Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. 신뢰할 수 있는 소스의 트래픽을 허용하기 위한 스테이트리스 방화벽 필터 구성

다음 예제에서는 언트러스 소스에서 시작되는 트래픽으로부터 네트워크를 라우팅 엔진 스테이트리스 방화벽 필터를 만드는 방법을 보여줍니다.

요구 사항

스테이트리스 방화벽 필터를 구성하기 전에 장치 초기화를 넘어서는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 SSH 및 프로토콜 패킷이 지정된 소스에서 SSH 및 BGP(Border Gateway Protocol) 경우를 제외한 네트워크로 전달되는 모든 트래픽을 폐기하는 protect-라우팅 엔진 RE라는 stateless 방화벽 필터를 생성합니다. 이 예에서는 다음과 같은 방화벽 필터 용어를 포함합니다.

  • ssh-term—SSH를 지정하는 대상 포트와 소스 주소가 있는 192.168.122.0/24 TCP 패킷을 허용합니다.

  • bgp-term—소스 주소와 대상 포트가 지정되는 TCP 패킷을 10.2.1.0/24 BGP(Border Gateway Protocol).

  • discard-rest-term—허용되지 않는 모든 패킷에 대해 방화벽 필터 로그 및 시스템 로깅 레코드를 생성한 다음 모든 패킷을 ssh-termbgp-term 폐기합니다.

주:

이 명령어를 사용하여 방화벽 필터 내에서 용어를 이동할 수 insert 있습니다. 사용자 가이드의Junos OS CLI 참조하십시오.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 그 방법에 대한 지침은 Configuration 모드에서 CLI 편집기 사용Junos OS CLI.

스테이트리스 방화벽 필터를 구성하는 방법:

  1. 스테이트리스 방화벽 필터를 생성합니다.

  2. 첫 번째 필터 용어를 생성합니다.

  3. 용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.

  4. 용어에 대한 작업을 정의합니다.

  5. 두 번째 필터 용어를 생성합니다.

  6. 용어에 대한 프로토콜, 대상 포트 및 소스 주소 일치 조건을 정의합니다.

  7. 용어에 대한 작업을 정의합니다.

  8. 세 번째 필터 용어를 생성합니다.

  9. 용어에 대한 작업을 정의합니다.

  10. 필터를 인터페이스의 입력 측에 라우팅 엔진 적용합니다.

결과

구성 모드에서 명령 및 명령을 show firewallshow interfaces lo0 입력하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 올바르게 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

스테이트리스 방화벽 필터 구성 표시

목적

방화벽 필터 구성을 검증합니다.

실행

구성 모드에서 명령 및 show firewall 명령을 show interfaces lo0 입력합니다.

의미

출력이 방화벽 필터의 의도된 구성을 표시하는지 확인 또한, 패킷을 테스트하기를 원하는 순서로 용어가 나열되어 있는지 검증합니다. CLI 필터 내에서 용어를 이동할 insert CLI 있습니다.

서비스, 프로토콜 및 신뢰할 수 있는 소스 방화벽 필터 검증

목적

방화벽 필터 조건의 작업이 수행되는지 검증합니다.

실행

조건에 일치하는 패킷을 장비로 전송합니다. 또한 일치하지 않는 패킷에 대해 필터 작업이 수행되지 않는지 검증합니다.

  • 이 주소와 일치하는 IP 주소의 호스트에서 명령을 사용하여 이 주소 prefix가 있는 호스트의 SSH만 사용하여 장비에 로그인할 수 있는지 ssh host-name192.168.122.0/24 확인합니다.

  • 명령어를 사용하여 장비의 라우팅 테이블이 , 또는 를 포함하는 프로토콜이 있는 엔트리를 show route summaryDirectLocalBGP 포함하지 않는지 Static 확인합니다.

샘플 출력
명령 이름
명령 이름

의미

다음 정보를 검증합니다.

  • SSH를 사용하여 장치에 성공적으로 로그인할 수 있습니다.

  • 이 명령은 프로토콜, show route summaryDirect 또는 LocalBGP 표시하지 Static 않습니다.

스테이트리스 방화벽 필터 로그 표시

목적

패킷이 로깅되고 있는지 확인 용어에 해당 또는 조치가 포함되는 경우, 해당 용어와 일치하는 패킷이 방화벽 로그 또는 시스템 로깅 시설에 기록되어 있는지 logsyslog 검증합니다.

실행

작동 모드에서 명령어를 show firewall log 입력합니다.

샘플 출력
명령 이름

의미

출력의 각 레코드에는 로깅된 패킷에 대한 정보가 포함되어 있습니다. 다음 정보를 검증합니다.

  • 에서 Time 패킷이 필터링된 시간(day of day)이 표시되어 있습니다.

  • 출력은 Filter 항상 pfe 입니다.

  • 에 있는 용어의 구성된 조치는 패킷에서 취한 ActionA 조치(수락), D (폐기), R (거부) 조치와 일치합니다.

  • 에서, 패킷이 도착한 인바운드(ingress) 인터페이스가 필터에 Interface 적합한 것입니다.

  • 에서 패킷의 IP 헤더의 프로토콜은 필터에 Protocol 적합한 것입니다.

  • 에서 패킷의 IP 헤더의 소스 주소는 필터에 Src Addr 적합한 것입니다.

  • 에서 패킷의 IP 헤더의 대상 주소는 필터에 Dest Addr 적합한 것입니다.