Video: Linux Tutorial for Beginners: Introduction to Linux Operating System 2025
Hvis du vil designe et Junos firewallfilter korrekt, skal du vide, hvordan Junos behandler filtrene. Der er to grundlæggende overvejelser, der skal tages i betragtning for at sikre, at dine Junos firewall filtre opfører sig som du planlægger:
-
På de fleste enheder kan du anvende flere firewall filtre i en bestilt kæde. Hvis du anvender grænse-ssh-telnet-filteret til routers loopback-grænseflade, accepterer denne grænseflade SSH og Telnet-trafik, men intet andet. Så hvis du har konfigureret andre protokoller, f.eks. SNMP, BGP, OSPF og IS-IS, for at bruge loopback-adressen som router-adresse, blokkeres pakker fra disse protokoller og når ikke routeren.
Du kan dog skrive et antal mindre firewallfiltre og anvende dem i en kæde, som giver dig mulighed for at genbruge mindre stykker firewallfiltre flere gange i stedet for at skrive brugerdefinerede firewallfiltre til hver grænseflade.
Når du konfigurerer en kæde af firewall filtre, virker Junos OS som om du lige havde oprettet et stort firewallfilter, der består af vilkårene for hvert filter i rækkefølge. (Dette betyder, at hvis du sætter dette grænse-ssh-telnet filter først i en kæde, afvises al anden trafik uanset de resterende firewall filtre, fordi kædeens anden kæde afviser alle trafik.)
-
Junos OS evaluerer vilkårene i et firewall filter (eller kæde af firewall filtre) i rækkefølge, begyndende med den første. Routeren behandler hver pakke gennem betingelserne i et firewallfilter i rækkefølge indtil det finder en kamp.
-
Når routeren finder en kamp, tager det de handlinger, der er angivet ved den pågældende terminsklausul, hvilket betyder at du skal sikre, at trafikken accepteres eller afvises på det rigtige sted, men ikke før.
Så hvis du f.eks. Vil tillade al Telnet-trafik, men nægter al anden TCP-trafik, skal du sætte udtrykket tillade Telnet-trafik, før udtrykket nægter TCP-trafik. Hvis du sætter dem i omvendt rækkefølge, vil routeren nægte Telnet-trafikken (fordi Telnet bruger TCP) og når aldrig termen for at tillade Telnet-trafik.
Du behøver dog ikke bekymre dig om at optimere dine firewall filtre, fordi Junos OS gør det for dig. Ved at have softwaren håndteret, gør dit arbejde nemt. Du er bare bekymret for at sørge for, at filterlogikken er i den rigtige rækkefølge, og routeren tager sig af at optimere det for dig.
