На этой странице
Примере: Настройка фильтра межсетевых экранов без с состоянием состояния для защиты логической системы от потока ICMP
В этом примере показано, как настроить фильтр межсетевых экранов без сатак, который защищает от отказ в обслуживании ICMP-атак на логическую систему.
Требования
В этом примере не требуется особой конфигурации после инициализации устройства.
Обзор
В данном примере показан фильтр межсетевых экранов без с состояния, называемый protect-RE, который polices ICMP-пакетов. Ограничивает скорость трафика пакетов ICMP до 1 000 000 бит/с, а размер пакета - icmp-policer 15 000 бит. Пакеты, превышают скорость трафика, отбрасываются.
Policer включается в действие термин фильтра, называемый icmp-term .
В этом примере с напрямую подключенного физического маршрутизатора отправляется запрос "ING-0" на интерфейс, настроенный в логической системе. Логическая система принимает пакеты ICMP, если они принимаются со скоростью до 1 Мбит/с (предел полосы пропускания). Логическая система сбрасывает все пакеты ICMP при превышении этой скорости. Утверждение burst-size-limit принимает всплески трафика до 15 Кб/с. Если пакеты превышают это ограничение, все пакеты отброшены. Когда скорость потока утихает, пакеты ICMP снова принимаются.
Топологии
Рис. 1 показывает топологию, используемую в этом примере.
Конфигурации
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
Процедуры
Пошаговая процедура
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Информацию о навигации по интерфейс командной строки см. в E. редактор интерфейс командной строки в режиме конфигурации руководстве интерфейс командной строки пользователя.
Настройка фильтра межсетевых экранов ICMP в логической системе:
Настройте интерфейс логической системы.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
В явном ответе необходимо включить на интерфейсе ICMP-пакеты.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
Создайте policer.
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
Примените policer к термину фильтра.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
Примените policer к логическому интерфейсу системы.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
После настройки устройства сфиксировать конфигурацию.
[edit] user@host# commit
Результаты
Подтвердите конфигурацию с помощью show logical-systems LS1 команды.
user@host# show logical-systems LS1
interfaces {
so-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
Проверки
Подтвердим, что конфигурация работает правильно.
Проверка работы ping до превышения пределов
Цель
Убедитесь, что логический системный интерфейс защищен от DoS ICMP.
Действий
Войдите в систему, подключенную к логической системе, и запустите ping команду.
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
Смысл
При обычной отправке ping пакет принимается. При отправке пакета ping, превышающий предел фильтра, пакет отбрасывается.