Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예: TCP 및 ICMP 플러드로부터 보호하기 위한 무상태 방화벽 필터 구성

이 예에서는 TCP 및 ICMP 서비스 거부 공격으로부터 보호하는 상태 비저장 방화벽 필터를 만드는 방법을 보여줍니다.

요구 사항

스테이트리스 방화벽 필터를 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 TCP 및 ICMP 패킷을 감시하는 무상태 방화벽 필터를 만듭니다.protect-RE 여기에 설명된 폴리서를 사용합니다.

  • tcp-connection-policer—이 폴리서는 TCP 트래픽을 1,000,000bps(초당 비트 수)로 제한하며 최대 버스트 크기는 15,000바이트입니다. 두 제한 중 하나를 초과하는 트래픽은 삭제됩니다.

  • icmp-policer- 이 폴리서는 ICMP 트래픽을 1,000,000bps로 제한하며 최대 버스트 크기는 15,000바이트입니다. 두 제한 중 하나를 초과하는 트래픽은 삭제됩니다.

제한을 지정할 때 대역폭 제한은 32,000bps에서 32,000,000,000bps까지일 수 있으며 버스트 크기 제한은 1,500바이트에서 100,000,000바이트까지 가능합니다. 제한을 지정할 때 다음 약어를 사용합니다. k(1,000), m(1,000,000) 및 g(1,000,000,000).

각 폴리서는 필터 용어의 동작에 통합됩니다. 이 예에는 다음 용어가 포함됩니다.

  • tcp-connection-term- 소스 주소가 192.168.0.0/24 또는 10.0.0.0/24인 특정 TCP 패킷을 폴리싱합니다. 이러한 주소는 접두사 목록에 정의되어 있습니다. trusted-addresses

    필터링된 패킷에는 패킷이 포함됩니다. 일치 조건은 비트 필드 일치 조건의 별칭으로, 설정된 TCP 세션을 나타내지만 TCP 연결의 첫 번째 패킷은 나타내지 않습니다.tcp-establishedtcp-establishedtcp-flags “(ack | rst)”

  • icmp-term- ICMP 패킷 정책. 모든 ICMP 패킷은 카운터에서 계산됩니다.icmp-counter

주:

명령을 사용하여 방화벽 필터 내에서 용어를 이동할 수 있습니다 .insert Junos OS CLI 사용자 가이드의 삽입을 참조하십시오.inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

인터페이스의 입력 또는 출력 측 또는 둘 다에 스테이트리스 방화벽을 적용할 수 있습니다. 디바이스를 통과하는 패킷을 필터링하려면 라우팅 엔진 인터페이스가 아닌 모든 인터페이스에 방화벽 필터를 적용합니다. 라우팅 엔진에서 시작되거나 라우팅 엔진으로 향하는 패킷을 필터링하려면 방화벽 필터를 루프백(lo0) 인터페이스에 적용합니다.

그림 1은 샘플 네트워크를 표시합니다.

그림 1: TCP 및 ICMP 플러드로부터 보호하기 위한 방화벽 필터TCP 및 ICMP 플러드로부터 보호하기 위한 방화벽 필터

이 방화벽 필터는 라우팅 엔진 트래픽을 TCP 패킷으로 제한하기 때문에 레이어 4에 다른 전송 프로토콜을 사용하는 라우팅 프로토콜은 이 필터가 활성화될 때 세션을 성공적으로 설정할 수 없습니다. 이를 입증하기 위해 이 예제에서는 디바이스 R1과 디바이스 R2 사이에 OSPF를 설정합니다.

CLI 빠른 구성그림 1 내 모든 디바이스의 구성을 보여줍니다.

섹션 #configuration1102__policy-firewall-tcp-icmp-st은 디바이스 R2의 단계를 설명합니다.

구성

절차

CLI 빠른 구성

무상태 방화벽 필터를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 CLI에 붙여넣습니다.

디바이스 R1

디바이스 R2

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용

삭제할 스테이트리스 방화벽 필터를 구성하려면:

  1. 디바이스 인터페이스를 구성합니다.

  2. BGP 피어링 세션을 구성합니다.

  3. 자율 시스템(AS) 번호 및 라우터 ID를 구성합니다.

  4. OSPF를 구성합니다.

  5. 신뢰할 수 있는 주소 목록을 정의합니다.

  6. 직접 경로를 보급하는 정책을 구성합니다.

  7. TCP 폴리서를 구성합니다.

  8. ICMP 폴리서를 생성합니다.

  9. TCP 필터 규칙을 구성합니다.

  10. ICMP 필터 규칙을 구성합니다.

  11. 루프백 인터페이스에 필터를 적용합니다.

결과

구성 모드에서 , , , 및 명령을 입력하여 구성을 확인합니다.show interfacesshow protocols show policy-optionsshow routing-optionsshow firewall 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

주:

TCP 폴리서를 확인하기 위해 패킷 생성 도구를 사용할 수 있습니다. 이 작업은 여기에 표시되지 않습니다.

적용 중인 상태 비저장 방화벽 필터 표시

목적

방화벽 필터의 구성을 확인합니다.

작업

운영 모드에서 show firewall 명령을 입력합니다.

의미

출력에는 디바이스 R2에 적용되는 필터, 카운터 및 폴리서가 표시됩니다.

텔넷을 사용하여 TCP 방화벽 필터에서 TCP 설정 조건 확인

목적

텔넷 트래픽이 예상대로 작동하는지 확인합니다.

작업

디바이스가 조건을 충족하는 호스트와의 TCP 세션만 설정할 수 있는지 확인합니다.from tcp-established

  1. 디바이스 R2에서 디바이스 R1과의 BGP 세션이 설정되었는지 확인합니다.

  2. 디바이스 R2에서 디바이스 R1로 텔넷합니다.

  3. 디바이스 R1에서 디바이스 R2로 텔넷합니다.

  4. 디바이스 R2에서 일치 조건을 비활성화합니다 .from tcp-established

  5. 디바이스 R1에서 디바이스 R2로 텔넷을 다시 시도합니다.

의미

다음 정보를 확인합니다:

  • 예상대로 BGP 세션이 설정됩니다. 일치 조건은 BGP 세션 설정을 차단하지 않을 것으로 예상됩니다.from tcp-established

  • 디바이스 R2에서 디바이스 R1로 텔넷을 수행할 수 있습니다. 디바이스 R1에는 구성된 방화벽 필터가 없으므로 이는 예상되는 동작입니다.

  • 디바이스 R1에서 디바이스 R2로 텔넷할 수 없습니다. 텔넷은 TCP를 전송 프로토콜로 사용하므로 이 결과는 의외일 수 있습니다. 텔넷 연결이 부족한 원인은 일치 조건입니다 .from tcp-established 이 일치 조건은 디바이스 R2에서 허용되는 TCP 트래픽 유형을 제한합니다. 이 일치 조건이 비활성화되면 텔넷 세션이 성공합니다.

텔넷을 사용하여 TCP 방화벽 필터에서 신뢰할 수 있는 접두사 조건 확인

목적

텔넷 트래픽이 예상대로 작동하는지 확인합니다.

작업

디바이스가 신뢰할 수 있는 소스 주소 중 하나와 일치하는 IP 주소의 호스트와 텔넷 세션만 설정할 수 있는지 확인합니다. 예를 들어, 신뢰할 수 있는 주소 접두사 중 하나를 가진 다른 호스트의 명령을 사용하여 디바이스에 로그인합니다.telnet 또한 신뢰할 수 없는 소스 주소를 사용하는 텔넷 세션이 차단되는지 확인합니다.

  1. 디바이스 R1에서 신뢰할 수 없는 소스 주소의 디바이스 R2로 텔넷합니다.

  2. 디바이스 R2에서 신뢰할 수 있는 접두사 목록에 172.16/16을 추가합니다.

  3. 디바이스 R1에서 디바이스 R2로 텔넷을 다시 시도합니다.

의미

다음 정보를 확인합니다:

  • 디바이스 R1에서 신뢰할 수 없는 소스 주소를 사용하여 디바이스 R2에 텔넷할 수 없습니다. 172.16/16 접두사가 신뢰할 수 있는 접두사 목록에 추가되면 소스 주소 172.16.0.1의 텔넷 요청이 수락됩니다.

  • OSPF 세션 설정이 차단되었습니다. OSPF는 TCP를 전송 프로토콜로 사용하지 않습니다. 일치 조건이 비활성화된 후에는 OSPF 세션 설정이 차단되지 않습니다.from protocol tcp

OSPF를 사용하여 TCP 방화벽 필터 확인

목적

OSPF 트래픽이 예상대로 작동하는지 확인합니다.

작업

디바이스가 OSPF 연결을 설정할 수 없는지 확인합니다.

  1. 디바이스 R1에서 OSPF 세션을 확인합니다.

  2. 디바이스 R2에서 OSPF 세션을 확인합니다.

  3. 디바이스 R2에서 일치 조건을 제거합니다 .from protocol tcp

  4. 디바이스 R1에서 OSPF 세션을 다시 확인합니다.

  5. 디바이스 R2에서 OSPF 세션을 다시 확인합니다.

의미

다음 정보를 확인합니다:

  • OSPF 세션 설정이 차단되었습니다. OSPF는 TCP를 전송 프로토콜로 사용하지 않습니다. 일치 조건이 비활성화되면 OSPF 세션 설정이 성공합니다.from protocol tcp

ICMP 방화벽 필터 확인

목적

ICMP 패킷이 폴리싱되고 계산되고 있는지 확인합니다. 또한 요청이 신뢰할 수 없는 소스 주소에서 시작된 경우 ping 요청이 삭제되는지 확인합니다.

작업

  1. 이전 확인 단계에서 변경한 구성을 실행 취소합니다.

    TCP 방화벽 설정을 다시 활성화하고 172.16/16 신뢰할 수 있는 소스 주소를 삭제합니다.

  2. 디바이스 R1에서 디바이스 R2의 루프백 인터페이스를 ping합니다.

  3. 디바이스 R2에서 방화벽 통계를 확인합니다.

  4. 디바이스 R1의 신뢰할 수 없는 소스 주소에서 디바이스 R2의 루프백 인터페이스로 핑 요청을 보냅니다.

의미

다음 정보를 확인합니다:

  • ping 출력은 10%의 패킷 손실이 발생하고 있음을 보여줍니다.

  • ICMP 패킷 카운터가 증가하고 icmp-policer가 증가합니다.

  • 디바이스 R2는 명령에 ICMP 응답을 보내지 않습니다.ping 172.16.0.2 source 172.16.0.1

관련 항목