비디오: Configuring IP address and static route on Juniper router 2024
Junos 라우터에서 한 가지 유형의 서비스 거부 (DoS) 공격을 저지하려면 Junos policers를 사용하여 라우터가 그러한 공격의 영향을 제한하기 위해 무엇을해야하는지 알릴 수 있습니다.
라우터에 대한 일부 DoS 공격은 라우터에 트래픽을 침투시켜 라우터 인터페이스에 너무 많은 트래픽을 너무 빨리 보내 인터페이스가 압도되어 인터페이스를 통과해야하는 정규 트래픽을 처리 할 수 없게 만듭니다.
이 공격에 대항하는 한 가지 방법은 방화벽 필터가 수행해야하는 작업을 정의 할 때 지정할 수있는 Junos 정책자를 사용하는 것입니다. Policers 는 인터페이스가 수신 할 수있는 트래픽 양 (또는 단지 트래픽 유형)에 제한을 두어 DoS 공격의 영향을 제한 할 수 있습니다.
폴리서는 대역폭 제한을 초과 할 때 최대 허용 대역폭 (초당 평균 비트 수) 및 단일 트래픽 버스트의 최대 허용 크기를 제어합니다. 설정된 한도를 초과하여 수신 된 트래픽은 모두 삭제됩니다.
폴리시는 방화벽 필터의 동작 부분에 사용됩니다. 방화벽 필터에서이를 사용하려면 먼저 폴리 서를 정의해야합니다. 다음 예에서는 최대 트래픽 속도 (대역폭)를 1Mbps로 설정하고이 제한 (버스트 크기)을 초과하는 트래픽 버스트의 최대 크기를 25K로 설정하는 police-ssh-telnet이라는 폴리 서를 만듭니다. 이 한계를 초과하는 트래픽은 무시됩니다.
fred @ router # set policer 경찰 - ssh-telnet 초과 대역폭 - 한계 1m [edit firewall] fred @ router # set policer 경찰 - ssh-telnet 초과하는 경우 burst-size-limit 25k [방화벽 편집] fred @ router # set policer police-ssh-telnet then discard
그런 다음 폴리시 필터를 방화벽 필터 작업에 포함시킵니다. 예를 들어 라우터의 루프백 인터페이스에 이미있는 SSH-Telnet 방화벽 필터에 추가 할 수 있습니다:
폴리서의 한도를 초과하는 트래픽은 방화벽 용어에서 지정한 동작을 취합니다.이 경우 폴리서의 제한을 초과하는 트래픽이 조치를 취하는 반면 지정된 경우 -이 경우 폐기됩니다.폴리시를 정의하여 라우팅 엔진에 대한 트래픽 속도를 제한하는 트래픽은 원하지 않는 트래픽이나 라우터에 대한 가능한 공격에 의해 라우팅 엔진이 압도 당하지 않도록하는 좋은 보안 방법입니다.모든 라우팅 프로토콜 프로세스는 라우터 자체의 핵심 운영에 중요한 라우팅 엔진에서 실행됩니다. 이러한 프로세스가 정상적으로 실행될 수 없으면 결과적으로 네트워크가 불안정해질 수 있습니다.
