Hvordan Design en Junos brannmur Filter

June 20  by Eliza

Å utforme en Junos brannmur filter riktig, må du vite hvordan Junos behandler filtrene. Det er to grunnleggende hensyn å huske på å sikre at dine Junos brannmur filtre oppfører seg slik du har tenkt:

  • På de fleste enheter, kan du bruke flere brannmurfiltre i en ordnet kjeden. Hvis du bruker den grense-ssh-telnet filter til routerâ € ™ s loopback grensesnitt, dette grensesnittet aksepterer SSH og Telnet trafikk, men ingenting annet. Så hvis youâ € ™ ve konfigurert andre protokoller som SNMP, BGP, OSPF, og IS-IS, for å bruke loopback adresse som ruteren adresse, blir pakker fra disse protokollene blokkert og Dona € ™ t nå ruteren.

    Men kan du skrive en rekke mindre brannmur som filtrerer og bruke dem i en kjede, noe som gjør det mulig å gjenbruke mindre biter av brannmur som filtrerer flere ganger i stedet for å skrive egendefinerte brannmurfiltre for hvert grensesnitt.

    Når du konfigurerer en kjede av brannmur filtre, den Junos OS fungerer som om du nettopp hadde skapt en stor brannmur filter, komponert av vilkårene i hvert filter i orden. (Dette betyr at hvis du setter denne grensen-ssh-telnet filter først i en kjede, all annen trafikk avvist uavhengig av de resterende brannmur filtre, fordi det andre leddet i kjeden avviser all trafikk.)

  • Junos OS vurderer vilkårene i en brannmur filter (eller kjede av brannmurfiltre) i rekkefølge, og starter med det første. Ruteren behandler hver pakke gjennom vilkårene i en brannmur filter for til den finner en match.
  • Når ruteren finner et treff, det tar handlingene indikeres av at Terma € ™ s da klausulen, som betyr at du må sørge for trafikk vil bli akseptert eller avvist på rett sted, men ikke før.

    Så, for eksempel, hvis du ønsker å tillate all Telnet-trafikk, men benekter all annen TCP trafikk, må du sette begrepet slik at Telnet trafikk før begrepet nekte TCP trafikk. Hvis du setter dem i omvendt rekkefølge, vil ruteren nekte Telnet trafikk (fordi Telnet bruker TCP) og aldri nå begrepet for å tillate Telnet trafikk.

    Du trenger imidlertid ikke å bekymre deg for å optimalisere brannmurfiltre, fordi Junos OS gjør det for deg. Å ha programvaren ta vare på filtrering gjør jobben lett. Du bare bekymre deg om å sørge for at filteret logikken er i riktig rekkefølge, og ruteren tar seg av å optimalisere det for deg.