1012 EX Firewall Filter
7
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定 知識庫編號:1008 Firewall Filters (ACL)管理原理與配置 為了保護和網絡交換機,Firewall Filter 可以被套用到交換機的 Control Plane 或 Packet Forwarding Engine (PFE)。 Firewall Filter 的種類 EX switch firewall filter(ACL)支援多種類型的 Filters. 雖然語法相同但是依套用的地方不同會 產生不同的功用。 (1) Port (Layer 2) firewall filter Port firewall filters 套用到 Layer 2 switch 介面. 你可以套用 port firewall filters 只在 Inbound 的方向. (2) VLAN firewall filter Virtual LAN (VLAN) firewall filters 提供進入 Vlan 封包的存取控制 可以套用 VLAN firewall filters 在 Vlan Inbound 或 Outbound 的方向。 (3) Router (Layer 3) firewall filter Router firewall filter 在 Inbound 與 Outbound 的方向,套用在 Layer 3 介面或是 Routed VLAN Interfaces (RVI). 你也可以套用 router firewall filter 在 Inbound 的方向在 loopback interface。 你可以設定並且套用一個或多個 firewall filter 在介面上或是 Vlan 或是 Router 介面,依照方 向性(Inbound 或 Outbound).
-
Upload
jason-yang -
Category
Documents
-
view
75 -
download
7
Transcript of 1012 EX Firewall Filter
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定
知識庫編號:1008
Firewall Filters (ACL)管理原理與配置
為了保護和網絡交換機,Firewall Filter 可以被套用到交換機的 Control Plane 或 Packet
Forwarding Engine (PFE)。
Firewall Filter 的種類
EX switch firewall filter(ACL)支援多種類型的 Filters. 雖然語法相同但是依套用的地方不同會
產生不同的功用。
(1) Port (Layer 2) firewall filter
Port firewall filters 套用到 Layer 2 switch 介面. 你可以套用 port firewall filters 只在 Inbound
的方向.
(2) VLAN firewall filter
Virtual LAN (VLAN) firewall filters 提供進入 Vlan 封包的存取控制 可以套用 VLAN firewall
filters 在 Vlan Inbound 或 Outbound 的方向。
(3) Router (Layer 3) firewall filter
Router firewall filter 在 Inbound 與 Outbound 的方向,套用在 Layer 3 介面或是 Routed VLAN
Interfaces (RVI). 你也可以套用 router firewall filter 在 Inbound 的方向在 loopback interface。
你可以設定並且套用一個或多個 firewall filter 在介面上或是 Vlan 或是 Router 介面,依照方
向性(Inbound 或 Outbound).
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定
知識庫編號:1008
Filter Term 解釋
類似政策的觀念,一個 Filter 可由多個 Term 組成,並且每一個 Term 被依順序性檢查,假如
有比對到其中一個 Team 的就不會再比對下去。預設有一條隱性的 Filter 在最後面阻擋全部流
量。
一個 Terminating 的行為包含:
(1) accept
允許封包通過
(2) discard
默默的把封包丟棄
(3) reject
丟棄封包並且送出 ICMP error message 的封包 (預設: administratively prohibited)
(4)其他的行為
類似 log, count, syslog, 等
Filter 匹配的條件
(1) Layer 2 Filter
通常使用到 TCP /UDP /ICMP /IP /Port 號碼或服務類型,另外還有 Layer 2 的 MAC 位址還有
Vlan tags。
(2) Layer 3 Filter
通常使用到 TCP /UDP /ICMP /IP /Port 號碼或服務類型。
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定
知識庫編號:1008
設定範例
如圖,有 2 個 VLANs 如下:
VLAN 10
給內部員工使用網段為 200.2.2/24
VLAN 20
給訪客使用網段為 66.66.66/24
0 2 4 6 8 10 12 14 16 18 20 221 3 5 7 9 11 13 15 17 19 21 23
EX2200 24 PoE
SYS
ALM
POE
EN
DX
SPD
0 1 2 3
0 2 4 6 8 10 12 14 16 18 20 221 3 5 7 9 11 13 15 17 19 21 23
EX2200 24 PoE
SYS
ALM
POE
EN
DX
SPD
0 1 2 3
0 2 4 6 8 10 12 14 16 18 20 221 3 5 7 9 11 13 15 17 19 21 23
EX4200 24PoE
Guest Network
Vlan 20Host 4
Host 1
200.2.2.1/24Vodkila
10.10.1.3
Rum
10.10.1.5
Bourbon
10.10.1.7
200.2.2.4/24
Scotch
10.10.1.9
200.2.2.10/24
Ge-0/0/0
10.3.9.9/24
Ge-0/0/3
10.3.9.3/24
在 Vodkila 的 SW 上有一個往 Internet 的 Default GW,可以讓有的 Vlan 都可以上 Internet。
目標是在保護網路及提供不同的存取給內部員工跟訪客.
首先我們需要套用 Filter 從 Internet 到 Vodkila 的資料,之後我們開始針對我們的目標建立 Filter
在這一個 Case 中全部 Outbound 到 Internet 的資料都被允許,只有一些 Inbound 的資料被 Filter
我們的目標如下:
(1) 只允許 TCP 的資料可以被送到 Internet.
(2) 允許 TCP fragments.
(3) 只允許“traceroutes” 和 “return” 的 UDP 封包進來.
(4) 允許 Ping 和 traceroute 的封包送出去 .
(5) 允許 Traceroute 的封包送進來.
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定
知識庫編號:1008
首先我們定義 Filter 的名稱叫做 Internet-In。
第一個 Deny TCP 的規則在 Inbound 的方向,從任何地方到目的地是內部的網段,我們也可以
執行 Count 並且給它一個名稱叫 deny-i-tcp。
設定如下:
lab@RUM# set firewall family inet filter Internet-In
lab@RUM# show firewall family inet
term deny-inbound-tcp {
from {
destination-address {
200.2.2.0/24;
66.66.66.0/24;
}
protocol tcp;
tcp-initial;
}
then {
count deny-i-tcp;
discard;
}
}
下一步,我們建立一個 Term 用來允許封包從 Internet 過來。由於 Inbound 的 TCP 封包已經被
上一個 Term deny 了,在這邊允許 Outbound 的 TCP 封包
設定如下:
term allow-outbound-tcp {
from {
200.2.2.0/24;
66.66.66.0/24;
}
protocol tcp;
}
then {
count allow-o-tcp;
accept;
}
}
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定
知識庫編號:1008
TCP fragments 的條件設定如下:
term allow-tcp-frags {
from {
is-fragment;
protocol tcp;
}
then {
count tcp-frags;
accept;
}
}
下一步 Internet 的網段被允許收到進來的 UDP 封包(沒有被分割) 並且被執行 Count。這步驟
允許從 Outbound 的 UDP session 被送回來。
設定如下:
term allow-udp {
from {
destination-address {
200.2.2.0/24;
66.66.66.0/24;
}
protocol udp;
}
then {
accept;
count count-udp;
}
最後,ping 和 traceroute 被允許 Outbound 和 Count,由於這是一個 input filter,回來的封包都
被允許(包含 echo replies 和 time exceeds message),同時 unreachable 的訊息要被允許在任一個
可能發生的 Outbound 錯誤回應的地方。
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定
知識庫編號:1008
設定如下:
term allow-some-icmp-outbound {
from {
destination-address {
200.2.2.0/24;
66.66.66.0/24;
}
protocol icmp;
icmp-type [ echo-reply time-exceeded unreachable ];
}
then {
count icmp;
accept;
}
}
最後 deny Term 被加在最後一個 Filter,因為這是一個預設的行為,這一個範例展示被 deny
的資料都必須被 Count
設定的方法如下:
term denied-traffic {
then {
count denied;
discard;
}
}
Juniper EX 網路交換器 Firewall Filters 功能介紹與設定
知識庫編號:1008
Vodkila 被套用 filter 在 input 的方向在與 Scotch 連結的介面上
設定如下:
[edit interfaces ge-0/0/8]
lab@Vodkila# show
unit 0 {
family inet {
filter {
input Internet-In;
}
address 10.3.9.8/24;
}
}
lab@Vodkila# commit
觀察資料 match Filter 的狀況 可以利用之前在每個 Filter 所設定的 Count 來觀察
觀察結果如下:
lab@Vodkila# run show firewall
Filter: Internet-In
Counters:
Name Bytes Packets
allow-o-tcp 1904 28
count-udp 576 9
denied 408 4
deny-i-tcp 642 9
icmp 812 8
tcp-frags 0 0
若您的問題未能獲得解決,請簡述您的問題,寄至湛揚科技技術服務信箱,我們會盡快為您處理。
湛揚科技技術服務信箱:[email protected]
