ビデオ: itexampassのJuniper JNCIA-Junos資格JN0-102試験問題集で独学したいでしょうか? 2024
Junosファイアウォールフィルタを適切に設計するには、Junosがどのようにフィルタを処理するのかを知る必要があります。 Junosファイアウォールフィルタが意図したとおりに動作するようにするには、2つの基本的な考慮事項があります。
-
ほとんどのデバイスで、順序付きチェーンに複数のファイアウォールフィルタを適用できます。ルータのループバックインターフェイスにlimit-ssh-telnetフィルタを適用すると、このインターフェイスはSSHおよびTelnetトラフィックを受け入れますが、それ以外は何も受け付けません。したがって、ルータアドレスとしてループバックアドレスを使用するように、SNMP、BGP、OSPF、IS-ISなどの他のプロトコルを設定した場合、これらのプロトコルからのパケットはブロックされ、ルータに到達しません。
<!しかし、小さなファイアウォールフィルタをいくつか記述してチェーンに適用すると、インターフェイスごとにカスタムファイアウォールフィルタを作成するのではなく、小さなファイアウォールフィルタを複数回再利用することができます。ファイアウォールフィルタのチェーンを設定すると、Junos OSは、各フィルタの用語を順番に並べた1つの大きなファイアウォールフィルタを作成したように機能します。これは、chainの2番目の項がすべてのトラフィックを拒否するため、残りのファイアウォールフィルタに関係なく、このlimit-ssh-telnetフィルタを最初にチェーンに入れると、他のすべてのトラフィックが拒否されることを意味します。 - 2 - >
Junos OSは、ファイアウォールフィルタ(または一連のファイアウォールフィルタ)を最初から順に評価します。ルータは、ファイアウォールフィルタ内の用語を使って各パケットを順番に処理し、一致するものを見つけます。
一致するルータが見つかると、そのtermのthen句で指定された処理が実行されます。つまり、適切な場所でトラフィックを受け入れるか拒否するかを確認する必要があります。 -
<!たとえば、すべてのTelnetトラフィックを許可したいが他のすべてのTCPトラフィックを拒否する場合は、TCPトラフィックを拒否する条件の前にTelnetトラフィックを許可するという条件を付ける必要があります。逆の順序で入力すると、ルータはTelnetトラフィックを拒否します(TelnetはTCPを使用しているため)、Telnetトラフィックを許可するための条件に達することはありません。
-
ただし、ファイアウォールフィルタの最適化について心配する必要はありません。なぜなら、Junos OSはこれを行うからです。ソフトウェアをフィルタリングしておくことで、仕事が簡単になります。フィルタロジックが正しい順序になっていることを確認するだけで、ルーターが最適化を行うことが心配です。
