Video: Preview of filter design software, FilterLab 2024
Junos güvenlik duvarı filtresini düzgün bir şekilde tasarlamak için, Junos'un filtreleri nasıl işlediğini bilmeniz gerekir. Junos güvenlik duvarı filtrelerinizin tasarlandığı gibi davranmasını sağlamak için akılda tutulmesi gereken iki temel husus vardır:
-
Çoğu cihazda, düzenli bir zincirde birden fazla güvenlik duvarı filtresi uygulayabilirsiniz. Sınır-ssh-telnet filtresini yönlendiricinin geri döngü arabirimine uygularsanız, bu arabirim SSH ve Telnet trafiğini kabul eder, ancak başka hiçbir şey kabul etmez. Dolayısıyla, geri döngü adresini yönlendirici adresi olarak kullanmak için SNMP, BGP, OSPF ve IS-IS gibi diğer protokolleri yapılandırdıysanız, bu protokollerden gelen paketler engellenir ve yönlendiriciye ulaşmaz.
Bununla birlikte, birkaç güvenlik duvarı filtresi yazabilir ve bunları bir zincir içinde uygulayabilirsiniz; bu da, her arabirim için özel güvenlik duvarı filtreleri yazmak yerine daha küçük güvenlik duvarı parçalarını birden çok kez tekrar kullanmanızı sağlar.
Güvenlik duvarı filtreleri zincirini yapılandırdığınızda Junos OS, sanki yeni filtre şartlarını içeren bir büyük güvenlik duvarı filtresi hazırlamış gibi davranır. (Bu, limit-ssh-telnet filtresini önce bir zincire koyarsanız, zincirin ikinci dönemi tüm trafiğini reddettiğinden kalan tüm güvenlik duvarı filtrelerinden bağımsız olarak diğer tüm trafik reddedilir demektir.)
-
Junos OS, bir güvenlik duvarı filtresindeki (veya güvenlik duvarı filtrelerinin zinciri) ilkelerden başlayarak sırayla değerlendirir. Yöneltici, her bir paketi, bir eşleşme bulana kadar bir güvenlik duvarı filtresindeki terimler yoluyla sırayla işler.
-
Yöneltici bir eşleşme bulduğunda, o terimin o andaki maddesi tarafından belirtilen eylemleri alır; bu, trafiğin doğru yerde kabul edilmesini veya reddetilmesini sağlamanız gerekir; ancak daha önce değil.
Yani, örneğin, tüm Telnet trafiğine izin vermek, ancak diğer tüm TCP trafiğini reddetmek isterseniz, terimin TCP trafiğini reddeden önce Telnet trafiğine izin veren terimi koymanız gerekir. Onları ters sırayla yerine getirirseniz, yönlendirici Telnet trafiğini reddeder (Telnet TCP kullandığından) ve Telnet trafiğine izin vermek için bu terime asla erişemezsiniz.
Bununla birlikte, güvenlik duvarı filtrelerinizi optimize etme konusunda endişelenmeniz gerekmez, çünkü Junos OS bunu sizin yerinize yapar. Yazılımın filtrelemeye dikkat etmesi işinizi kolaylaştırır. Filtre mantığının doğru sırayla olduğundan emin olma konusunda endişeleniyorsunuz ve yönlendirici sizin için optimize etmeye özen gösterir.
