Video: Bonsai - så här grundformar du din egen bonsai av olika växtmaterial Torsten Ryman visar på en lärk 2024
För att designa ett Junos-brandväggsfilter korrekt måste du veta hur Junos hanterar filtren. Det finns två grundläggande överväganden att tänka på för att se till att dina Junos-brandvägsfilter fungerar som du tänker:
-
På de flesta enheter kan du tillämpa flera brandväggsfilter i en beställd kedja. Om du använder gränssnittet ssh-telnet-filter till routerns loopback-gränssnitt, accepterar detta gränssnitt SSH och Telnet-trafik men inget annat. Så om du har konfigurerat andra protokoll, som SNMP, BGP, OSPF och IS-IS, för att använda loopback-adressen som routerns adress, blockeras paket från de här protokollen och når inte routern.
Du kan dock skriva ett antal mindre brandväggsfilter och tillämpa dem i en kedja, vilket gör det möjligt att återanvända mindre bitar av brandväggsfilter flera gånger i stället för att skriva anpassade brandväggsfilter för varje gränssnitt.
När du konfigurerar en kedja av brandväggsfilter fungerar Junos OS som om du just skapat ett stort brandväggsfilter som består av villkoren för varje filter i ordning. (Det innebär att om du sätter det här gränssnittet ssh-telnet-filteret först i en kedja, avvisas all annan trafik oberoende av de återstående brandväggsfiltren, eftersom kedjans andra termen avvisar all trafik.)
-
Junos OS utvärderar villkoren i ett brandväggsfilter (eller kedja av brandväggsfilter) i ordning, från och med den första. Routern behandlar varje paket genom villkoren i ett brandväggsfilter i ordning tills det hittar en matchning.
-
När routern hittar en match, tar det de åtgärder som anges av den här klausulens klausul, vilket innebär att du måste se till att trafiken accepteras eller avvisas på rätt ställe men inte tidigare.
Så, till exempel, om du vill tillåta all Telnet-trafik, men neka all annan TCP-trafik, måste du sätta termen som tillåter Telnet-trafik innan termen nekar TCP-trafik. Om du lägger dem i omvänd ordning, kommer routern att neka Telnet-trafiken (eftersom Telnet använder TCP) och når aldrig termen för att tillåta Telnet-trafik.
Du behöver dock inte oroa dig för att optimera dina brandväggsfilter, eftersom Junos OS gör det för dig. Att ha mjukvaran ta hand om din filtrering gör ditt jobb enkelt. Du oroar dig bara för att se till att filterlogiken är i rätt ordning, och routern tar hand om att optimera den för dig.