Wie eine Junos Firewall-Filter zum Design

So entwerfen Sie eine Junos Firewall-Filter richtig, müssen Sie wissen, wie Junos der Filter verarbeitet. Es gibt zwei Überlegungen Grund zu beachten, um sicherzustellen, dass Ihre Junos Firewall-Filter so verhalten, wie Sie beabsichtigen:

• Bei den meisten Geräten können Sie mehrere Firewall-Filter in einer geordneten Kette gelten. Wenn Sie sich bewerben die Limit-ssh-telnet Filter auf die Loopback-Schnittstelle des Routers, übernimmt diese Schnittstelle SSH und Telnet-Verkehr, aber sonst nichts. Also, wenn Sie andere Protokolle konfiguriert haben, wie SNMP, BGP, OSPF und IS-IS, die Loopback-Adresse als Router-Adresse zu verwenden, die Pakete aus diesen Protokollen werden blockiert und erreichen nicht den Router.

  Sie können jedoch eine Reihe von kleineren Firewall-Filter zu schreiben und sie in einer Kette anwenden, die Sie kleinere Stücke von Firewall-Filter mehrere Male anstelle von Schreiben von benutzerdefinierten Firewall-Filter für jede Schnittstelle zur Wiederverwendung ermöglicht.

  Wenn Sie eine Kette von Firewall-Filter konfigurieren, wirkt das JUNOS, als ob Sie nur eine große Firewall-Filter geschaffen hatte, von den Bedingungen der einzelnen Filter, um zusammengesetzt. (Das bedeutet, wenn Sie diese setzen Limit-ssh-telnet zuerst in einer Kette zu filtern, alle anderen Datenverkehr unabhängig von den übrigen Firewall-Filter abgelehnt, weil das zweite Glied der Kette den gesamten Datenverkehr ablehnt.)

• Junos OS wertet die Begriffe in einer Firewall-Filter (oder eine Kette von Firewall-Filter), um mit dem ersten Start. Der Router verarbeitet jedes Paket über die Bedingungen in einer Firewall-Filter, um bis es eine Übereinstimmung findet.

• Wenn der Router eine Übereinstimmung findet, nimmt er die mit diesem Begriff die angegebenen Aktionen dann Klausel, was bedeutet, dass Sie den Verkehr an der richtigen Stelle angenommen oder abgelehnt werden muss sicherstellen, aber früher nicht.

  So zum Beispiel, wenn Sie alle Telnet-Datenverkehr zulassen wollen, aber verweigern alle anderen TCP-Datenverkehr, müssen Sie den Begriff so dass Telnet-Verkehr zu bringen, bevor der Begriff leugnen TCP-Datenverkehr. Wenn Sie sie in umgekehrter Reihenfolge setzen, wird der Router den Telnet-Verkehr verweigern (weil Telnet TCP verwendet) und niemals den Begriff erreichen zu Telnet-Verkehr ermöglichen.

  Sie müssen nicht, müssen jedoch über die Optimierung Ihrer Firewall-Filter zur Sorge, weil die Junos OS tut das für Sie. die Software kümmern sich um Ihre Filter zu haben, macht Ihre Arbeit einfach. Sie sorgen sich nur darum, sicherzustellen, dass die Filterlogik in der richtigen Reihenfolge ist, und der Router übernimmt es für Sie zu optimieren.