Como projetar um filtro de firewall junos

Video: how-to como criar um firewall em 30 minutos - PFSense tutorial

Para projetar um filtro de firewall Junos corretamente, você precisa saber como Junos processa os filtros. Há duas considerações básicas a ter em conta para garantir que seus filtros de firewall Junos se comportam da maneira que você pretende:

Video: Demostração de como criar regras de firewall com iptables

Na maioria dos dispositivos, você pode aplicar vários filtros de firewall em uma cadeia ordenada. Se você aplicar o limite-ssh-telnet filtrar a interface loopback do roteador, essa interface aceita tráfego SSH e Telnet, mas nada mais. Então, se você tiver configurado outros protocolos, como SNMP, BGP, OSPF e IS-IS, para usar o endereço de auto-retorno como o endereço do roteador, os pacotes de esses protocolos estão bloqueados e não alcançam o roteador.

No entanto, você pode escrever uma série de filtros de firewall menores e aplicá-los em uma cadeia, que permite a reutilização de pequenos pedaços de firewall filtros várias vezes em vez de escrever filtros de firewall personalizado para cada interface.

Quando você configura uma cadeia de filtros de firewall, o Junos OS age como se você tinha acabado de criar um grande filtro de firewall, composta dos termos de cada filtro em ordem. (Isto significa que se você colocar esse limite-ssh-telnet filtrar em primeiro lugar uma cadeia de, todo o tráfego é rejeitada independentemente dos restantes filtros de firewall, porque o segundo termo da cadeia rejeita todo o tráfego).



  • JUNOS avalia os termos em um filtro de firewall (ou cadeia de filtros de firewall) no fim, começando com o primeiro. O router processa cada pacote através dos termos em um filtro de firewall, de modo até encontrar uma correspondência.

  • Quando o roteador encontra uma correspondência, ele leva as ações indicadas por esse termo de então cláusula, o que significa que você deve garantir que o tráfego vai ser aceito ou rejeitado no lugar certo, mas não mais cedo.

    Assim, por exemplo, se você quiser permitir que todo o tráfego de Telnet, mas negar todo o tráfego TCP, você precisa colocar o tráfego Telnet termo permitindo antes que o tráfego TCP prazo negar. Se você colocá-los na ordem inversa, o roteador irá negar o tráfego de Telnet (porque Telnet usa TCP) e nunca alcançar o prazo para permitir o tráfego de Telnet.

    Você não, no entanto, precisa se preocupar sobre como otimizar seus filtros de firewall, porque o sistema operacional Junos faz isso para você. Ter o software cuidar de sua filtragem torna a sua tarefa fácil. Você apenas se preocupar com certificando-se de que a lógica do filtro é na ordem correta, e o roteador cuida de otimizá-la para você.


  • Publicações relacionadas