Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예를 들면 다음과 같습니다. TCP 및 ICMP 플러드로부터 보호하기 위한 스테이트리스 방화벽 필터 구성

이 예에서는 TCP 및 ICMP 공격을 차단하는 stateless 방화벽 필터를 서비스 거부 방법을 보여줍니다.

요구 사항

스테이트리스 방화벽 필터를 구성하기 전에 장치 초기화를 넘어서는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 TCP 및 ICMP 패킷에 대한 police라는 stateless 방화벽 protect-RE 필터를 생성합니다. 여기에서 설명된 경찰관을 사용하죠.

  • tcp-connection-policer—이 Policer는 최대 버스트 크기인 초당 1,000,000비트(bps)로 TCP 트래픽을 제한합니다. 한도를 초과하는 트래픽은 폐기됩니다.

  • icmp-policer—이 Policer는 ICMP 트래픽을 1,000,000bps로 제한하고 최대 버스트 크기는 15,000 bytes입니다. 한도를 초과하는 트래픽은 폐기됩니다.

제한을 지정하는 경우, 대역폭 제한은 32,000bps에서 32,000,000,000bps로, 버스트 크기 제한은 1,500경에서 100,000,000개로 제한될 수 있습니다. 제한을 지정할 때 다음 약어를 사용하십시오. k (1,000), m (1,000,000) 및 g (1,000,000,000)

필터 용어의 동작에 각 경찰서가 통합됩니다. 이 예에서는 다음과 같은 용어를 포함합니다.

  • tcp-connection-term—소스 주소가 192.168.0.0/24 또는 10.0.0.0/24인 특정 TCP 패킷에 대한 전송을 제한합니다. 이들 주소는 trusted-addresses Prefix 목록에 정의되어 있습니다.

    필터링된 패킷은 패킷을 포함하지만 일치 조건은 첫 번째 TCP 연결 패킷이 아니라 설정된 TCP 세션을 나타내는 bit-field 일치 조건에 대한 tcp-establishedtcp-establishedtcp-flags “(ack | rst)” 별칭입니다.

  • icmp-term—ICMP 패킷에 대한 경찰 수치화. 모든 ICMP 패킷은 카운터로 icmp-counter 계산됩니다.

주:

이 명령어를 사용하여 방화벽 필터 내에서 용어를 이동할 수 insert 있습니다. 사용자 가이드의Junos OS CLI 참조하십시오.

입력 또는 출력 측면 또는 인터페이스의 스테이트리스 방화벽을 적용할 수 있습니다. 디바이스를 전송하는 패킷을 필터링하려면 방화벽 필터를 비통신 인터페이스에 라우팅 엔진. 패킷에서 시작되거나 시작되는 패킷을 라우팅 엔진 루프백(lo0) 인터페이스에 방화벽 필터를 적용합니다.

그림 1 샘플 네트워크를 보여줍니다.

그림 1: TCP 및 ICMP 플러드로부터 보호하는 방화벽 필터TCP 및 ICMP 플러드로부터 보호하는 방화벽 필터

이 방화벽 필터는 트래픽을 TCP 패킷으로 라우팅 엔진 제한하기 때문에, Layer 4를 위한 다른 전송 프로토콜을 사용하는 라우팅 프로토콜은 이 필터가 활성화되어 있는 경우 세션을 성공적으로 설정할 수 없습니다. 이 예에서는 Device R1과 Device R2 최단 경로 우선(OSPF) 설정하고 있습니다.

CLI 빠른 구성 에 있는 모든 디바이스의 구성을 그림 1 보여줍니다.

#configuration1102__policy-firewall-tcp-icmp-st 섹션에서는 Device R2의 단계를 설명합니다.

구성

절차

CLI 빠른 구성

stateless 방화벽 필터를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하고, 라인 끊기를 제거한 다음, 명령어를 CLI.

디바이스 R1

디바이스 R2

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 에 대한 자세한 Configuration 모드에서 CLI 편집기 사용 CLI.

스테이트리스 방화벽 필터를 구성하여 폐기:

  1. 디바이스 인터페이스를 구성합니다.

  2. BGP(Border Gateway Protocol) 피어링 세션을 구성합니다.

  3. AS(Autonomous System) 번호 및 라우터 ID를 구성합니다.

  4. 구성 최단 경로 우선(OSPF).

  5. 신뢰할 수 있는 주소 목록을 정의합니다.

  6. 직접 경로를 광고하는 정책을 구성합니다.

  7. TCP Policer를 구성합니다.

  8. ICMP Policer를 생성합니다.

  9. TCP 필터 규칙을 구성합니다.

  10. ICMP 필터 규칙을 구성합니다.

  11. 필터를 루프백 인터페이스에 적용합니다.

결과

구성 모드에서 , show interfacesshow protocols , show policy-options 및 명령어를 show routing-options 입력하여 show firewall 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

주:

TCP Policer를 확인하려면 패킷 생성 툴을 사용할 수 있습니다. 이 작업은 여기에 표시되지 않습니다.

실제로 적용된 스테이트리스 방화벽 필터 표시

목적

방화벽 필터 구성을 검증합니다.

실행

작동 모드에서 명령어를 show firewall 입력합니다.

의미

출력에는 필터, 카운터 및 디바이스 R2에 적용된 Policers가 표시됩니다.

텔넷을 사용하여 TCP 방화벽 필터에서 tcp 설정 상태 검증

목적

텔넷 트래픽이 예상대로 작동할 수 있도록 합니다.

실행

디바이스가 조건을 충족하는 호스트와 함께 TCP 세션만 설정할 수 있는지 from tcp-established 검증합니다.

  1. Device R2에서 Device R1을 BGP(Border Gateway Protocol) 세션이 설정되어 있는지 확인합니다.

  2. Device R2, telnet에서 Device R1까지.

  3. Device R1, telnet에서 Device R2까지.

  4. Device R2에서 일치 조건을 from tcp-established 비활성화합니다.

  5. Device R1에서 telnet에서 Device R2로 다시 시도합니다.

의미

다음 정보를 검증합니다.

  • 예상대로 BGP(Border Gateway Protocol) 세션이 설정됩니다. 일치 from tcp-established 조건은 세션 BGP(Border Gateway Protocol) 것으로 예상되지 않습니다.

  • Device R2에서 장비 R1로 텔넷을 사용할 수 있습니다. 디바이스 R1에는 방화벽 필터가 구성되지 않습니다. 따라서 예상되는 동작입니다.

  • Device R1에서 장비 R2로 텔넷을 사용할 수 없습니다. Telnet은 TCP를 전송 프로토콜로 사용하기 때문에 이 결과는 놀라운 일이 될 수 있습니다. 텔넷 연결 부족의 원인은 일치 from tcp-established 조건입니다. 이 일치 조건은 Device R2에 허용되는 TCP 트래픽 유형을 제한합니다. 이 일치 조건이 비활성화된 후 telnet 세션에 성공합니다.

telnet을 사용하여 TCP 방화벽 필터에서 신뢰할 수 있는 Prefix 조건 확인

목적

텔넷 트래픽이 예상대로 작동할 수 있도록 합니다.

실행

디바이스가 신뢰할 수 있는 소스 주소 중 하나에 일치하는 IP 주소에서 호스트와 함께 텔넷 세션만 구축할 수 있는지 검증합니다. 예를 들어, 신뢰할 수 있는 주소 Prefix 중 하나를 사용하여 다른 호스트의 명령으로 장치에 telnet 로그인합니다. 또한, 트러블소스 주소가 없는 텔넷 세션이 차단된지 검증합니다.

  1. 장비 R1에서 텔넷에서 언트러스드 소스 주소의 장비 R2로 연결합니다.

  2. Device R2에서 트러스트된 프리픽스 목록에 172.16/16을 추가합니다.

  3. Device R1에서 telnet에서 Device R2로 다시 시도합니다.

의미

다음 정보를 검증합니다.

  • Device R1에서 언트러스드 소스 주소로 텔넷에서 Device R2로 할 수 없습니다. 172.16/16 prefix가 신뢰할 수 있는 Prefix 목록에 추가되면 소스 주소 172.16.0.1의 텔넷 요청을 수락합니다.

  • 최단 경로 우선(OSPF) 세션이 차단됩니다. 최단 경로 우선(OSPF) 전송 프로토콜로 TCP를 사용하지 않습니다. 일치 조건이 비활성화된 후 최단 경로 우선(OSPF) 세션 최단 경로 우선(OSPF) from protocol tcp 차단되지 않습니다.

최단 경로 우선(OSPF) 사용하여 TCP 방화벽 필터 검증

목적

예상대로 최단 경로 우선(OSPF) 트래픽이 작동하는지 확인

실행

디바이스가 네트워크 연결을 설정하지 최단 경로 우선(OSPF) 있는지 확인합니다.

  1. Device R1에서 최단 경로 우선(OSPF) 세션을 확인합니다.

  2. Device R2에서 최단 경로 우선(OSPF) 세션을 확인합니다.

  3. Device R2에서 일치 조건을 from protocol tcp 제거합니다.

  4. Device R1에서 최단 경로 우선(OSPF) 세션을 재조정합니다.

  5. Device R2에서 최단 경로 우선(OSPF) 세션을 재지정합니다.

의미

다음 정보를 검증합니다.

  • 최단 경로 우선(OSPF) 세션이 차단됩니다. 최단 경로 우선(OSPF) 전송 프로토콜로 TCP를 사용하지 않습니다. 일치 from protocol tcp 조건이 비활성화된 후 최단 경로 우선(OSPF) 세션 최단 경로 우선(OSPF) 수 있습니다.

ICMP 방화벽 필터 검증

목적

ICMP 패킷이 검사되고 있는지 확인하여 계산합니다. 또한 요청이 언트러스드 소스 주소에서 시작될 때 핑 요청을 폐기해야 합니다.

실행

  1. 이전 검증 단계에서 수행된 구성 변경을 취소합니다.

    TCP 방화벽 설정을 재 활성화하고 172.16/16 신뢰할 수 있는 소스 주소를 삭제합니다.

  2. Device R1에서 Device R2의 루프백 인터페이스를 핑합니다.

  3. Device R2에서 방화벽 통계를 확인합니다.

  4. Device R1의 언트러스드 소스 주소에서 Device R2의 루프백 인터페이스로 핑 요청을 전송합니다.

의미

다음 정보를 검증합니다.

  • 핑 출력은 10% 패킷 손실이 발생하고 있는 것으로 나타났습니다.

  • ICMP 패킷 카운터가 증분하고 있으며 icmp-policer는 나날이 확대하고 있습니다.

  • Device R2는 이 명령에 대한 ICMP 응답을 전송하지 ping 172.16.0.2 source 172.16.0.1 않습니다.

관련 항목