비디오: 네트워크전문가 따라잡기 정기 세미나 -주니퍼방화벽편 2024
Junos 방화벽 필터를 올바르게 설계하려면 Junos가 필터를 처리하는 방법을 알아야합니다. Junos 방화벽 필터가 의도 한대로 동작하도록하려면 다음 두 가지 기본 고려 사항을 고려해야합니다.
-
대부분의 장치에서 순서가 지정된 체인에 여러 개의 방화벽 필터를 적용 할 수 있습니다. 라우터의 루프백 인터페이스에 limit-ssh-telnet 필터를 적용하면이 인터페이스는 SSH 및 Telnet 트래픽을 허용하지만 다른 것은 허용하지 않습니다. 따라서 SNMP, BGP, OSPF 및 IS-IS와 같은 다른 프로토콜을 구성하여 루프백 주소를 라우터 주소로 사용하면 해당 프로토콜의 패킷이 차단되어 라우터에 도달하지 않습니다.
->그러나 여러 개의 작은 방화벽 필터를 작성하여 체인에 적용 할 수 있으므로 각 인터페이스에 대해 사용자 지정 방화벽 필터를 작성하는 대신 작은 크기의 방화벽 필터를 여러 번 재사용 할 수 있습니다.
방화벽 필터 체인을 구성하면 Junos OS는 각 필터 조건을 순서대로 구성하여 방대한 방화벽 필터를 방금 생성 한 것처럼 작동합니다. 이것은 chain의 두 번째 항목이 모든 트래픽을 거부하기 때문에 나머지 firewall 필터와 상관없이 다른 모든 트래픽은 거부됩니다.
-
Junos OS는 방화벽 필터 (또는 방화벽 필터 체인)의 용어를 첫 번째부터 순서대로 평가합니다. 라우터는 방화벽 필터의 용어를 통해 각 패킷을 순서대로 처리하여 일치하는 항목을 찾습니다.
-
라우터가 일치하는 항목을 찾으면 해당 용어의 then 절에 표시된 작업을 수행합니다. 즉, 올바른 위치에서 트래픽을 수락하거나 거부해야 할지를 결정해야합니다.
그러나 Junos OS가 방화벽 필터를 최적화하기 때문에 걱정하지 않아도됩니다. 소프트웨어로 필터링하면 관리가 쉬워집니다. 필터 논리가 올바른 순서인지 확인하는 것에 대해 걱정할뿐입니다. 라우터가 최적화를 처리합니다.
