Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Настройка фильтра межсетевых экранов без с состоянием состояния для защиты от потока TCP и ICMP

В данном примере показано, как создать фильтр межсетевых экранов без с состоянием состояния, который защищает от атак TCP отказ в обслуживании ICMP.

Требования

До настройки фильтров межсетевых экранов, не устанавливающих состояние, не требуется особой конфигурации после инициализации устройства.

Обзор

В данном примере создается фильтр межсетевых экранов без сохраняемого состояния, называемый для управления protect-RE пакетами TCP и ICMP. В нем используются описанные ниже политика:

  • tcp-connection-policer-Этот ограничитель ограничивает TCP-трафик до 1 000 000 бит/с (бит/с) с максимальным размером всплеска 15 000 бит. Трафик, превышающий любой предел, отбрасывается.

  • icmp-policer- Этот ограничитер ограничивает трафик ICMP до 1 000 000 бит/с с максимальным размером всплеска 15 000 бит. Трафик, превышающий любой предел, отбрасывается.

При указании ограничений предел пропускной способности может быть от 32 000 бит/с до 32 000 000 000 бит/с, а размером всплеска может быть от 1500 до 100 000 000 бит. При указании ограничений используйте следующие сокращения: k (1 000), m (1 000 000) и g (1 000 000 000).

Каждый из них включается в действие термин фильтра. В данном примере содержатся следующие термины:

  • tcp-connection-term- Определенные пакеты TCP с адресом источника 192.168.0.0/24 или 10.0.0.0/24. Эти адреса определены в списке trusted-addresses префиксов.

    Фильтрация пакетов включает пакеты Условие совпадения является псевдонимом условия совпадения бит-поля, что означает установленный сеанс TCP, но не первый пакет tcp-establishedtcp-establishedtcp-flags “(ack | rst)” TCP-соединения.

  • icmp-term— Polices ICMP-пакетов. Все пакеты ICMP подсчитываются icmp-counter счетчиком.

Прим.:

С помощью этой команды можно перемещать термины в пределах фильтра межсетевых insert экранов. См. вставитьв руководстве Junos OS интерфейс командной строки пользователя.

Межсетевой экран без с состоянием состояния можно применить на входной или выходной сторонах интерфейса. Для фильтрации пакетов, транзитных по устройству, примените фильтр межсетевых экранов к любому не модуль маршрутизации интерфейсу. Для фильтрации пакетов, исходяющих или предназначенных для модуль маршрутизации, примените фильтр межсетевых экранов к интерфейсу обратной связи (lo0).

Рис. 1 отображает пример сети.

Рис. 1: Фильтр межсетевых экранов для защиты от потока TCP и ICMPФильтр межсетевых экранов для защиты от потока TCP и ICMP

Поскольку фильтр межсетевых экранов ограничивает модуль маршрутизации до пакетов TCP, протоколы маршрутов, которые используют другие транспортные протоколы для 4-го уровня, не могут успешно установить сеансы при активном фильтре. Для демонстрации в этом примере настраивается OSPF между устройством R1 и устройством R2.

интерфейс командной строки быстрой конфигурации отображает конфигурацию всех устройств Рис. 1 в.

В разделе #configuration1102__policy-firewall-tcp-icmp-st описаны действия устройства R2.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить фильтр межсетевых экранов без с состояния, скопируйте следующие команды в текстовый файл, удалите все разрывы строк, а затем в виде вщелки команд в интерфейс командной строки.

Устройство R1

Устройство R2

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки E. редактор интерфейс командной строки в режиме конфигурации см. . .

Настройка фильтра межсетевых экранов без степного состояния для отбрасывание:

  1. Настройте интерфейсы устройств.

  2. Настройте сеанс BGP пиринга.

  3. Настройте номер автономной системы (AS) и ID маршрутизатора.

  4. Настройте OSPF.

  5. Определите список доверенных адресов.

  6. Настройте политику для объявления прямых маршрутов.

  7. Настройте policer TCP.

  8. Создайте ICMP policer.

  9. Настройте правила фильтрации TCP.

  10. Настройте правила фильтрации ICMP.

  11. Примените фильтр к интерфейсу обратной связи.

Результаты

Подтвердите конфигурацию, введите в режиме конфигурации команды show interfacesshow protocols , , , show policy-optionsshow routing-optionsshow firewall и. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Прим.:

Чтобы проверить механизм применения политики TCP, можно использовать средство генерации пакетов. Эта задача не показана здесь.

Отображение действительного фильтра межсетевых экранов без с состоянием состояния

Цель

Проверьте конфигурацию фильтра межсетевых экранов.

Действий

В рабочем режиме введите show firewall команду.

Смысл

Выходные данные показывают фильтр, счетчик и те меры, которые влияют на устройство R2.

Использование telnet для проверки состояния tcp-established в фильтре межсетевых экранов TCP

Цель

Убедитесь, что трафик telnet работает, как ожидалось.

Действий

Убедитесь, что устройство может устанавливать только сеансы TCP с хостами, которые соответствуют from tcp-established условию.

  1. С устройства R2 убедитесь, что BGP с устройством R1 установлен.

  2. Между устройством R2 и устройством R1 с telnet.

  3. Между устройством R1 и устройством R2 с telnet.

  4. Деактивировать условие совпадения на from tcp-established устройстве R2.

  5. С устройства R1 попробуйте еще раз получить telnet-маршрут к устройству R2.

Смысл

Проверьте следующую информацию:

  • Как и ожидалось, BGP установлен сеанс. Условие совпадения не блокирует установление BGP from tcp-established сеанса.

  • С устройства R2 можно получить telnet-телефон с устройством R1. В устройстве R1 нет настроенного фильтра межсетевых экранов, поэтому это ожидаемое поведение.

  • С устройства R1 не удается получить telnet-телефон с устройством R2. Telnet использует TCP в качестве транспортного протокола, поэтому данный результат может быть неожиданным. Причиной отсутствия связи telnet является условие from tcp-established совпадения. Это условие совпадения ограничивает тип TCP-трафика, принимаемого устройством R2. После деактивизации этого условия совпадения сеанс Telnet будет успешным.

Использование telnet для проверки состояния доверенных префиксов в фильтре межсетевых экранов TCP

Цель

Убедитесь, что трафик telnet работает, как ожидалось.

Действий

Убедитесь, что устройство может устанавливать только сеанс Telnet с хостами по IP-адресу, который соответствует одному из доверенных адресов источника. Например, войдите на устройство с помощью команды telnet другого хоста с одним из префиксов доверенных адресов. Кроме того, убедитесь, что сеансы Telnet с адресами неподтверченных источников заблокированы.

  1. От устройства М1 от telnet к устройству R2 с неподтверждемого адреса источника.

  2. С устройства R2 добавьте 172.16/16 в список доверенных префиксов.

  3. С устройства R1 попробуйте еще раз получить telnet-маршрут к устройству R2.

Смысл

Проверьте следующую информацию:

  • От устройства М1 невозможно получить telnet-адрес устройства R2 с неподтверждшимся адресом источника. После того, как префикс 172.16/16 добавляется в список доверенных префиксов, принимается запрос Telnet с адреса источника 172.16.0.1.

  • OSPF сеанса заблокирован. OSPF не использует TCP в качестве транспортного протокола. После отключения условия совпадения установка OSPF from protocol tcp сеанс не блокируется.

Использование OSPF для проверки фильтра межсетевых экранов TCP

Цель

Убедитесь, OSPF трафик работает, как ожидалось.

Действий

Убедитесь, что устройство не может установить OSPF подключение.

  1. С устройства R1 проверьте OSPF сеансов.

  2. С устройства R2 проверьте OSPF сеансов.

  3. С устройства R2 удалите from protocol tcp условие совпадения.

  4. В устройстве М1 перепроверять OSPF сеансов.

  5. С устройства R2, перепроверять OSPF сеансов.

Смысл

Проверьте следующую информацию:

  • OSPF сеанса заблокирован. OSPF не использует TCP в качестве транспортного протокола. После from protocol tcp деактивированных условий совпадения OSPF установления сеанса успешно.

Проверка фильтра межсетевых экранов ICMP

Цель

Убедитесь, что для пакетов ICMP был запроцес запросчитываться. Также убедитесь, что запросы ping отбрасываются, если запросы исходят от неподтвершенного адреса источника.

Действий

  1. Отменять изменения конфигурации, сделанные на предыдущих шагах проверки.

    Повторно активировать настройки межсетевых экранов TCP и удалить доверенный адрес источника 172.16/16.

  2. С устройства М1 с помощью запроса "0-0" на интерфейс обратной связи на устройстве М2.

  3. С устройства R2 проверьте статистику брандмауэра.

  4. Отправьте ping-запрос на интерфейс обратной связи устройства R2 с неподтверждемого адреса источника на устройстве М1.

Смысл

Проверьте следующую информацию:

  • Выходные данные ping показывают, что потеря пакетов составляет 10%.

  • Счетчик пакетов ICMP прира iscrementing, а icmp-policer - инкремент.

  • Устройство R2 не отправляет ответы ICMP на ping 172.16.0.2 source 172.16.0.1 команду.