Como limitar o tráfego em Junos Router Interfaces
A fim de impedir um tipo de negação de serviço (DoS) no seu roteador Junos, você pode usar policers Junos para dizer ao roteador o que fazer para limitar o impacto de tal ataque.
Alguns ataques DoS em roteadores trabalham por inundando o roteador com o tráfego, o envio tanto tráfego para o roteador interfaces de tão rapidamente que as interfaces estão sobrecarregados e não pode lidar com o tráfego regular que deve estar passando através da interface.
Um método para combater este ataque é usar policers Junos, que você pode especificar quando você definir a ação de um filtro de firewall deve tomar. policers permitem que você coloque limites sobre a quantidade de tráfego (ou mesmo apenas um tipo de tráfego) que uma interface pode receber, o que pode limitar o impacto dos ataques DoS.
Policers controlar a largura de banda máxima permitida (o número médio de bits por segundo) e o tamanho máximo permitido de uma única explosão de tráfego, quando o limite de largura de banda é excedido. Qualquer tráfego recebido além dos limites estabelecidos é descartado.
Policers são utilizados no processo (então) De um filtro de firewall. Para usá-los em um filtro de firewall, você primeiro definir o policer. O exemplo a seguir cria um guarda chamado police-ssh-telnet que define uma taxa máxima de tráfego (bandwidth) de 1 Mbps e o tamanho máximo de uma explosão de tráfego superior a este limite (tamanho de ruptura) de 25K. Tráfego superior a esses limites é descartado.
[Editar firewall] fred @ router # set policer polícia-ssh-telnet se-superior a largura de banda-limite de 1m [editar firewall] fred @ router # set policer polícia-ssh-telnet se-superior-size-limite estourar 25k [editar firewall] fred @ router # set policer polícia-ssh-telnet depois descartá
Em seguida, incluir o policer em uma ação de filtro de firewall. Por exemplo, você pode adicioná-la a um filtro de firewall SSH-Telnet que já existe na interface loopback do roteador:
[Editar firewall] fred @ router # filtro set prazo-limite ssh-telnet acesso prazo, em seguida, policerpolice-ssh-telnet [editar firewall] fred @ router # filtro de set-limite ssh-telnet termo acesso prazo, então, aceitar
O tráfego que está em conformidade com os limites do policer vai tomar a ação que você especificar no prazo firewall - neste caso, é aceitável - Considerando que o tráfego que excede os limites do policer levará a ação especificada lá - neste caso, é descartado.
Taxa de limitação do fluxo de tráfego para o mecanismo de roteamento, definindo policers é uma boa prática de segurança para evitar que o mecanismo de roteamento de ser esmagada pelo tráfego indesejado ou por possíveis ataques no roteador. Todos os processos de protocolo de roteamento são executados no Routing Engine, que é fundamental para o funcionamento do núcleo do próprio roteador. Quando estes processos não pode funcionar normalmente, o resultado pode ser uma desestabilização da rede.