ビデオ: Juniper JNCIA-JUNOS - Routing Policy and Firewall Filters 2025
すべてのインターフェイスが重要ですが、ループバック(lo0)インターフェイスはルーティングエンジンへのリンクであるため、おそらく最も重要です。すべてのルーティングプロトコルを監視します。この記事では、ルーティングエンジンを保護するファイアウォールフィルタのスケルトンについて説明します。この例を青写真として使用して、ルータに適したフィルタを設計することができます。フィルタはルータのlo0インターフェイスに適用されます。
<! - BGPおよびIS-ISルーティングプロトコルRADIUS、SSH、およびTelnetアクセス
-
SNMP NMSアクセス
-
NTP
-
ファイアウォールフィルタは順番に評価されるため、最も重要な項目(ルーティングプロトコル)を先に配置します。次のsetコマンドを使用して、既知のBGPピアおよび既知のIS-ISネイバーからのトラフィックを受け入れます。
-
<!送信元アドレスからのbgp-filter
-
peer-address1
送信元アドレスからのbgp-filter
peer-address2set term bgp-filter from protocol tcp set term bgp-filterポートからbgp set term bgp-filter then accept そして、DNSトラフィックを受け入れます(ホスト名解決のため): [edit firewall-filter routing-engine] set term dns-filter from source-address ネットワークアドレス set termフィルタからのdns-filter [tcp udp]ポートドメインからのterm dns-filterの設定set term dns-filter then accept
次に、 RADIUS、SSH、Telnet、およびSNMP NMSトラフィックを受け入れる:
<!送信元アドレスからの用語半径フィルタの設定 radius-server-address1 集合用語の半径 - 送信元アドレスからのフィルタ
radius-server-address2
set term radius-source-port radiusからのフィルタセットterm radius-filter次にset termを受け入れるsource-addressからのssh-telnet-filternetwork-address1 set term ssh-telnet - ソースアドレスからのフィルタ network-address2 set termプロトコルからのssh-telnet-filter tcp set term ssh-telnet-filter from destination-port [ssh telnet] set term ssh-telnet-filter送信元アドレスからのsnmp-filter network-address1 送信元アドレスからのsnmp-filter network-address2 set termプロトコルからのsnmp-filter udp set term宛先からのsnmpフィルタ最後に受け入れるトラフィックは、NTPタイムサーバとICMPプロトコル(IPv4エラーメッセージを送信します)から取得します。 [edit firewall-filter routing-engine] set term ntpフィルタfrom source-address server-address1 送信元アドレスからのntp-filterの設定 server-address2 送信元アドレスからのntp-filterの設定
127。0. 0.1 999 set termプロトコルからのntp-filter udp set termポートからのntp-filter ntpセットterm ntp-filterプロトコルからのicmp-filter icmp set term icmp-filter from icmp-type [echo
[edit firewall-filter routing-engine] set term discard(フィルタリング・フィルタリング・エンジンの設定を解除する):フィルタの最後の部分は、他のすべてのトラフィックを明示的に破棄する。残りの数をcount counter-filename set term捨てて残しておき、log set termを捨ててsyslog set termを破棄してから拒絶する syslogメッセージを配置するファイル: fred @ router#syslogファイルの設定 ファイル名 ファイアウォールany
最後にファイアウォールフィルタをルータのループバックインターフェイスに適用します。 > [edit interfaces] fred @ router#set lo0 unit 0ファミリのinetフィルタ入力ルーティングエンジン
