EN ESTA PÁGINA
Ejemplo: Configurar un filtro de firewall sin estado para proteger un sistema lógico contra las inundaciones de ICMP
En este ejemplo, se muestra cómo configurar un filtro de firewall sin estado que proteja contra ataques de denegación de servicio ICMP en un sistema lógico.
Requisitos
En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.
Descripción general
En este ejemplo, se muestra un filtro de firewall sin estado llamado protect-RE que policía los paquetes ICMP. El icmp-policer límite de la velocidad de tráfico de los paquetes ICMP a 1.000.000 bps y el tamaño de la ráfaga a 15 000 bytes. Los paquetes que superan la velocidad de tráfico se descartan.
El agente de policía se incorpora a la acción de un término de filtro llamado icmp-term.
En este ejemplo, se envía un ping desde un enrutador físico conectado directamente a la interfaz configurada en el sistema lógico. El sistema lógico acepta los paquetes ICMP si se reciben a una velocidad de hasta 1 Mbps (límite de ancho de banda). El sistema lógico pierde todos los paquetes ICMP cuando se supera esta velocidad. La burst-size-limit instrucción acepta ráfagas de tráfico de hasta 15 Kbps. Si las ráfagas superan este límite, todos los paquetes se pierden. Cuando la velocidad de flujo disminuye, los paquetes ICMP se aceptan de nuevo.
Topología
Figura 1 muestra la topología utilizada en este ejemplo.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
Procedimiento
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.
Para configurar un filtro de firewall ICMP en un sistema lógico:
Configure la interfaz en el sistema lógico.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
Habilite explícitamente paquetes ICMP para recibir en la interfaz.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
Cree el agente de policía.
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
Aplique el agente de policía a un término de filtro.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
Aplique el agente de policía a la interfaz del sistema lógico.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme su configuración mediante la emisión del show logical-systems LS1 comando.
user@host# show logical-systems LS1
interfaces {
so-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
Verificación
Confirme que la configuración funciona correctamente.
Verificar que Ping funcione a menos que se superen los límites
Propósito
Asegúrese de que la interfaz lógica del sistema esté protegida contra ataques DoS basados en ICMP.
Acción
Inicie sesión en un sistema que tenga conectividad con el sistema lógico y ejecute el ping comando.
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
Significado
Cuando se envía un ping normal, se acepta el paquete. Cuando envía un paquete ping que supera el límite de filtro, el paquete se descarta.