Como proteger o motor Junos Routing
Apesar de todas as interfaces são importantes, o auto-retorno (lo0) Interface é talvez o mais importante, porque é o link para o mecanismo de roteamento, que corre e monitora todos os protocolos de roteamento. Este artigo fornece o esqueleto de um filtro de firewall que protege o mecanismo de roteamento. Você pode usar este exemplo como um modelo para projetar o filtro apropriado para seu router. O filtro é aplicado ao roteador de lo0 interface.
Este filtro é para um roteador configurado para uma configuração comum IPv4:
IPv4
BGP e IS-IS protocolos de roteamento
RADIUS, SSH, e acesso Telnet
Acesso NMS SNMP
NTP
Como os filtros de firewall são avaliados em ordem, coloque os itens mais urgentes - os protocolos de roteamento - em primeiro lugar. Aceitar o tráfego de seus pares BGP conhecidos e dos conhecidos vizinhos IS-IS com o AS, utilizando a seguinte conjunto comandos:
[Editar filtro de firewall de roteamento-engine] definido prazo BGP-filtro da fonte de endereço peer-address1set prazo BGP-filtro da fonte de endereço peer-address2definir BGP-filtro prazo de protocolo tcpset prazo BGP-filtro do porto bgpset prazo BGP-filtro, então, aceitar
Em seguida, aceitar o tráfego DNS (para resolução de nomes):
[Editar firewall de filtro de roteamento-engine] definido prazo dns-filtro da fonte de endereço Endereço de redeset dns-filtro prazo de protocolo [tcp udp] definido prazo dns-filtro do porto domainset prazo dns-filtro, então, aceitar
Em seguida, aceitar RADIUS, SSH, Telnet e tráfego SNMP NMS:
[Editar firewall de filtro de roteamento-engine] definido prazo raio-filtro da fonte de endereço raio-server-address1set termo raio-filtro da fonte de endereço raio-server-address2definir prazo raio-filtro de fonte-port radiusset termo raio-filtro, em seguida, acceptset ssh-telnet-filtro prazo de fonte endereço rede de address1set prazo ssh-telnet-filtro da fonte de endereço rede de address2definir ssh-telnet-filtro prazo de protocolo tcpset prazo ssh-telnet-filtro do destino-port [ssh telnet] definido ssh-telnet-filtro prazo, então acceptset prazo snmp-filtro da fonte de endereço rede de address1set prazo snmp-filtro da fonte de endereço rede de address2SNMP SET-filtro prazo de protocolo udpset prazo snmp-filtro do destino-port snmpset prazo snmp-filtro, então, aceitar
A última tráfego para aceitar é a partir dos servidores NTP tempo e o protocolo ICMP (que envia mensagens de erro IPv4):
[Editar firewall de filtro de roteamento-engine] definido NTP-filtro prazo de fonte endereço server-address1set prazo NTP-filtro da fonte de endereço server-address2set prazo NTP-filtro da fonte de endereço 127.0.0.1definir NTP-filtro prazo de protocolo udpset prazo NTP-filtro do porto ntpset prazo NTP-filtro, em seguida, acceptset icmp-filtro prazo de icmp-filtro de protocolo icmpset prazo de icmp do tipo [echo-request echo-reply inacessível source-quench excedeu-time ] definido prazo icmp-filtro, então, aceitar
A parte final do filtro descarta explicitamente qualquer outro tráfego:
[Editar firewall de filtro de roteamento-engine] definido descarte-a-termo repouso em seguida, contar contra-filenamedefinir descarte-o-resto prazo, então logset prazo descarte-o-resto, em seguida, descarte-o-resto syslogset prazo, então rejeitar
Você precisa criar o arquivo no qual colocar as mensagens syslog:
[Sistema de editar] fred @ router # definir arquivo syslog nome do arquivo firewall qualquer
E, por último, aplique o filtro de firewall para interface de loopback do roteador:
[editar] interfaces de fred @ router # conjunto de unidades lo0 0 família entrada do filtro inet roteamento-engine