Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Планирование фильтрации межсетевых экранов

Прежде чем создать фильтр межсетевых экранов и применить его, определите, что необходимо выполнить с фильтром и как использовать его условия совпадения и действия для достижения поставленных целей. Важно понимать, каким образом сопос(ась) сопос(-ась) пакетов, значения по умолчанию и настроенные действия фильтра межсетевых экранов, а также места применения фильтра межсетевых экранов.

На порт, VLAN или интерфейс маршрутизатора (входные и выходные данные) можно применять не более одного фильтра межсетевых экранов. Например, для данного порта можно применить не более одного фильтра во вводимом направлении и один фильтр в направлении вывода. Следует постараться быть консервативным по числу терминов (правил), которые включаются в каждый фильтр межсетевых экранов, поскольку большое количество терминов требует больше времени на обработку во время операции сфиксией и может затруднить тестирование и устранение неполадок.

Прежде чем настраивать и применять фильтры межсетевых экранов, ответьте на следующие вопросы для каждого из них:

  1. Какова цель фильтра?

    Например, система может отбросить пакеты на основе информации заголовки, трафика с ограничением скорости, классифицировать пакеты в классы пересылки, заходить в журнал и пересылать пакеты или отказ в обслуживании атак.

  2. Какие условия совпадают в соответствующих условиях? Определите поля заглавного поля пакета, которые должны содержаться в пакете для совпадения. Возможные поля:

    • Поля уровня 2 — MAC-адреса источника и назначения, тег 802.1Q, тип Ethernet или VLAN.

    • Поля уровня 3 — IP-адреса источника и назначения, протоколы и параметры IP (приоритет IP, флаги фрагментации IP или тип TTL).

    • Поля заглавного поля TCP — исходные порты и порты назначения и флаги.

    • Поля заглавного поля ICMP— тип пакета и код.

  3. Какие действия следует принять при совпадении?

    Система может принимать, отбрасывать или отклонить пакеты.

  4. Какие дополнительные модификаторы действий могут потребоваться?

    Например, можно настроить систему для зеркального копирования (копирования) пакетов на указанный порт, подсчет совпадающих пакетов, применения управления трафиком или пакетов управления трафиком.

  5. На каком порту, интерфейсе маршрутизатора или VLAN следует применить фильтр межсетевых экранов?

    Начните со следующих базовых инструкций:

    • Если пакеты, в которые входят или покидают интерфейс (порт) уровня 2, необходимо применить фильтр на [edit family ethernet switching filter] иерархическом уровне. Это фильтрация по портам.

    • Если пакеты, вющие или покидающие какой-либо порт в определенной VLAN, необходимо отфильтровать, используйте фильтр VLAN.

    • Если пакеты, вющие или покидающие интерфейс (маршрутизованный) уровня 3 или маршрутизный интерфейс VLAN(RVI),необходимо отфильтровать, используйте фильтр межсетевых экранов маршрутизатора. Примените фильтр к интерфейсу на [edit family inet] уровне иерархии. Можно также применить фильтр межсетевых экранов маршрутизатора на интерфейсе обратной связи.

    Перед тем, как выбрать интерфейс или VLAN, для применения фильтра межсетевых экранов, необходимо понять, как это расположение может повлиять на поток трафика на другие интерфейсы. В общем случае необходимо применить фильтр, близкий к источнику, если фильтр соответствует IP-адресам источника или адресата, протоколам IP или данным протокола, таким как типы сообщений ICMP и номера портов TCP или UDP. Однако необходимо применить фильтр, близкий к устройству назначения, если он совпадает только с ИСХОДНЫМ IP-адресом. При применении фильтра, слишком близкого к источнику, фильтр может помешать устройству-источнику получить доступ к другим сетевым службам.

    Прим.:

    Фильтры межсетевых экранов не влияют на поток локально созданных контрольных пакетов модуль маршрутизации.

  6. В каком направлении следует применять фильтр межсетевых экранов?

    Обычно настраиваются различные действия для трафика, входя в интерфейс, чем для трафика, выходя из интерфейса.

  7. Сколько фильтров следует создать?

    Дополнительные сведения о количестве фильтров межсетевых экранов см. в "Планирование количества фильтров межсетевых экранов,которые необходимо создать".