Wie die Junos Routing Engine Protect
Obwohl alle Schnittstellen von Bedeutung sind, die Loopback (lo0Schnittstelle) ist vielleicht der wichtigste, weil es die Verbindung zum Routing Engine ist, die läuft und überwacht alle Routing-Protokolle. Dieser Artikel enthält das Skelett eines Firewall-Filter, der die Routing-Engine schützt. Sie können dieses Beispiel als Vorlage verwenden Sie den entsprechenden Filter für Ihren Router zu entwerfen. Der Filter wird auf den Router angewendet lo0 Schnittstelle.
Dieser Filter ist für einen Router für einen gemeinsamen IPv4-Setup konfiguriert:
IPv4
BGP und IS-IS-Routing-Protokolle
RADIUS, SSH und Telnet-Zugriff
SNMP NMS Zugang
NTP
Da Firewall-Filter, um ausgewertet werden, legen Sie die meisten zeitkritischen Elemente - die Routing-Protokolle - zuerst. Akzeptieren Sie den Verkehr von Ihrem bekannten BGP-Peers und aus den bekannten IS-IS Nachbarn mit dem AS mit dem folgenden Set Befehle:
[Bearbeiten Firewall-Filter-Routing-Engine] eingestellt Begriff BGP-Filter von der Quelle-Adresse Peer-address1Satz Begriff BGP-Filter von der Quelle-Adresse Peer-address2set Begriff BGP-Filter von Protokoll tcpset Begriff BGP-Filter von Port bgpset Begriff BGP-Filter dann akzeptieren
Dann DNS-Verkehr akzeptieren (für Auflösung von Hostnamen):
[Bearbeiten Firewall-Filter-Routing-Engine] eingestellt Begriff dns-Filter von der Quelle-Adresse Netzwerkadresseset Begriff dns-Filter von Protokoll [tcp udp] eingestellt Begriff dns-Filter von Port domainset Begriff dns-Filter dann akzeptieren
Als nächstes annehmen RADIUS, SSH, Telnet und SNMP-NMS Verkehr:
[Bearbeiten Firewall-Filter-Routing-Engine] eingestellt Begriff Radius-Filter von der Quelle-Adresse Radius-Server-address1Set Begriff Radius-Filter von der Quelle-Adresse Radius-Server-address2set Begriff Radius-Filter von der Quelle-Port radiusset Begriff Radius-Filter dann Begriff ssh-Telnet-Filter von der Quelle-Adresse acceptset Netzwerk-address1set Begriff ssh-Telnet-Filter von der Quelle-Adresse Netzwerk-address2set Begriff ssh-Telnet-Filter aus Protokoll tcpset Begriff ssh-Telnet-Filter von Ziel-port [ssh telnet] acceptset Begriff snmp-Filter von der Quelle-Adresse Begriff ssh-Telnet-Filter-Set dann Netzwerk-address1Satz Begriff snmp-Filter von der Quelle-Adresse Netzwerk-address2set Begriff snmp-Filter von Protokoll udpset Begriff snmp-Filter von Ziel-Port snmpset Begriff snmp-Filter dann akzeptieren
Der letzte Verkehr zu akzeptieren ist von den NTP-Zeitserver und das ICMP-Protokoll (die Nachrichten IPv4 Fehler sendet):
[Bearbeiten Firewall-Filter-Routing-Engine] eingestellt Begriff ntp-Filter von der Quelle-Adresse Server-address1Satz Begriff ntp-Filter von der Quelle-Adresse Server-address2Satz Begriff ntp-Filter von der Quelle-Adresse 127.0.0.1set Begriff ntp-Filter von Protokoll udpset Begriff ntp-Filter von Port ntpset Begriff ntp-Filter acceptset Begriff icmp-Filter von Protokoll icmpset Begriff icmp-Filter von icmp-type [Echo-Request-Echo-Antwort nicht erreichbar zeit überschritten Quelle-Quench dann ] eingestellt Begriff icmp-Filter dann akzeptieren
Der letzte Teil des Filters verwirft ausdrücklich alle anderen Verkehr:
[Bearbeiten Firewall-Filter-Routing-Engine] eingestellt Begriff Discard-the-Rest dann zählen Gegendateinameset Begriff Discard-the-Rest dann LOGSET Begriff Discard-the-Rest dann syslogset Begriff Discard-the-Rest dann ablehnen
Sie müssen die Datei, in der zu legen Sie die Syslog-Meldungen zu erstellen:
[Bearbeiten System] fred @ Router # syslog-Datei festgelegt Dateiname Firewall jede
Und schließlich gelten die Firewall-Filter auf die Loopback-Schnittstelle des Routers:
[Bearbeiten Schnittstellen] fred @ Router # set lo0 Einheit 0 Familie inet Filtereingang Routing-Engine