Como projetar um filtro Junos Firewall

Para projetar um filtro de firewall Junos corretamente, você precisa saber como Junos processa os filtros. Há duas considerações básicas a ter em conta para garantir que seus filtros de firewall Junos se comportam da maneira que você pretende:

  • Na maioria dos dispositivos, você pode aplicar vários filtros de firewall em uma cadeia ordenada. Se você aplicar o -limite ssh-telnet filtrar a interface loopback do roteador, essa interface aceita o tráfego SSH e Telnet, mas nada mais. Então, se você tiver configurado outros protocolos, como SNMP, BGP, OSPF e IS-IS, para usar o endereço de auto-retorno como o endereço do roteador, os pacotes a partir desses protocolos são bloqueados e não alcançam o roteador.

    No entanto, você pode escrever uma série de filtros de firewall menores e aplicá-los em uma cadeia, que permite a reutilização de pequenos pedaços de firewall filtros várias vezes em vez de escrever filtros de firewall personalizado para cada interface.

    Quando você configura uma cadeia de filtros de firewall, o Junos OS age como se você tinha acabado de criar um grande filtro de firewall, composto dos termos de cada filtro em ordem. (Isto significa que se você colocar esse -limite ssh-telnet filtrar pela primeira vez em uma cadeia, todo o tráfego é rejeitada, independentemente dos restantes filtros de firewall, porque o segundo mandato da cadeia rejeita todo o tráfego.)

  • Junos OS avalia os termos de um filtro de firewall (ou cadeia de filtros de firewall) em ordem, começando com o primeiro. O roteador processa cada pacote através dos termos em um filtro de firewall em ordem até que ele encontra uma correspondência.

  • Quando o roteador encontra uma correspondência, ele leva as ações indicadas por esse termo de então cláusula, o que significa que você deve garantir que o tráfego vai ser aceito ou rejeitado no lugar certo, mas não mais cedo.

    Assim, por exemplo, se você quiser permitir que todo o tráfego de Telnet, mas negar todo o tráfego TCP, você precisa colocar o tráfego Telnet termo permitindo antes que o tráfego TCP prazo negar. Se você colocá-los na ordem inversa, o roteador irá negar o tráfego de Telnet (porque Telnet usa TCP) e nunca atingir o prazo para permitir o tráfego de Telnet.

    Você não, no entanto, precisa de se preocupar sobre como otimizar seus filtros de firewall, porque o sistema operacional Junos faz isso para você. Ter o software cuidar de sua filtragem torna a sua tarefa fácil. Você apenas se preocupar com certificando-se de que a lógica do filtro é na ordem correta, eo roteador cuida de otimizá-lo para você.

menu