Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. TCP 및 ICMP 플러드로부터 보호하기 위한 스테이트리스 방화벽 필터 구성

이 예는 TCP 및 ICMP 서비스 거부 공격으로부터 보호하는 무상태 방화벽 필터를 만드는 방법을 보여줍니다.

요구 사항

스테이트리스(stateless) 방화벽 필터를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 TCP 및 ICMP 패킷을 감시하도록 불리는 protect-RE 무상태 방화벽 필터를 만듭니다. 여기에 설명된 폴리서를 사용합니다.

  • tcp-connection-policer-이 폴리서에서는 TCP 트래픽을 최대 버스트 크기가 15,000바이트인 초당 1,000,000비트로 제한합니다. 어느 한도를 초과하는 트래픽은 폐기됩니다.

  • icmp-policer-이 폴리서에서는 최대 버스트 크기가 15,000바이트인 1,000,000bpps로 ICMP 트래픽을 제한합니다. 어느 한도를 초과하는 트래픽은 폐기됩니다.

제한을 지정할 때 대역폭 제한은 32,000bpps에서 32,000,000,000bpps까지일 수 있으며 버스트 크기 제한은 1,500바이트에서 100,000,000바이트까지입니다. 제한을 지정할 때 다음 약어를 사용합니다. k(1,000), m(1,000,000) 및 g(1,000,000,000).

각 폴리서가 필터 용어의 동작에 통합됩니다. 이 예에는 다음 용어가 포함됩니다.

  • tcp-connection-term—소스 주소가 192.168.0.0/24 또는 10.0.0.0/24인 특정 TCP 패킷을 감시합니다. 이러한 주소는 접두사 trusted-addresses 목록에 정의되어 있습니다.

    필터링된 패킷에는 패킷이 tcp-established 포함 tcp-established 되며, 일치 조건은 비트 필드 일치 조건에 tcp-flags “(ack | rst)”대한 별칭이며, 이는 TCP 연결의 첫 번째 패킷이 아니라 설정된 TCP 세션을 나타냅니다.

  • icmp-term-ICMP 패킷을 정책. 모든 ICMP 패킷은 카운터에서 icmp-counter 계산됩니다.

주:

명령을 사용하여 insert 방화벽 필터 내에서 용어를 이동할 수 있습니다. Junos OS CLI 사용자 가이드삽입을 참조하십시오.

무상태 방화벽을 인터페이스의 입력 또는 출력 측면 또는 둘 다에 적용할 수 있습니다. 디바이스로 전송되는 패킷을 필터링하려면 방화벽 필터를 라우팅 엔진 아닌 인터페이스에 적용합니다. 라우팅 엔진 시작되거나 목적지로 향하는 패킷을 필터링하려면 방화벽 필터를 루프백(lo0) 인터페이스에 적용합니다.

그림 1 은 샘플 네트워크를 보여줍니다.

그림 1: TCP 및 ICMP 플러드로부터 보호하기 위한 방화벽 필터TCP 및 ICMP 플러드로부터 보호하기 위한 방화벽 필터

이 방화벽 필터는 라우팅 엔진 트래픽을 TCP 패킷으로 제한하기 때문에 레이어 4용 다른 전송 프로토콜을 사용하는 라우팅 프로토콜은 이 필터가 활성화될 때 세션을 성공적으로 설정할 수 없습니다. 이 예는 디바이스 R1과 디바이스 R2 사이에 OSPF를 설정합니다.

CLI 빠른 구성 은(는) 의 모든 디바이스 그림 1에 대한 구성을 보여줍니다.

섹션 #configuration1102__policy-firewall-tcp-icmp-st 은 디바이스 R2의 단계를 설명합니다.

구성

절차

CLI 빠른 구성

스테이트리스(stateless) 방화벽 필터를 빠르게 구성하려면 다음 명령을 텍스트 파일로 복사하여 모든 라인브러브를 제거한 다음 명령을 CLI에 붙여 넣습니다.

디바이스 R1

디바이스 R2

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 을(를) 참조하십시오 구성 모드에서 CLI 편집기 사용.

삭제할 스테이트리스 방화벽 필터 구성 방법:

  1. 디바이스 인터페이스를 구성합니다.

  2. BGP 피어링 세션을 구성합니다.

  3. AS(Autonomous System) 번호와 라우터 ID를 구성합니다.

  4. OSPF를 구성합니다.

  5. 신뢰할 수 있는 주소 목록을 정의합니다.

  6. 직접 경로를 보급하는 정책을 구성합니다.

  7. TCP 폴리서 구성합니다.

  8. ICMP 폴리서 를 생성합니다.

  9. TCP 필터 규칙을 구성합니다.

  10. ICMP 필터 규칙을 구성합니다.

  11. 필터를 루프백 인터페이스에 적용합니다.

결과

구성 모드에서 , , show protocols show policy-options, show routing-optionsshow firewall 명령을 입력show interfaces하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

주:

TCP 폴리서 확인을 위해 패킷 생성 도구를 사용할 수 있습니다. 이 작업은 여기에 표시되지 않습니다.

현재 상태 비저기 방화벽 필터 표시

목적

방화벽 필터의 구성을 확인합니다.

실행

운영 모드에서 명령을 입력합니다 show firewall .

의미

출력에는 디바이스 R2에 적용되는 필터, 카운터 및 폴리서가 표시됩니다.

텔넷을 사용하여 TCP 방화벽 필터에서 tcp 설정 조건 확인

목적

텔넷 트래픽이 예상대로 작동하는지 확인합니다.

실행

디바이스가 조건을 충족 from tcp-established 하는 호스트와의 TCP 세션만 설정할 수 있는지 확인합니다.

  1. 디바이스 R2에서 디바이스 R1과의 BGP 세션이 설정되었는지 확인합니다.

  2. 디바이스 R2에서 디바이스 R1로 텔넷.

  3. 디바이스 R1에서 디바이스 R2로 텔넷.

  4. 디바이스 R2에서 일치 조건을 비활성화합니다 from tcp-established .

  5. 디바이스 R1에서 텔넷에서 디바이스 R2로 다시 시도합니다.

의미

다음 정보를 확인합니다.

  • 예상대로 BGP 세션이 설정됩니다. from tcp-established 일치 조건은 BGP 세션 설정은 차단할 것으로 예상되지 않습니다.

  • 디바이스 R2에서 디바이스 R1로 텔넷을 사용할 수 있습니다. 디바이스 R1에는 방화벽 필터가 구성되어 있지 않으므로 이것은 예상되는 동작입니다.

  • 디바이스 R1에서 디바이스 R2로 텔넷할 수 없습니다. Telnet은 TCP를 전송 프로토콜로 사용하므로 이 결과는 놀랍습니다. 텔넷 연결이 부족한 원인은 일치 조건입니다 from tcp-established . 이 일치 조건은 디바이스 R2에서 허용되는 TCP 트래픽 유형을 제한합니다. 이 일치 조건이 비활성화되면 텔넷 세션이 성공적으로 수행됩니다.

텔넷을 사용하여 TCP 방화벽 필터에서 신뢰할 수 있는 접두사 조건 확인

목적

텔넷 트래픽이 예상대로 작동하는지 확인합니다.

실행

디바이스가 신뢰할 수 있는 소스 주소 중 하나와 일치하는 IP 주소의 호스트를 가진 텔넷 세션만 설정할 수 있는지 확인합니다. 예를 들어 신뢰할 수 있는 주소 접두사 중 하나를 사용하여 다른 호스트의 명령을 사용하여 디바이스 telnet 에 로그인합니다. 또한 신뢰할 수 없는 소스 주소를 가진 텔넷 세션이 차단되는지 확인합니다.

  1. 디바이스 R1에서 신뢰할 수 없는 소스 주소에서 디바이스 R2로 텔넷을 연결합니다.

  2. 디바이스 R2에서 신뢰할 수 있는 접두사 목록에 172.16/16을 추가합니다.

  3. 디바이스 R1에서 텔넷에서 디바이스 R2로 다시 시도합니다.

의미

다음 정보를 확인합니다.

  • 디바이스 R1에서 신뢰할 수 없는 소스 주소를 사용하여 디바이스 R2로 텔넷할 수 없습니다. 172.16/16 접두사가 신뢰할 수 있는 접두사 목록에 추가된 후 소스 주소 172.16.0.1의 텔넷 요청이 수락됩니다.

  • OSPF 세션 설정이 차단됩니다. OSPF는 TCP를 전송 프로토콜로 사용하지 않습니다. from protocol tcp 일치 조건이 비활성화되면 OSPF 세션 설정이 차단되지 않습니다.

OSPF를 사용하여 TCP 방화벽 필터 확인

목적

OSPF 트래픽이 예상대로 작동하는지 확인합니다.

실행

디바이스가 OSPF 연결을 설정할 수 없는지 확인합니다.

  1. 디바이스 R1에서 OSPF 세션을 확인합니다.

  2. 디바이스 R2에서 OSPF 세션을 확인합니다.

  3. 디바이스 R2에서 일치 조건을 제거합니다 from protocol tcp .

  4. 디바이스 R1에서 OSPF 세션을 다시 확인합니다.

  5. 디바이스 R2에서 OSPF 세션을 다시 확인합니다.

의미

다음 정보를 확인합니다.

  • OSPF 세션 설정이 차단됩니다. OSPF는 TCP를 전송 프로토콜로 사용하지 않습니다. from protocol tcp 일치 조건이 비활성화되면 OSPF 세션 설정이 성공적으로 수행됩니다.

ICMP 방화벽 필터 확인

목적

ICMP 패킷이 폴리딩 및 카운트되고 있는지 확인합니다. 또한 요청이 신뢰할 수 없는 소스 주소에서 유래할 때 핑 요청이 삭제되는지 확인합니다.

실행

  1. 이전 확인 단계에서 변경한 구성을 실행 취소합니다.

    TCP 방화벽 설정을 다시 활성화하고 신뢰할 수 있는 172.16/16 소스 주소를 삭제합니다.

  2. 디바이스 R1에서 디바이스 R2에서 루프백 인터페이스를 ping합니다.

  3. 디바이스 R2에서 방화벽 통계를 확인합니다.

  4. 디바이스 R1의 신뢰할 수 없는 소스 주소에서 디바이스 R2의 루프백 인터페이스에 핑 요청을 보냅니다.

의미

다음 정보를 확인합니다.

  • 핑 출력은 10% 패킷 손실이 발생하고 있음을 보여줍니다.

  • ICMP 패킷 카운터가 증가하며 icmp-policer가 증가합니다.

  • 디바이스 R2는 명령에 ICMP 응답을 ping 172.16.0.2 source 172.16.0.1 보내지 않습니다.