Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Configuración de un filtro de Firewall sin estado para proteger un sistema lógico frente a desbordamientos ICMP

En este ejemplo se muestra cómo configurar un filtro de Firewall sin estado que protege contra ataques de denegación de servicio ICMP en un sistema lógico.

Aplicables

En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.

Descripción general

Este ejemplo muestra un filtro de Firewall sin estado llamado Protect-RE de las políticas ICMP packets. El icmp-policer limita la velocidad de tráfico de los paquetes de ICMP a 1 millón bps y el tamaño de ráfagas a 15.000 bytes. Se descartan los paquetes que superan la velocidad de tráfico.

La policía se incorpora en la acción de un término de filtro llamado icmp-term.

En este ejemplo, se envía un comando ping desde un enrutador físico conectado directamente a la interfaz configurada en el sistema lógico. El sistema lógico acepta los paquetes ICMP si se reciben a una velocidad de hasta 1 Mbps (límite de ancho de banda). El sistema lógico elimina todos los paquetes ICMP cuando se supera esta velocidad. La burst-size-limit instrucción acepta ráfagas de tráfico de hasta 15 kbps. Si las ráfagas superan este límite, se perderán todos los paquetes. Cuando el caudal se reparte, se vuelven a aceptar los paquetes ICMP.

Topología

Figura 1muestra la topología utilizada en este ejemplo.

Figura 1: Sistema lógico con un firewall sin estadoSistema lógico con un firewall sin estado

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Modalidades

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte Uso del editor de CLI en el modo de configuración la Guía del Junos OS CLI usuario.

Para configurar un filtro de firewall ICMP en un sistema lógico:

  1. Configure la interfaz en el sistema lógico.

  2. Permite que los paquetes ICMP se reciban de forma explícita en la interfaz.

  3. Crear el policíaer.

  4. Aplicar la policía a un término de filtro.

  5. Aplicar la policía a la interfaz lógica del sistema.

  6. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Para confirmar la configuración, emita el show logical-systems LS1 comando.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación de que ping funciona a menos que se superen los límites

Purpose

Asegúrese de que la interfaz lógica del sistema está protegida contra ataques DoS basados en ICMP.

Intervención

Inicie sesión en un sistema que tenga conectividad con el sistema lógico y ejecute el ping comando.

Efectos

Cuando envía un comando ping normal, se acepta el paquete. Cuando envía un paquete ping que supera el límite del filtro, el paquete se descarta.