Video: Tjek barnets knallert 2024
For at modvirke en form for benægtelse af tjenesten (DoS) på din Junos-router kan bruge Junos policere til at fortælle routeren hvad man skal gøre for at begrænse virkningen af et sådant angreb.
Nogle DoS-angreb på routere virker ved at oversvømme routeren med trafik, så meget trafik til routerinterfaces så hurtigt, at grænsefladerne er overvældet og ikke kan klare den regelmæssige trafik, der skal passere gennem grænsefladen.
En metode til at bekæmpe dette angreb er at bruge Junos policers, som du kan angive, når du definerer den handling, et firewallfilter skal tage. Politikere giver dig mulighed for at sætte grænser for mængden af trafik (eller endda bare en form for trafik), som en grænseflade kan modtage, hvilket kan begrænse virkningen af DoS-angreb.
Policere styrer den maksimalt tilladte båndbredde (det gennemsnitlige antal bits pr. Sekund) og den maksimalt tilladte størrelse af en enkelt udbrud af trafik, når båndbreddegrænsen overskrides. Enhver trafik modtaget ud over de fastsatte grænser er tabt.
Policere anvendes i handlingen (så) delen af et firewallfilter. Hvis du vil bruge dem i et firewallfilter, skal du først definere politikken. Følgende eksempel opretter en politiker kaldet police-ssh-telnet, der fastsætter en maksimal trafikhastighed (båndbredde) på 1 Mbps og den maksimale størrelse af en trafiksprængning, der overstiger denne grænse (burststørrelse) på 25K. Trafik, der overskrider disse grænser, kasseres.
[rediger firewall] fred @ router # sæt politibetjent politibetjent ssh-telnet hvis overstigende båndbredde grænse 1m [rediger firewall] fred @ router # rediger firewall] fred @ router # set policer police ssh-telnet og kassér derefter
Indsæt derefter politikken i en firewall-filterhandling. For eksempel kan du tilføje det til et SSH-Telnet firewall filter, der allerede eksisterer på routers loopback interface:
[edit firewall] fred @ router # sæt filtergrænse-ssh-telnet term adgangsperiode derefter policer police-ssh-telnet [rediger firewall] fred @ router # sæt filtergrænse-ssh-telnet tidsbegrænset adgangstid og accepter derefter
Trafik, der overholder grænserne i politikken, træffer den handling, du angiver i firewallperioden - i dette tilfælde accepteres det - mens trafik, der overstiger grænserne i politikken, tager handlingen specificeret der - i dette tilfælde kasseres det.
Begrænsning af trafikstrøm til rutemotoren ved at definere policere er en god sikkerhedspraksis for at forhindre, at routingmotor bliver overvældet af uønsket trafik eller ved mulige angreb på routeren.Alle ruteprotokolprocesserne kører på Routing Engine, hvilket er kritisk for selve routeren i routeren. Når disse processer ikke kan køre normalt, kan resultatet være en destabilisering af netværket.
