방화벽 필터 구성 지침
이 주제에서 다루는 정보는 다음과 같습니다.
방화벽 필터 구성을 위한 문 계층
표준 방화벽 필터를 구성하기 위해 다음 문을 포함할 수 있습니다. IPv4 표준 방화벽 필터의 경우 문은 선택 사항입니다.family inet IPv6 표준 방화벽 필터의 경우 문은 필수입니다.family inet6
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
다음 계층 수준 중 하나에 방화벽 구성을 포함할 수 있습니다.
-
[edit] -
[edit logical-systems logical-system-name]
스테이트리스 방화벽 필터링의 경우, 터널 대상을 향한 다음 홉 인터페이스인 인터페이스의 입력 트래픽에 적용된 방화벽 필터를 통해 출력 터널 트래픽을 허용해야 합니다. 방화벽 필터는 터널을 통해 라우터(또는 스위치)에서 나가는 패킷에만 영향을 미칩니다.
ACX7100 플랫폼에서 VPLS 방화벽 필터는 아래가 아닌 아래에 구성됩니다.familyethernet-switchingfamilyVPLS 관리 필터는 제품군 또는 에서 구성되며 구문은 다음과 같은 형식입니다.inetinet6
set interfaces re0:mgmt-0 unit logical-unit-number family family-name filter input filter-name.방화벽 필터 프로토콜 제품군
방화벽 필터 구성은 특정 프로토콜 제품군에 따라 다릅니다. 문 아래에 다음 문 중 하나를 포함하여 트래픽을 필터링할 프로토콜 패밀리를 지정합니다.firewall
family any- 프로토콜 독립적 트래픽을 필터링합니다.family inet- 인터넷 프로토콜 버전 4(IPv4) 트래픽을 필터링합니다.family inet6- IPv6(Internet Protocol version 6) 트래픽을 필터링합니다.family mpls- MPLS 트래픽을 필터링합니다.family vpls- VPLS(Virtual Private LAN Service) 트래픽을 필터링합니다.family ccc- 레이어 2 CCC(Circuit Cross-Connection) 트래픽을 필터링합니다.family bridge- MX 시리즈 3D 유니버설 에지 라우터에 대해서만 레이어 2 브리징 트래픽을 필터링합니다.family ethernet-switching- 레이어 2(이더넷) 트래픽을 필터링합니다.
문은 IPv4 이외의 프로토콜 패밀리를 지정하는 데만 필요합니다.family family-name IPv4 방화벽 필터를 구성하려면 및 계층 수준이 동일하므로 문을 포함하지 않고 계층 수준에서 필터를 구성할 수 있습니다.[edit firewall]family inet[edit firewall][edit firewall family inet]
브리지 제품군 필터의 경우 일치 기준은 IPv4에 대해서만 지원되며 IPv6에 대해서는 지원되지 않습니다.ip-protocol 이는 MX 3D MPC 라인 카드와 같은 Junos Trio 칩셋을 지원하는 라인 카드에 적용됩니다.
방화벽 필터 이름 및 옵션
문 아래에 방화벽 필터를 만들고 이름을 지정하는 문을 포함할 수 있습니다.family family-namefilter filter-name 필터 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자 길이입니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.
계층 수준에서 다음 문은 선택 사항입니다.[edit firewall family family-name filter filter-name]
accounting-profileinstance-shared(MPCS(Modular Port Concentrator)가 있는 MX 시리즈 라우터만 해당)interface-specificphysical-interface-filter
방화벽 필터 용어
문 아래에 문을 포함하여 필터 용어를 생성하고 이름을 지정할 수 있습니다.filter filter-nameterm term-name
방화벽 필터에서 하나 이상의 용어를 구성해야 합니다.
방화벽 필터 내에서 각 용어에 대해 고유한 이름을 지정해야 합니다. 용어 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자까지 가능합니다. 이름에 공백을 포함하려면 전체 이름을 따옴표(" ")로 묶습니다.
방화벽 필터 구성 내에서 용어를 지정하는 순서가 중요합니다. 방화벽 필터 용어는 구성된 순서대로 평가됩니다. 기본적으로 새 용어는 항상 기존 필터의 끝에 추가됩니다. 구성 모드 명령을 사용하여 방화벽 필터의 용어를 재정렬할 수 있습니다.
insert
계층 수준에서 문은 또는 문과 동일한 용어로 유효하지 않습니다.[edit firewall family family-name filter filter-name term term-name]filter filter-namefromthen 이 계층 수준에 포함된 문은 방화벽 필터를 중첩 하는 데 사용됩니다.filter filter-name
방화벽 필터 일치 조건
방화벽 필터 일치 조건은 필터링되는 트래픽 유형에 따라 다릅니다.
MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽을 제외하고, 명령문에서 용어의 일치 조건을 지정합니다.from MPLS 태그가 지정된 IPv4 트래픽의 경우, 문에서 용어의 IPv4 주소별 일치 조건을 지정하고 문에서 용어의 IPv4 포트별 일치 조건을 지정합니다.ip-version ipv4protocol (tcp | udp)
MPLS 태그가 지정된 IPv6 트래픽의 경우, 문 아래에 용어의 IPv6 주소별 일치 조건을 지정하고 문 아래에 용어의 IPv6 포트별 일치 조건을 지정합니다.ip-version ipv6protocol (tcp | udp)
표 1 에서는 방화벽 필터를 구성할 수 있는 트래픽 유형을 설명합니다.
트래픽 유형 |
일치 조건이 지정되는 계층 수준 |
|---|---|
프로토콜 독립적 |
일치 조건의 전체 목록은 프로토콜 독립적 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.프로토콜 독립적 트래픽에 대한 방화벽 필터 일치 조건 |
IPv4 |
일치 조건의 전체 목록은 IPv4 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.IPv4 트래픽 방화벽 일치 조건 |
IPv6 |
일치 조건의 전체 목록은 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.IPv6 트래픽에 대한 방화벽 필터 일치 조건 |
MPLS |
일치 조건의 전체 목록은 MPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.MPLS 트래픽에 대한 방화벽 필터 일치 조건 |
MPLS 플로우의 IPv4 주소 |
일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건 |
MPLS 플로우의 IPv4 포트 |
일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건 |
MPLS 플로우의 IPv6 주소 |
일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건 |
MPLS 플로우의 IPv6 포트 |
일치 조건의 전체 목록은 MPLS 태그가 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건 |
VPLS |
일치 조건의 전체 목록은 VPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.VPLS 트래픽에 대한 방화벽 필터 일치 조건 |
레이어 2 CCC |
일치 조건의 전체 목록은 레이어 2 CCC 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.레이어 2 CCC 트래픽에 대한 방화벽 필터 일치 조건 |
레이어 2 브리징 (MX 시리즈 라우터 및 EX 시리즈 스위치만 해당) |
일치 조건의 전체 목록은 레이어 2 브리징 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.레이어 2 브리징 트래픽에 대한 방화벽 필터 일치 조건 |
일치 조건(, , 또는 일치 조건)에서 IPv6 주소를 지정하는 경우 RFC 4291, IP 버전 6 주소 지정 아키텍처에 설명된 텍스트 표현 구문을 사용합니다.addressdestination-addresssource-address IPv6 주소에 대한 자세한 내용은 IPv6 개요 및 지원되는 IPv6 표준을 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
방화벽 필터 동작
방화벽 필터 용어에 대한 문에서 용어와 일치하는 패킷에 대해 수행할 작업을 지정할 수 있습니다.then
표 2 방화벽 필터 용어에 지정할 수 있는 작업 유형을 요약합니다.
작업 유형 |
설명 |
코멘트 |
|---|---|---|
종료 |
특정 패킷에 대한 방화벽 필터의 모든 평가를 중지합니다. 라우터(또는 스위치)는 지정된 작업을 수행하며 패킷을 검사하는 데 추가 용어가 사용되지 않습니다. 방화벽 필터 용어에서 하나의 종료 작업 만 지정할 수 있습니다. 필터 용어 내에 둘 이상의 종료 동작을 지정하려고 하면 최신 종료 동작이 기존 종료 동작을 대체합니다. 그러나 단일 용어에서 하나 이상의 비 종료 작업과 함께 하나의 종료 작업을 지정할 수 있습니다. 예를 들어, 용어 내에서 및 로 지정할 수 있습니다. |
방화벽 필터 종료 동작을 참조하십시오.방화벽 필터 종료 동작 |
종료되지 않음 |
패킷에 대한 다른 기능(예: 카운터 증가, 패킷 헤더에 대한 정보 로깅, 패킷 데이터 샘플링 또는 시스템 로그 기능을 사용하여 원격 호스트로 정보 전송)을 수행하지만 패킷을 검사하는 데 추가 용어가 사용됩니다. |
종료되지 않는 모든 동작에는 암시적 수락 동작이 포함됩니다. 이 수락 작업은 동일한 용어에 다른 종료 작업이 구성되지 않은 경우 수행됩니다. 방화벽 필터 비 종료 동작을 참조하십시오.방화벽 필터 비 종료 동작 |
플로우 제어 |
표준 방화벽 필터의 경우에만 이 작업은 라우터(또는 스위치)가 패킷에 대해 구성된 작업을 수행하도록 지시한 다음, 필터를 종료하는 대신 필터의 다음 용어를 사용하여 패킷을 평가합니다. 예를 들어, nonterminating 작업 으로 용어를 구성하면 용어의 작업이 암시적 에서 암시적 으로 변경됩니다. |
동일한 필터 용어에서 종료 작업으로 작업을 구성할 수 없습니다. 표준 방화벽 필터 구성당 최대 1024 개의 작업이 지원됩니다. 주:
Junos OS Evolved에서 |