Video: Hur larmar jag vårt gemensamma nödnummer 112? 2024
För att motverka en typ av Denial of Service-attack (DoS) på din Junos-router, kan använda Junos policers för att berätta för routern vad man ska göra för att begränsa effekten av en sådan attack.
Några DoS-attacker på routrar fungerar genom att översvämma routern med trafik, så mycket trafik till routerns gränssnitt så snabbt att gränssnitten är överväldigad och inte kan hantera den vanliga trafiken som ska passera genom gränssnittet.
En metod för att bekämpa denna attack är att använda Junos policers, som du kan ange när du definierar åtgärden som ett brandväggfilter ska ta. Policers tillåter dig att begränsa antalet trafik (eller till och med bara en typ av trafik) som ett gränssnitt kan ta emot, vilket kan begränsa effekten av DoS-attacker.
Policys kontrollerar den maximala tillåtna bandbredd (det genomsnittliga antalet bitar per sekund) och den maximala tillåtna storleken på en enda trafikbrytning när gränsen för bandbredden överskrids. Eventuell trafik som mottas bortom de angivna gränserna tappas.
Policys används i åtgärden (då) delen av ett brandväggsfilter. För att använda dem i ett brandväggsfilter definierar du först policyn. I följande exempel skapas en policer som heter polis-ssh-telnet som anger en maximal trafikhastighet (bandbredd) på 1 Mbps och den maximala storleken på en trafikbrist som överstiger denna gräns (briststorlek) på 25k. Trafik som överskrider dessa gränser kasseras.
[redigera brandvägg] fred @ router # set policer polis-ssh-telnet om överstiger bandbredd-gräns 1m [redigera brandvägg] fred @ router # set policer polis-ssh-telnet om överskridande gränsvärde 25k [redigera brandvägg] fred @ router # set policer polis-ssh-telnet kassera sedan
Ta sedan in policern i en brandväggsfilteråtgärd. Till exempel kan du lägga till det i ett SSH-Telnet brandväggsfilter som redan finns på routerns loopback-gränssnitt:
[redigera brandvägg] fred @ router # set filtergräns-ssh-telnet termen tillgångstid då policer police-ssh-telnet [redigera brandvägg] fred @ router # set filter limit-ssh-telnet tidsbegränsad åtkomstperiod och acceptera sedan
Trafik som överensstämmer med gränserna i polisen tar den åtgärd du anger i brandväggsperioden - i det här fallet är det accepterat - medan trafik som överskrider gränserna i policen kommer att vidta åtgärden specificeras där - i detta fall kasseras det.
Räntebegränsande trafikflöde till routingsmotorn genom att definiera policys är en bra säkerhetspraxis för att förhindra att routningsmotorn blir överväldigad av oönskade trafik eller genom eventuella attacker på routern.Alla routingprotokollsprocesser körs på routningsmotorn, vilket är avgörande för routerns kärnoperation. När dessa processer inte kan köras normalt kan resultatet bli en destabilisering av nätverket.