Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

스테이트풀 방화벽

Junos Network Secure 개요

라우터는 방화벽을 사용하여 트래픽 흐름을 추적하고 제어합니다. 적응형 서비스 및 멀티서비스 PIC는 라고 불리는 방화벽 유형을 사용합니다. 격리된 패킷을 검사하는 방화벽과 달리, 상태 저장 방화벽은 과거 통신 및 기타 애플리케이션에서 파생된 상태 정보를 사용하여 새로운 통신 시도에 대한 동적 제어 결정을 내림으로써 추가 보안 계층을 제공합니다.

참고:

ACX 시리즈 라우터에서 스테이트풀 방화벽 구성은 ACX500 실내 라우터에서만 지원됩니다.

와 관련된 상태 저장 방화벽 그룹입니다. 흐름은 다음 다섯 가지 속성으로 식별됩니다.

  • 소스 주소

  • 소스 포트

  • 목적지 주소

  • 목적지 포트

  • 프로토콜

일반적인 TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 대화는 시작 흐름과 응답자 흐름의 두 가지 흐름으로 구성됩니다. 그러나 FTP 대화와 같은 일부 대화는 두 개의 제어 플로우와 많은 데이터 플로우로 구성될 수 있습니다.

방화벽 규칙은 대화를 설정할 수 있는지 여부를 제어합니다. 대화가 허용되면 대화의 수명 주기 동안 생성된 흐름을 포함하여 대화 내의 모든 흐름이 허용됩니다.

강력한 규칙 기반 대화 처리 경로를 사용하여 상태 저장 방화벽을 구성합니다. A는 방향, 원본 주소, 원본 포트, 대상 주소, 대상 포트, IP 프로토콜 값, 애플리케이션 프로토콜 또는 서비스로 구성됩니다. 구성하는 특정 값 외에도 규칙 개체, 주소 또는 포트에 값을 any 할당하여 모든 입력 값과 일치하도록 할 수 있습니다. 마지막으로, 선택적으로 규칙 개체를 부정할 수 있으며, 이 경우 유형별 일치 결과가 무효화됩니다.

방화벽 규칙은 방향성이 있습니다. 각각의 새로운 대화에 대해 라우터 소프트웨어는 규칙에서 지정한 방향과 일치하는 시작 흐름을 확인합니다.

방화벽 규칙의 순서가 지정됩니다. 소프트웨어는 구성에 포함된 순서대로 규칙을 확인합니다. 방화벽이 처음으로 일치 항목을 발견하면 라우터는 해당 규칙에 지정된 작업을 구현합니다. 아직 선택되지 않은 규칙은 무시됩니다.

참고:

Junos OS 릴리스 14.2부터 MS-MPC 및 MS-MIC 인터페이스 카드는 Junos Network Secure Stateful Firewall에 대한 IPv6 트래픽을 지원합니다.

자세한 내용은 Configuring Stateful Firewall Rules를 참조하십시오.

애플리케이션 프로토콜에 대한 스테이트풀 방화벽 지원

AS 또는 멀티서비스 PIC 방화벽은 애플리케이션 프로토콜 데이터를 검사하여 보안 정책을 지능적으로 시행하고 필요한 최소한의 패킷 트래픽만 방화벽을 통과하도록 허용할 수 있습니다.

방화벽 규칙은 인터페이스와 관련하여 구성됩니다. 기본적으로 스테이트풀 방화벽은 인터페이스 뒤의 호스트에서 시작된 모든 세션이 라우터를 통과하도록 허용합니다.

참고:

스테이트풀 방화벽 ALG는 ACX500 라우터에서 지원되지 않습니다.

스테이트풀 방화벽 이상 검사

스테이트풀 방화벽은 다음 이벤트를 이상으로 인식하고, 처리를 위해 IDS 소프트웨어로 전송합니다.

  • IP 이상:

    • IP 버전이 올바르지 않습니다.

    • IP 헤더 길이 필드가 너무 작습니다.

    • IP 헤더 길이는 전체 패킷보다 크게 설정됩니다.

    • 헤더 체크섬이 잘못되었습니다.

    • IP total length 필드가 헤더 길이보다 짧습니다.

    • 패킷에 잘못된 IP 옵션이 있습니다.

    • ICMP(Internet Control Message Protocol) 패킷 길이 오류입니다.

    • TTL(Time-to-Live)은 0과 같습니다.

  • IP 주소 이상:

    • IP 패킷 소스는 브로드캐스트 또는 멀티캐스트입니다.

    • 토지 공격(소스 IP는 대상 IP와 동일).

  • IP 단편화 이상:

    • IP 조각이 겹칩니다.

    • IP 조각이 누락되었습니다.

    • IP 프래그먼트 길이 오류입니다.

    • IP 패킷 길이가 64KB 이상입니다.

    • 작은 파편 공격.

  • TCP 이상:

    • TCP 포트 0.

    • TCP 시퀀스 번호 0 및 플래그 0.

    • TCP 시퀀스 번호 0 및 FIN/PSH/RST 플래그 세트.

    • 잘못된 조합의 TCP 플래그(TCP FIN/RST 또는 SYN/(URG|핀|RST)입니다.

    • TCP 체크섬이 잘못되었습니다.

  • UDP 이상:

    • UDP 원본 또는 대상 포트 0입니다.

    • UDP 헤더 길이를 확인하지 못했습니다.

    • UDP 체크섬이 잘못되었습니다.

  • 상태 저장 TCP 또는 UDP 검사를 통해 발견된 이상:

    • SYN에 이어 개시자의 ACK가 없는 SYN-ACK 패킷이 뒤따릅니다.

    • SYN에 이어 RST 패킷이 뒤따릅니다.

    • SYN-ACK가 없는 SYN.

    • 비 SYN 첫 번째 플로우 패킷.

    • SYN 패킷에 대한 ICMP 도달 불가 오류입니다.

    • UDP 패킷에 대한 ICMP 도달 불가 오류입니다.

  • 스테이트풀 방화벽 규칙에 따라 손실된 패킷.

참고:

ACX500 라우터는 IP 단편화 이상을 지원하지 않습니다.

스테이트풀 디텍션과 함께 스테이트풀 이상 디텍션을 사용하는 경우, IDS는 다음을 포함한 광범위한 공격에 대한 조기 경고를 제공할 수 있습니다.

  • TCP 또는 UDP 네트워크 프로브 및 포트 검색

  • SYN 플러드 공격

  • IP 단편화 기반 공격(예: 티어드롭(teardrop), 봉크(bonk), 보잉크(boink)

스테이트풀 방화벽 규칙 구성

스테이트풀 방화벽 규칙을 구성하려면 계층 수준에서 명령문을 포함합니다rule rule-name.[edit services stateful-firewall]

참고:

ACX500 라우터는 [edit services stateful-firewall rule rule-name term term-name from] 계층 수준의 애플리케이션 및 애플리케이션 세트를 지원하지 않습니다.
참고:

ACX500 라우터에서 syslog를 활성화하려면 [edit services service-set service-set-name syslog host local class] 계층 수준에 CLI 문을 포함합니다stateful-firewall-logs.
참고:

edit services stateful-firewall SRX 시리즈에서는 계층 구조가 지원되지 않습니다.

각 스테이트풀 방화벽 규칙은 계층 수준에서 구성된 필터와 유사한 용어 집합으로 [edit firewall] 구성됩니다. 용어는 다음과 같이 구성됩니다.

  • from statement - 포함 및 제외되는 일치 조건 및 애플리케이션을 지정합니다. 문은 from 상태 저장 방화벽 규칙에서 선택 사항입니다.

  • then statement - 라우터 소프트웨어가 수행할 작업 및 작업 수정자를 지정합니다. 문 then 은 스테이트풀 방화벽 규칙에서 필수입니다.

ACX500 시리즈 라우터는 스테이트풀 방화벽 규칙을 구성하는 동안 다음을 지원하지 않습니다.

  • match-direction (output | input-output)

  • post-service-filter 인터페이스 서비스 입력 계층 수준에서.

  • IPv6 소스 주소 및 대상 주소.

  • application-sets, , application[allow-ip-optionsedit services stateful-firewall] 계층 수준에서.

  • 애플리케이션 레이어 게이트웨이(ALG).

  • MS-MIC(Multiservices Modular Interfaces Card) 및 인라인 서비스(-si) 내 서비스 체이닝.

  • 서비스 클래스.

  • 다음 show services stateful-firewall CLI 명령은 지원되지 않습니다.

    • show services stateful-firewall conversations- 대화 표시

    • show services stateful-firewall flow-analysis- 플로우 테이블 항목 표시

    • show services stateful-firewall redundancy-statistics- 중복 통계 표시

    • show services stateful-firewall sip-call- SIP 통화 정보 표시

    • show services stateful-firewall sip-register- SIP 레지스터 정보 표시

    • show services stateful-firewall subscriber-analysis- 구독자 테이블 항목 표시

다음 섹션에서는 스테이트풀 방화벽 규칙의 구성 요소를 구성하는 방법을 설명합니다.

스테이트풀 방화벽 규칙에 대한 일치 방향 구성

각 규칙에는 match-direction 규칙 일치가 적용되는 방향을 지정하는 문이 포함되어야 합니다. 일치가 적용되는 위치를 구성하려면 계층 수준에서 문을 [edit services stateful-firewall rule rule-name] 포함합니다match-direction.

참고:

ACX500 시리즈 라우터는 를 지원하지 match-direction (output | input-output)않습니다.

를 구성 match-direction input-output하면 양방향에서 시작된 세션이 이 규칙과 일치할 수 있습니다.

일치 방향은 AS 또는 멀티서비스 PIC를 통과하는 트래픽 플로우와 관련하여 사용됩니다. 패킷이 PIC로 전송되면 방향 정보가 함께 전달됩니다.

인터페이스 서비스 세트에서 패킷 방향은 패킷이 서비스 세트가 적용되는 인터페이스에 들어오는지 또는 나가는지에 따라 결정됩니다.

다음 홉 서비스 세트를 사용하면 패킷을 AS 또는 멀티서비스 PIC로 라우팅하는 데 사용되는 인터페이스에 따라 패킷 방향이 결정됩니다. 내부 인터페이스가 패킷을 라우팅하는 데 사용되는 경우 패킷 방향이 입력됩니다. 패킷을 PIC로 보내는 데 외부 인터페이스가 사용되면 패킷 방향이 출력됩니다. 내부 및 외부 인터페이스에 대한 자세한 내용은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.

PIC에서는 플로우 조회가 수행됩니다. 플로우를 찾을 수 없는 경우 규칙 처리가 수행됩니다. 이 서비스 세트의 규칙은 일치 항목이 발견될 때까지 순서대로 고려됩니다. 규칙을 처리하는 동안 패킷 방향이 규칙 방향과 비교됩니다. 패킷 방향과 일치하는 방향 정보가 있는 규칙만 고려됩니다. 대부분의 패킷은 양방향 플로우를 생성합니다.

스테이트풀 방화벽 규칙에서 일치 조건 구성

스테이트풀 방화벽 일치 조건을 구성하려면 계층 수준에서 명령문을 포함합니다from.[edit services stateful-firewall rule rule-name term term-name]

참고:

ACX500 라우터는 [edit services stateful-firewall rule rule-name term term-name from] 계층 수준의 애플리케이션 및 애플리케이션 세트를 지원하지 않습니다.

소스 주소 및 대상 주소는 IPv4 또는 IPv6일 수 있습니다.

방화벽 필터를 구성할 때와 동일한 방식으로 소스 주소 또는 대상 주소를 일치 조건으로 사용할 수 있습니다. 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오. 와일드카드 값 any-unicast은 모든 유니캐스트 주소의 일치를 나타내고, 은 모든 IPv4 주소의 일치를 나타내며, any-ipv4은 모든 IPv6 주소 any-ipv6의 일치를 나타냅니다.

또는 계층 수준에서 문을 구성한 prefix-list 다음 스테이트풀 방화벽 규칙에 또는 문을 [edit policy-options] 포함하여 destination-prefix-list 소스 또는 대상 source-prefix-list 접두사 목록을 지정할 수 있습니다. 예를 들어 예제: 상태 저장 방화벽 규칙 구성을 참조하십시오.

이 용어를 from 생략하면 상태 저장 방화벽이 모든 트래픽을 허용하고 기본 프로토콜 처리기가 적용됩니다.

  • UDP(User Datagram Protocol), TCP(Transmission Control Protocol) 및 ICMP(Internet Control Message Protocol)는 예측된 역방향 흐름을 사용하여 양방향 흐름을 만듭니다.

  • IP는 단방향 흐름을 생성합니다.

계층 수준에서 구성한 [edit applications] 응용 프로그램 프로토콜 정의를 포함할 수도 있습니다. 자세한 내용은 응용 프로그램 속성 구성을 참조하십시오.

  • 하나 이상의 특정 애플리케이션 프로토콜 정의를 적용하려면 계층 수준에서 문을 [edit services stateful-firewall rule rule-name term term-name from] 포함합니다applications.

  • 정의한 하나 이상의 애플리케이션 프로토콜 정의 집합을 적용하려면 계층 수준에서 문을 [edit services stateful-firewall rule rule-name term term-name from] 포함합니다application-sets.

    참고:

    애플리케이션 프로토콜을 지정하는 문 중 하나를 포함하면 라우터는 계층 수준의 해당 구성 [edit applications] 에서 포트 및 프로토콜 정보를 파생하므로 이러한 속성을 일치 조건으로 지정할 수 없습니다.

스테이트풀 방화벽 규칙에서 작업 구성

스테이트풀 방화벽 작업을 구성하려면 계층 수준에서 문을 포함합니다then.[edit services stateful-firewall rule rule-name term term-name]

다음 작업 중 하나를 포함해야 합니다.

  • accept- 패킷이 수락되어 대상으로 전송됩니다.

  • accept skip-ids- 패킷이 수락되고 대상으로 전송되지만, MS-MPC에 구성된 IDS 규칙 처리는 건너뜁니다.

  • discard- 패킷이 수락되지 않으며 더 이상 처리되지 않습니다.

  • reject- 패킷이 수락되지 않고 거부 메시지가 반환됩니다. UDP는 ICMP의 도달 불가 코드를 전송하고 TCP는 RST를 전송합니다. 거부된 패킷은 기록되거나 샘플링될 수 있습니다.

참고:

ACX500 실내 라우터는 작업을 accept skip-ids지원하지 않습니다.

선택적으로 계층 레벨에서 문을 포함하여 syslog 시스템 로깅 기능에 정보를 기록하도록 방화벽을 [edit services stateful-firewall rule rule-name term term-name then] 구성할 수 있습니다. 이 문은 서비스 세트 또는 인터페이스 기본 구성에 포함된 모든 syslog 설정을 재정의합니다.

IP 옵션 처리 구성

선택적으로 계층 수준에서 문을 포함하여 allow-ip-options IP 헤더 정보를 검사하도록 방화벽을 [edit services stateful-firewall rule rule-name term term-name then] 구성할 수 있습니다. 이 문을 구성할 때 문에 from 지정된 기준과 일치하는 모든 패킷은 추가 일치 기준의 적용을 받습니다. 패킷은 모든 IP 옵션 유형이 문에서 allow-ip-options 값으로 구성된 경우에만 수락됩니다. 을(를) 구성 allow-ip-options하지 않으면 IP 헤더 옵션이 없는 패킷만 허용됩니다.

참고:

ACX500 실내 라우터는 문 구성을 allow-ip-options 지원하지 않습니다.

추가 IP 헤더 옵션 검사는 및 스테이트풀 방화벽 작업에만 accept reject 적용됩니다. 이 구성은 작업에 영향을 주지 discard 않습니다. IP 헤더 검사가 실패하면 거부 프레임이 전송되지 않습니다. 이 경우 reject 작업은 와 discard동일한 효과를 갖습니다.

IP 옵션 패킷이 스테이트풀 방화벽에 의해 수락되면, 네트워크 주소 변환(NAT) 및 침입 탐지 서비스(IDS)는 IP 옵션 헤더가 없는 패킷과 동일한 방식으로 적용됩니다. IP 옵션 구성은 스테이트풀 방화벽 규칙에만 나타납니다. NAT는 IP 옵션이 있거나 없는 패킷에 적용됩니다.

IP 옵션 검사에 실패하여 패킷이 삭제되면 이 예외 이벤트는 IDS 이벤트 및 시스템 로그 메시지를 모두 생성합니다. 이벤트 유형은 거부된 첫 번째 IP 옵션 필드에 따라 다릅니다.

표 1 에는 명령문에 가능한 값이 나열되어 있습니다 allow-ip-options . 숫자 값의 범위나 집합 또는 하나 이상의 미리 정의된 IP 옵션 설정을 포함할 수 있습니다. 옵션 이름 또는 이에 해당하는 숫자를 입력할 수 있습니다. 자세한 내용은 http://www.iana.org/assignments/ip-parameters 를 참조하십시오.

표 1: IP 옵션 값

IP 옵션 이름

숫자 값

코멘트

any

0

모든 IP 옵션

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

또한보십시오

스테이트풀 방화벽 규칙 집합 구성

명령문은 rule-set 라우터 소프트웨어가 데이터 스트림의 패킷에 대해 수행하는 작업을 결정하는 상태 저장 방화벽 규칙 모음을 정의합니다. 규칙 이름을 지정하고 용어를 구성하여 각 규칙을 정의합니다. 그런 다음 각 규칙에 대한 문과 함께 rule 계층 수준에서 문을 [edit services stateful-firewall] 포함하여 rule-set 규칙의 순서를 지정합니다.

라우터 소프트웨어는 구성에서 지정한 순서대로 규칙을 처리합니다. 규칙의 용어가 패킷과 일치하면 라우터가 해당 작업을 수행하고 규칙 처리가 중지됩니다. 규칙의 용어가 패킷과 일치하지 않으면 규칙 집합의 다음 규칙으로 처리가 계속됩니다. 패킷과 일치하는 규칙이 없으면 기본적으로 패킷이 삭제됩니다.

예제: 스테이트풀 방화벽 규칙 구성

다음 예제에서는 지정된 애플리케이션 집합의 입력 일치와 지정된 원본 주소의 출력 일치에 대한 규칙 두 개를 포함하는 상태 저장 방화벽 구성을 보여 줍니다.

다음 예제에는 두 개의 용어가 있는 단일 규칙이 있습니다. 첫 번째 용어는 지정된 소스 주소에서 시작되는 모든 트래픽을 my-application-group 거부하고 거부된 패킷에 대한 자세한 시스템 로그 레코드를 제공합니다. 두 번째 용어는 모든 사용자로부터 지정된 대상 주소로의 HTTP(Hypertext Transfer Protocol) 트래픽을 허용합니다.

다음 예제에서는 소스 및 대상 접두사 목록을 사용하는 방법을 보여 줍니다. 이를 위해서는 두 개의 개별 구성 항목이 필요합니다.

계층 수준에서 접두사 목록을 [edit policy-options] 구성합니다.

스테이트풀 방화벽 규칙에서 구성된 접두사 목록을 참조합니다.

이는 다음 구성과 동일합니다.

다음 예제와 except 같이 접두사 목록에 한정자를 사용할 수 있습니다. 이 경우 except 한정자는 접두사 목록에 p2포함된 모든 접두사에 적용됩니다 .

스테이트풀 방화벽 구성을 다른 서비스 및 가상 사설망(VPN) 라우팅 및 포워딩(VRF) 테이블과 결합하는 추가 예는 구성 예를 참조하십시오.

참고:

서비스 세트를 정의하고 인터페이스 스타일 또는 다음 홉 스타일로 할당할 수 있습니다.

또한보십시오

예: BOOTP 및 브로드캐스트 주소

다음 예는 부트스트랩 프로토콜(BOOTP) 및 브로드캐스트 주소를 지원합니다.

예: 2개의 PIC에서 레이어 3 서비스 및 서비스 SDK 구성

두 개의 PIC에서 레이어 3 서비스 패키지와 서비스 SDK를 구성할 수 있습니다. 이 예제에서는 FTP 또는 HTTP 클라이언트와 서버를 구성해야 합니다. 이 구성에서 라우터 인터페이스의 클라이언트 측은 ge-1/2/2.1이고 라우터 인터페이스의 서버 측은 ge-1/1/0.48입니다. 이 구성을 사용하면 uKernel PIC에서 스테이트풀 방화벽(SFW)을 사용하는 NAT(Network Address Translation)와 FTP 또는 HTTP 트래픽용 서비스 SDK PIC에서 애플리케이션 식별(APPID), 애플리케이션 인식 액세스 목록(AACL) 및 침입 탐지 및 방지(IDP)를 사용할 수 있습니다.

참고:

서비스 SDK는 아직 NAT를 지원하지 않습니다. NAT가 필요한 경우 레이어 3 서비스 패키지를 구성하여 APPID, AACL 또는 IDP와 같은 서비스 SDK와 함께 NAT를 구축할 수 있습니다.
참고:

침입 탐지 및 방지(IDP) 기능은 Junos OS 릴리스 17.1R1 이상용 MX 시리즈에서 더 이상 사용되지 않습니다.

2개의 PIC에 레이어 3 서비스 패키지 및 서비스 SDK를 구축하려면:

  1. 구성 모드에서 다음 계층 수준으로 이동합니다.
  2. 계층 수준에서 스테이트풀 방화벽 규칙 r1에 대한 조건을 구성합니다.

    이 예에서 스테이트풀 방화벽 용어는 ALLOWED-SERVICES입니다. 애플리케이션 이름(junos-ftp, junos-http 및 junos-icmp-ping)을 괄호로 application-name묶습니다.

  3. 스테이트풀 방화벽 규칙 r2에 대한 조건을 구성합니다.

    이 예에서 스테이트풀 방화벽 용어는 term1입니다.

  4. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  5. 다음 계층 수준으로 이동합니다.
  6. 계층 수준에서 네트워크 주소 변환(NAT) 풀을 구성합니다.

    이 예에서 NAT 풀은 OUTBOUND-SERVICES이고 IP 주소는 10.48.0.2/32입니다.

  7. NAT 규칙을 구성합니다.

    이 예제에서 NAT 규칙은 SET-MSR-ADDR이고, NAT 용어는 TRANSLATE-SOURCE-ADDR이며, 원본 풀은 OUTBOUND-SERVICES입니다. 애플리케이션 이름(junos-ftp, junos-http 및 junos-icmp-ping)을 괄호 application-name안에 표시합니다.

  8. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  9. 다음 계층 수준으로 이동합니다.
    참고:

    [edit security idp] 문은 Junos OS용 MX 시리즈 릴리스 17.1R1 이상에서 더 이상 사용되지 않습니다.
  10. 계층 수준에서 침입 탐지 및 방지(IDP) 정책을 구성합니다.

    이 예에서 침입 탐지 및 방지(IDP) 정책은 test1, 규칙은 r1, 사전 정의된 공격은 FTP:USER:ROOT이고, 사전 정의된 공격 그룹은 " 권장 공격"입니다.

  11. 침입 탐지 및 방지(IDP) 서비스에 대한 추적 옵션을 구성합니다.

    이 예에서 로그 파일 이름은 idp-demo.log입니다.

  12. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  13. 다음 계층 수준으로 이동합니다.
  14. 계층 수준에서 AACL 규칙을 구성합니다.

    이 예에서 AACL 규칙은 앱을 인식 하며 용어는 t1입니다.

  15. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  16. 다음 계층 수준으로 이동합니다.
  17. APPID 프로필을 구성합니다.

    이 예에서 APPID 프로필은 더미 프로필입니다.

  18. 침입 탐지 및 방지(IDP) 프로필을 구성합니다.

    이 예에서 침입 탐지 및 방지(IDP) 프로필은 test1입니다.

  19. 정책 결정 통계 프로필을 구성합니다.

    이 예에서 정책 결정 통계 프로필은 lpdf-stats입니다.

  20. AACL 규칙을 구성합니다.

    이 예제에서 AACL 규칙 이름은 앱 인식입니다.

  21. 두 개의 스테이트풀 방화벽 규칙을 구성합니다.

    이 예에서 첫 번째 규칙은 r1 이고 두 번째 규칙은 r2입니다.

  22. 계층 수준에서 서비스 PIC 장애 시 트래픽을 우회하도록 서비스 세트를 구성합니다.
  23. 인터페이스별 서비스 세트 옵션을 구성합니다.

    이 예에서 서비스 인터페이스는 ms-0/1/0입니다.

  24. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  25. 다음 계층 수준으로 이동합니다.
  26. 계층 수준에서 서비스 인터페이스에 대한 선택적 알림 매개 변수를 구성합니다. 디버깅에만 필요합니다.

    이 예에서 알릴 호스트는 로컬입니다.

  27. 두 개의 스테이트풀 방화벽 규칙을 구성합니다.

    이 예에서 첫 번째 규칙은 r1 이고 두 번째 규칙은 r2입니다.

  28. NAT 규칙을 구성합니다.

    이 예제에서 NAT 규칙은 SET-MSR-ADDR입니다.

  29. 인터페이스별 서비스 세트 옵션을 구성합니다.

    이 예에서 서비스 인터페이스는 sp-3/1/0입니다.

  30. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  31. 다음 계층 수준으로 이동합니다.
  32. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 ge-1/2/2.1입니다.

  33. 다음 계층 수준으로 이동합니다.
  34. 계층 수준에서 수신된 패킷에 대한 서비스 세트를 구성합니다.

    이 예제에서 입력 서비스 집합은 App-Aware-Set입니다.

  35. 전송된 패킷에 대한 서비스 세트를 구성합니다.

    이 예에서 출력 서비스 집합은 App-Aware-Set입니다.

  36. 다음 계층 수준으로 이동합니다.
  37. 계층 수준에서 인터페이스 주소를 구성합니다.

    이 예에서 인터페이스 주소는 10.10.9.10/30입니다.

  38. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  39. 다음 계층 수준으로 이동합니다.
  40. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 ge-1/1/0.48입니다.

  41. 다음 계층 수준으로 이동합니다.
  42. 계층 수준에서 수신된 패킷에 대한 서비스 세트를 구성합니다.

    이 예에서 서비스 세트는 NAT-SFW-SET입니다.

  43. 전송된 패킷에 대한 서비스 세트를 구성합니다.

    이 예에서 서비스 세트는 NAT-SFW-SET입니다.

  44. 다음 계층 수준으로 이동합니다.
  45. 인터페이스 주소를 구성합니다.

    이 예에서 인터페이스 주소는 10.48.0.1/31입니다.

  46. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  47. 다음 계층 수준으로 이동합니다.
  48. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 ms-0/1/0.0입니다.

  49. 다음 계층 수준으로 이동합니다.
  50. 계층 수준에서 프로토콜 제품군을 구성합니다.
  51. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  52. 다음 계층 수준으로 이동합니다.
  53. 계층 수준에서 인터페이스를 구성합니다.

    이 예에서 인터페이스는 sp-3/1/0.0입니다.

  54. 다음 계층 수준으로 이동합니다.
  55. 계층 수준에서 서비스 인터페이스에 대한 선택적 알림 매개 변수를 구성합니다. 디버깅에만 필요합니다.

    이 예에서 알릴 호스트는 로컬입니다.

  56. 다음 계층 수준으로 이동합니다.
  57. 계층 수준에서 프로토콜 제품군을 구성합니다.
  58. 다음 계층 수준으로 이동하여 구성을 확인합니다.
  59. 다음 계층 수준으로 이동합니다.
  60. 계층 수준에서 중복 설정을 구성합니다.
  61. FPC 및 PIC를 구성합니다.

    이 예에서 FPC는 슬롯 0에 있고 PIC는 슬롯 1에 있습니다.

  62. 제어 기능 실행을 위한 전용 코어 수를 구성합니다.

    이 예에서 제어 코어의 수는 1입니다.

  63. 데이터 전용 처리 코어의 수를 구성합니다.

    이 예에서 데이터 코어 수는 7개입니다.

  64. 개체 캐시의 크기(MB)를 구성합니다. 128MB 증분의 값만 허용되며 오브젝트 캐시의 최대값은 1280MB일 수 있습니다. MS-100에서 값은 512MB입니다.

    이 예제에서 오브젝트 캐시의 크기는 1280MB입니다.

  65. 정책 데이터베이스의 크기(MB)를 구성합니다.

    이 예에서 정책 데이터베이스의 크기는 64MB입니다.

  66. 패키지를 구성합니다.

    이 예에서 첫 번째 패키지는 jservices-appid, 두 번째 패키지는 jservices-aacl, 세 번째 패키지는 jservices-llpdf, 네 번째 패키지는 jservices-idp, 다섯 번째 패키지는 jservices-sfw입니다. jservices-sfw는 Junos OS 릴리스 10.1 이상에서만 사용할 수 있습니다.

  67. IP 네트워크 서비스를 구성합니다.
  68. 다음 계층 수준으로 이동하여 구성을 확인합니다.

예: VRF(Virtual Routing and Forwarding) 및 서비스 구성

다음 예는 VRF(Virtual Routing and Forwarding)와 서비스 구성을 결합합니다.

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

릴리스
설명
17.1R1
침입 탐지 및 방지(IDP) 기능은 Junos OS 릴리스 17.1R1 이상용 MX 시리즈에서 더 이상 사용되지 않습니다.
17.1R1
[edit security idp] 문은 Junos OS용 MX 시리즈 릴리스 17.1R1 이상에서 더 이상 사용되지 않습니다.
17.1
accept skip-ids- 패킷이 수락되고 대상으로 전송되지만, MS-MPC에 구성된 IDS 규칙 처리는 건너뜁니다.
14.2
Junos OS 릴리스 14.2부터 MS-MPC 및 MS-MIC 인터페이스 카드는 Junos Network Secure Stateful Firewall에 대한 IPv6 트래픽을 지원합니다.