Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. 신뢰할 수 있는 소스에서 트래픽을 수락하도록 스테이트리스 방화벽 필터 구성

이 예는 신뢰할 수 없는 소스에서 발생하는 트래픽으로부터 라우팅 엔진 보호하는 무상태 방화벽 필터를 생성하는 방법을 보여줍니다.

요구 사항

스테이트리스(stateless) 방화벽 필터를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 특정 신뢰할 수 있는 소스에서 SSH 및 BGP 프로토콜 패킷을 제외한 라우팅 엔진 목적지인 모든 트래픽을 삭제하는 protect-RE라는 무상태 방화벽 필터를 생성합니다. 이 예에는 다음과 같은 방화벽 필터 용어가 포함됩니다.

  • ssh-term—의 소스 주소와 SSH를 지정하는 대상 포트가 192.168.122.0/24 있는 TCP 패킷을 허용합니다.

  • bgp-term—의 소스 주소와 BGP를 지정하는 대상 포트가 10.2.1.0/24 있는 TCP 패킷을 허용합니다.

  • discard-rest-term-또는 bgp-term에서 수락 ssh-term 하지 않는 모든 패킷의 경우, 방화벽 필터 로그 및 시스템 로깅 레코드를 생성한 다음 모든 패킷을 삭제합니다.

주:

명령을 사용하여 insert 방화벽 필터 내에서 용어를 이동할 수 있습니다. Junos OS CLI 사용자 가이드삽입을 참조하십시오.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 Junos OS CLI 사용자 가이드에서 을(를) 참조하십시오구성 모드에서 CLI 편집기 사용.

스테이트리스(stateless) 방화벽 필터 구성 방법:

  1. 스테이트리스 방화벽 필터를 생성합니다.

  2. 첫 번째 필터 용어를 만듭니다.

  3. 용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.

  4. 용어에 대한 작업을 정의합니다.

  5. 두 번째 필터 용어를 만듭니다.

  6. 용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.

  7. 용어에 대한 작업을 정의합니다.

  8. 세 번째 필터 용어를 만듭니다.

  9. 용어에 대한 작업을 정의합니다.

  10. 필터를 라우팅 엔진 인터페이스의 입력 측면에 적용합니다.

결과

구성 모드에서 명령과 명령을 입력 show firewall 하여 구성을 show interfaces lo0 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.

스테이트리스 방화벽 필터 구성 표시

목적

방화벽 필터의 구성을 확인합니다.

실행

구성 모드에서 명령과 명령을 입력 show firewall 합니다 show interfaces lo0 .

의미

출력에 방화벽 필터의 의도된 구성이 표시되는지 확인합니다. 또한 패킷을 테스트할 순서대로 용어가 나열되어 있는지 확인합니다. CLI 명령을 사용하여 insert 방화벽 필터 내에서 용어를 이동할 수 있습니다.

서비스, 프로토콜 및 신뢰할 수 있는 소스 방화벽 필터 확인

목적

방화벽 필터 용어의 작업이 수행되는지 확인합니다.

실행

용어와 일치하는 디바이스로 패킷을 보냅니다. 또한 일치하지 않는 패킷에 대해 필터 작업이 수행되는지 not 확인합니다.

  • ssh host-name 일치하는 192.168.122.0/24 IP 주소의 호스트에서 명령을 사용하여 이 주소 접두사를 가진 호스트에서 SSH만 사용하여 디바이스에 로그인할 수 있는지 확인합니다.

  • show route summary 명령을 사용하여 디바이스의 라우팅 테이블 , , LocalBGP또는 Static이외의 프로토콜Direct을 가진 항목을 포함하지 않는지 확인합니다.

샘플 출력
명령명
명령명

의미

다음 정보를 확인합니다.

  • SSH를 사용하여 디바이스에 성공적으로 로그인할 수 있습니다.

  • show route summary 명령은 , , LocalBGPStatic또는 이외의 Direct프로토콜을 표시하지 않습니다.

스테이트리스(Stateless) 방화벽 필터 로그 표시

목적

패킷이 기록되고 있는지 확인합니다. 용어에 log 또는 syslog 작업을 포함하면 용어와 일치하는 패킷이 방화벽 로그 또는 시스템 로깅 시설에 기록되는지 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show firewall log .

샘플 출력
명령명

의미

출력의 각 기록에는 기록된 패킷에 대한 정보가 포함됩니다. 다음 정보를 확인합니다.

  • 에서 Time패킷이 필터링된 하루 중 시간이 표시됩니다.

  • 출력은 Filter 항상 pfe입니다.

  • 에서 Action용어의 구성된 행동은 패킷에서 수행된 작업과 일치합니다.A (수락), (폐기), DR (거부).

  • 에서 Interface패킷이 도착한 인바운드(수신) 인터페이스는 필터에 적합합니다.

  • 에서 Protocol패킷 IP 헤더의 프로토콜이 필터에 적합합니다.

  • 에서 Src Addr패킷 IP 헤더의 소스 주소가 필터에 적합합니다.

  • 에서 Dest Addr패킷의 IP 헤더의 대상 주소가 필터에 적합합니다.