결과
명령을 실행하여 구성을 확인합니다.show logical-systems LS1
user@host# show logical-systems LS1
interfaces {
so-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
검증
구성이 올바르게 작동하고 있는지 확인합니다.
한도를 초과하지 않는 한 ping이 작동하는지 확인
목적
논리적 시스템 인터페이스가 ICMP 기반 DoS 공격으로부터 보호되는지 확인합니다.
작업
논리적 시스템에 연결된 시스템에 로그인하고 명령을 실행합니다 .ping
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
의미
일반 ping을 보내면 패킷이 수락됩니다. 필터 제한을 초과하는 ping 패킷을 보내면 패킷이 삭제됩니다.