Vidéo: Firewall : comprendre l'essentiel en 7 minutes 2024
Bien que toutes les interfaces soient importantes, l'interface loopback (lo0) est peut-être la plus importante car elle est le lien vers le moteur de routage. surveille tous les protocoles de routage. Cet article fournit le squelette d'un filtre de pare-feu qui protège le moteur de routage. Vous pouvez utiliser cet exemple comme modèle pour concevoir le filtre approprié pour votre routeur. Le filtre est appliqué à l'interface lo0 du routeur.
Ce filtre concerne un routeur configuré pour une configuration IPv4 commune:
-
IPv4
-
Protocoles de routage BGP et IS-IS
-
Accès RADIUS, SSH et Telnet
-
SNMP Accès NMS
-
NTP
Comme les filtres de pare-feu sont évalués dans l'ordre, placez d'abord les éléments les plus critiques, les protocoles de routage. Acceptez le trafic de vos homologues BGP connus et des voisins IS-IS connus avec l'AS en utilisant les commandes set suivantes:
[modifier le moteur de routage du filtre de pare-feu] définir le terme bgp-filter de l'adresse-source peer-address1 définir le terme bgp-filter de l'adresse-source peer-address2 définir le terme bgp-filter du protocole tcp définir le terme bgp-filter du port bgp définir le terme bgp-filter puis accepter
Accepter le trafic DNS (pour la résolution du nom d'hôte):
[modifier le firewall-filter] définir le terme dns-filter de l'adresse source network-address définir le terme dns-filter du protocole [tcp udp] définir le terme dns-filter du domaine du port définir le terme dns-filter puis accepter
accepter le trafic RADIUS, SSH, Telnet et SNMP NMS:
[éditer le moteur de routage firewall-filter] définir le terme radius-filter depuis l'adresse source radius-server-address1 définir le terme radius-filter depuis l'adresse source radius-server-address2 définir le terme radius-filter du rayon du port source set term rayon-filter puis accepter le terme set ssh-telnet-filter de l'adresse source network-address1 définir le terme ssh-telnet -filtre de l'adresse-source network-address2 définir le terme ssh-telnet-filter du protocole tcp set term ssh-telnet-filter de destination-port [ssh telnet] définir le terme ssh-telnet-filter puis accepter l'ensemble terme snmp-filter de l'adresse-source network-address1 définir un terme snmp-filter de l'adresse-source network-address2 définir un terme snmp-filter du protocole udp set term snmp-filter from destination -port snmp définit le terme snmp-filter puis accepte
Le dernier trafic à accepter provient des serveurs de temps NTP et du protocole ICMP (qui envoie des messages d'erreur IPv4):
modifier le moteur de routage du filtre pare-feu ntp-filtre à partir de l'adresse source server-address1 définir le terme ntp-filter à partir de l'adresse source server-address2 définir le terme ntp-filter à partir de l'adresse source 127.0. 0. 1 définir le terme ntp-filter du protocole udp définir le terme ntp-filter du port ntp définir le terme ntp-filter puis accepter set term icmp-filter du protocole icmp définir le terme icmp-filter du type icmp [echo -request echo-reply inaccessible time-out dépassé source-quench] set term icmp-filter puis accepter
La dernière partie du filtre supprime explicitement tous les autres trafics:
[éditer firewall-filter-routing-engine] -the-reste puis compter counter-filename définir le terme discard-the-rest puis consigner le terme set discard-the-rest puis syslog définir le terme rejeter-le-reste puis rejeter
Vous devez créer le fichier dans lequel placer les messages syslog:
[modifier le système] fred @ router # définir le fichier syslog filename pare-feu any
Et enfin, appliquer le filtre pare-feu à l'interface loopback du routeur: > [éditer les interfaces] fred @ routeur # définir lo0 unité 0 famille inet filtre entrée moteur de routage
