Come progettare un filtro Junos Firewall

Per progettare un filtro firewall Junos correttamente, è necessario sapere come Junos elabora i filtri. Ci sono due considerazioni di base da tenere a mente per garantire che i filtri del firewall Junos si comportano nel modo che intende:

  • Sulla maggior parte dei dispositivi, è possibile applicare più filtri del firewall in una catena ordinata. Se si applica il filtro limite-ssh-telnet all'interfaccia di loopback l'RouterA € s, questa interfaccia accetta SSH e Telnet traffico, ma niente altro. Quindi, se youâ € ve configurati altri protocolli, come SNMP, BGP, OSPF e IS-IS, per utilizzare l'indirizzo di loopback come l'indirizzo del router, i pacchetti provenienti da tali protocolli vengono bloccati e Dona € t raggiungere il router.

    Tuttavia, è possibile scrivere una serie di piccoli filtri firewall e applicarli in una catena, che consente di riutilizzare piccoli pezzi di firewall filtri più volte invece di scrivere filtri firewall personalizzato per ogni interfaccia.

    Quando si configura una catena di filtri firewall, il sistema operativo Junos si comporta come se si fosse appena creato un grande filtro firewall, composto dai termini di ogni filtro in ordine. (Questo significa che se si mette prima questo filtro limite-ssh-telnet in una catena, tutto il traffico viene rifiutato indipendentemente restanti filtri firewall, perché il secondo termine della catena rifiuta tutto il traffico.)

  • Junos OS valuta i termini in un filtro firewall (o catena di filtri firewall) in ordine, partendo con il primo. Il router elabora ogni pacchetto attraverso i termini di un filtro firewall in modo finché non trova una corrispondenza.
  • Quando il router trova una corrispondenza, ci vogliono le azioni indicate da allora clausola che Terma € s, il che significa che è necessario assicurare che il traffico sarà accolta o respinta al posto giusto, ma non prima.

    Così, per esempio, se si desidera consentire tutto il traffico Telnet, ma negare tutto il traffico TCP, è necessario mettere termine consentire il traffico Telnet prima del termine negare traffico TCP. Se li mettete in ordine inverso, il router negare il traffico Telnet (perché Telnet utilizza TCP) e non raggiungono mai il termine per consentire il traffico Telnet.

    Non, però, è necessario preoccuparsi di ottimizzare i filtri del firewall, in quanto il sistema operativo Junos fa per voi. Avendo il software prendersi cura della vostra filtraggio rende il lavoro facile. È solo preoccuparsi di fare in modo che la logica filtro è nell'ordine corretto, e il router si occupa di ottimizzare per voi.