Comment concevoir un filtre pare-feu junos

Pour concevoir un filtre de pare-feu Junos correctement, vous devez savoir comment Junos traite les filtres. Il ya deux considérations de base à garder à l'esprit pour vous assurer que vos filtres de pare-feu Junos se comportent de la façon dont vous avez l'intention:

  • Sur la plupart des appareils, vous pouvez appliquer plusieurs filtres de pare-feu dans une chaîne ordonnée. Si vous appliquez le limite-ssh-telnet filtrer à l'interface de bouclage du routeur, cette interface accepte SSH et Telnet trafic, mais rien d'autre. Donc, si vous avez configuré d'autres protocoles, tels que SNMP, BGP, OSPF et IS-IS, à utiliser l'adresse de bouclage comme l'adresse du routeur, les paquets provenant de ces protocoles sont bloqués et ne parviennent pas à le routeur.

    Toutefois, vous pouvez écrire un certain nombre de petits filtres de pare-feu et de les appliquer dans une chaîne, ce qui vous permet de réutiliser des petits morceaux de pare-feu filtres plusieurs fois au lieu d'écrire des filtres pare-feu personnalisés pour chaque interface.

    Lorsque vous configurez une chaîne de filtres de pare-feu, le système d'exploitation Junos agit comme si vous venez de créer un filtre de pare-feu grand, composé des termes de chaque filtre dans l'ordre. (Cela signifie que si vous mettez ce limite-ssh-telnet filtrer la première fois dans une chaîne, tout autre trafic est rejeté indépendamment des filtres de pare-feu restantes, parce que le second terme de la chaîne rejette tout le trafic.)

  • Junos OS évalue les termes dans un filtre de pare-feu (ou chaîne de filtres pare-feu) dans l'ordre, en commençant par le premier. Le routeur traite chaque paquet à travers les termes dans un filtre pare-feu afin jusqu'à ce qu'il trouve une correspondance.

  • Lorsque le routeur trouve une correspondance, il prend les mesures indiquées par ce terme de puis clause, ce qui signifie que vous devez vous assurer trafic sera acceptée ou rejetée au bon endroit, mais pas plus tôt.

    Ainsi, par exemple, si vous souhaitez autoriser tout le trafic Telnet, mais interdit tout autre trafic TCP, vous devez mettre le terme permettant au trafic Telnet avant le terme nier le trafic TCP. Si vous les mettez dans l'ordre inverse, le routeur nier le trafic Telnet (parce Telnet utilise le protocole TCP) et ne jamais atteindre le terme pour permettre le trafic Telnet.

    Vous n'êtes pas, cependant, besoin de vous soucier de l'optimisation de vos filtres de pare-feu, parce que le système d'exploitation Junos fait pour vous. Avoir le logiciel prendre soin de votre filtrage rend votre travail facile. Vous vous inquiétez seulement à faire en sorte que la logique de filtre est dans le bon ordre, et le routeur prend soin de l'optimiser pour vous.


» » » » Comment concevoir un filtre pare-feu junos