Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. 신뢰할 수 있는 소스에서 트래픽을 허용하도록 스테이트리스 방화벽 필터 구성

이 예에서는 신뢰할 수 없는 소스에서 발생한 트래픽으로부터 라우팅 엔진을 보호하는 스테이트리스 방화벽 필터를 만드는 방법을 보여줍니다.

요구 사항

스테이트리스 방화벽 필터를 구성하기 전에 장치 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 SSH 및 BGP 프로토콜 패킷을 제외하고 라우팅 엔진으로 향하는 모든 트래픽을 지정된 신뢰할 수 있는 소스에서 폐기하는 protect-RE라는 스테이트리스 방화벽 필터를 생성합니다. 이 예에서는 다음과 같은 방화벽 필터 용어를 포함합니다.

  • ssh-term—소스 주소 192.168.122.0/24 와 SSH를 지정하는 대상 포트가 있는 TCP 패킷을 허용합니다.

  • bgp-term—소스 주소 10.2.1.0/24 와 BGP를 지정하는 대상 포트가 있는 TCP 패킷을 허용합니다.

  • discard-rest-term—허용 ssh-termbgp-term되지 않거나 방화벽 필터 로그 및 시스템 로깅 레코드를 생성하는 모든 패킷의 경우 모든 패킷을 폐기합니다.

주:

명령을 사용하여 insert 방화벽 필터 내에서 용어를 이동할 수 있습니다. Junos OS CLI 사용자 가이드에서 삽입을 참조하십시오.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경한 다음, 명령을 복사하여 계층적 수준에서 CLI [edit] 에 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 Junos OS CLI 사용자 가이드에서 확인하십시오구성 모드에서 CLI 편집기 사용.

스테이트리스 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. 스테이트리스 방화벽 필터를 만듭니다.

  2. 첫 번째 필터 용어를 만듭니다.

  3. 용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.

  4. 용어에 대한 작업을 정의합니다.

  5. 두 번째 필터 용어를 만듭니다.

  6. 용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.

  7. 용어에 대한 작업을 정의합니다.

  8. 세 번째 필터 용어를 만듭니다.

  9. 용어에 대한 작업을 정의합니다.

  10. 라우팅 엔진 인터페이스의 입력 측에 필터를 적용합니다.

결과

구성 모드에서 명령과 명령을 입력 show firewall 하여 구성을 show interfaces lo0 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성을 완료한 경우 구성 모드에서 입력 commit 합니다.

확인

구성이 올바르게 작동하는지 확인하려면 다음 작업을 수행합니다.

스테이트리스 방화벽 필터 구성 표시

목적

방화벽 필터의 구성을 확인합니다.

실행

구성 모드에서 명령과 명령을 입력 show firewall 합니다 show interfaces lo0 .

의미

출력이 방화벽 필터의 의도된 구성을 표시하는지 확인합니다. 또한, 테스트할 패킷 순서대로 용어가 나열되어 있는지 확인합니다. CLI 명령을 사용하여 insert 방화벽 필터 내에서 용어를 이동할 수 있습니다.

서비스, 프로토콜 및 신뢰할 수 있는 소스 방화벽 필터 검증

목적

방화벽 필터 조건의 작업이 수행되었는지 확인합니다.

실행

조건에 맞는 패킷을 장비로 보냅니다. 또한 일치하지 않는 패킷에 대해 필터 작업이 수행되는지 not 확인합니다.

  • ssh host-name 일치하는 192.168.122.0/24 IP 주소의 호스트 명령을 사용하여 이 주소 접두사를 가진 호스트의 SSH만 사용하여 장비에 로그인할 수 있는지 확인합니다.

  • show route summary 명령을 사용하여 디바이스의 라우팅 테이블이 , LocalBGP또는 Static를 제외한 Direct프로토콜에 대한 항목이 없는지 확인합니다.

샘플 출력
명령어 이름
명령어 이름

의미

다음 정보를 확인합니다.

  • SSH를 사용하여 디바이스에 성공적으로 로그인할 수 있습니다.

  • show route summary 명령은 , 또는 Static. LocalBGP이외의 Direct프로토콜을 표시하지 않습니다.

스테이트리스 방화벽 필터 로그 표시

목적

패킷이 로깅되고 있는지 확인합니다. 용어에 log 해당 또는 syslog 조치를 포함하는 경우 용어와 일치하는 패킷이 방화벽 로그 또는 시스템 로깅 시설에 기록되는지 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show firewall log .

샘플 출력
명령어 이름

의미

출력의 각 레코드는 로깅된 패킷에 대한 정보를 포함합니다. 다음 정보를 확인합니다.

  • 아래에 Time패킷이 필터링된 하루 중 시간이 표시됩니다.

  • 출력은 Filter 항상 pfe.

  • 에서 Action용어의 구성된 조치는 패킷에서 취한 조치와 일치합니다A(허용), (폐기), DR (거부).

  • 에서 Interface패킷이 도착하는 인바운드(ingress) 인터페이스가 필터에 적합합니다.

  • 에서 Protocol패킷의 IP 헤더에 있는 프로토콜이 필터에 적합합니다.

  • 에서 Src Addr패킷의 IP 헤더의 소스 주소는 필터에 적합합니다.

  • 에서 Dest Addr패킷의 IP 헤더에 있는 대상 주소는 필터에 적합합니다.