EN ESTA PÁGINA
Ejemplo: Configuración de un filtro de firewall sin estado para proteger un sistema lógico contra inundaciones ICMP
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado que protege contra ataques de denegación de servicio ICMP en un sistema lógico.
Requisitos
En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.
Descripción general
En este ejemplo se muestra un filtro de firewall sin estado denominado protect-RE que controla los paquetes ICMP. El icmp-policer limita la velocidad de tráfico de los paquetes ICMP a 1.000.000 bps y el tamaño de ráfaga a 15.000 bytes. Los paquetes que superan la tasa de tráfico se descartan.
El policer se incorpora a la acción de un término de filtro llamado icmp-term.
En este ejemplo, se envía un ping desde un enrutador físico conectado directamente a la interfaz configurada en el sistema lógico. El sistema lógico acepta los paquetes ICMP si se reciben a una velocidad de hasta 1 Mbps (límite de ancho de banda). El sistema lógico descarta todos los paquetes ICMP cuando se supera esta velocidad. La burst-size-limit instrucción acepta ráfagas de tráfico de hasta 15 Kbps. Si las ráfagas superan este límite, se descartan todos los paquetes. Cuando la velocidad de flujo disminuye, los paquetes ICMP se aceptan nuevamente.
Topología
Figura 1muestra la topología utilizada en este ejemplo.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set logical-systems LS1 interfaces ge-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces ge-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración el Manual del usuario de la CLI de Junos OS.
Para configurar un filtro de firewall ICMP en un sistema lógico:
Configure la interfaz en el sistema lógico.
[edit] user@host# set logical-systems LS1 interfaces ge-0/0/2 unit 0 family inet address 10.0.45.2/30
Habilite explícitamente la recepción de paquetes ICMP en la interfaz.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
Cree el aplicador de políticas.
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
Aplique el aplicador de políticas a un término de filtro.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
Aplique el aplicador de políticas a la interfaz lógica del sistema.
[edit] user@host# set logical-systems LS1 interfaces ge-0/0/2 unit 0 family inet policer input icmp-policer
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la configuración emitiendo el show logical-systems LS1 comando.
user@host# show logical-systems LS1
interfaces {
ge-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
Verificación
Confirme que la configuración funcione correctamente.
Comprobación de que el ping funciona a menos que se superen los límites
Propósito
Asegúrese de que la interfaz lógica del sistema esté protegida contra ataques DoS basados en ICMP.
Acción
Inicie sesión en un sistema que tenga conectividad con el sistema lógico y ejecute el ping comando.
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
Significado
Cuando envía un ping normal, el paquete es aceptado. Cuando envía un paquete ping que supera el límite de filtro, el paquete se descarta.