Comment protéger les Junos moteur de routage
Bien que toutes les interfaces sont importantes, le bouclage (lo0) Interface est peut-être le plus important car il est le lien vers le moteur de routage, qui gère et surveille tous les protocoles de routage. Cet article fournit le squelette d'un filtre firewall qui protège le moteur de routage. Vous pouvez utiliser cet exemple comme un modèle pour concevoir le filtre approprié pour votre routeur. Le filtre est appliqué au routeur de lo0 interface.
Ce filtre est un routeur configuré pour une installation commune IPv4:
IPv4
BGP et IS-IS protocoles de routage
RADIUS, SSH, Telnet et accès
Accès SNMP NMS
NTP
Parce que les filtres de pare-feu sont évalués dans l'ordre, placer le plus de temps critique éléments - les protocoles de routage - première. Accepter le trafic de vos pairs connus BGP et à partir connus les voisins IS-IS avec l'aide de l'AS suivant ensemble commandes:
[edit filtre de pare-feu de routage moteur] réglé terme BGP-filtre de la source d'adresse peer-address1terme ensemble BGP-filtre de la source d'adresse peer-adresse2mettre terme BGP-filtre du protocole tcpset terme BGP-filtre du port bgpset terme BGP-filtre puis accepte
Puis accepter le trafic DNS (pour la résolution de nom d'hôte):
[modifier pare-feu filtre routage moteur] réglé terme dns-filtre de la source d'adresse adresse réseaumettre terme dns-filtre du protocole [tcp udp] réglé terme dns-filtre du port domainset terme dns-filtre puis accepte
Suivant, acceptez RADIUS, SSH, Telnet et le trafic SNMP NMS:
[modifier pare-feu filtre routage moteur] réglé terme rayon-filtre de la source d'adresse radius-server-address1terme ensemble rayon-filtre de la source d'adresse radius-server-adresse2mettre terme rayon-filtre de la source ports radiusset terme rayon-filtre puis acceptset terme ssh-telnet-filtre de la source d'adresse réseau address1ensemble terme ssh-telnet-filtre de la source d'adresse réseau adresse2mettre terme ssh-telnet-filtre du protocole tcpset terme ssh-telnet-filtre de la destination-port [ssh telnet] réglé terme ssh-telnet-filtre puis acceptset terme snmp-filtre de la source d'adresse réseau address1terme ensemble snmp-filtre de la source d'adresse réseau adresse2mettre terme snmp-filtre du protocole udpset terme snmp-filtre de la destination port snmpset terme snmp-filtre alors accepter
Le dernier à accepter le trafic est à partir des serveurs de temps NTP et le protocole ICMP (qui envoie des messages d'erreur IPv4):
[modifier pare-feu filtre routage moteur] réglé terme NTP-filtre de la source d'adresse serveur address1terme ensemble NTP-filtre de la source d'adresse serveur adresse2terme ensemble NTP-filtre de la source d'adresse 127.0.0.1mettre terme NTP-filtre du protocole udpset terme NTP-filtre du port ntpset terme NTP-filtre puis acceptset terme ICMP-filtre du protocole icmpset terme ICMP-filtre de type ICMP [echo-request echo-reply inaccessible temps dépassé source trempe ] réglé terme ICMP-filtre puis accepte
La dernière partie du filtre rejette explicitement toute autre circulation:
[modifier pare-feu filtre routage moteur] réglé terme discard-le-reste donc compter contre-nommettre terme discard-le-reste alors LOGSET terme discard-le-reste alors terme syslogset discard-le-reste alors rejeter
Vous devez créer le fichier dans lequel placer les messages syslog:
[système de modifier] fred @ routeur # set fichier syslog nom de fichier pare-feu tout
Et enfin, appliquer le filtre pare-feu à l'interface de bouclage du routeur:
[modifier] interfaces fred @ routeur # ensemble de l'unité de la famille lo0 0 entrée du filtre inet-moteur de routage