Video: How to Demo a Palo Alto Networks Firewall Part 2 of 2 2024
Om één type denial of service-aanval (DoS) op uw Junos-router te verhinderen, kan Junos policers gebruiken om de router te vertellen wat hij moet doen om de impact van een dergelijke aanval te beperken.
Sommige DoS-aanvallen op routers werken door de router te overspoelen met verkeer, zo veel verkeer naar routerinterfaces zo snel te verzenden dat de interfaces overweldigd zijn en niet overweg kunnen met het normale verkeer dat door de interface zou moeten gaan.
Een methode om deze aanval te bestrijden is door Junos-policers te gebruiken, die u kunt specificeren wanneer u de actie definieert die een firewallfilter moet nemen. Met policers kunt u limieten instellen voor de hoeveelheid verkeer (of zelfs maar een soort verkeer) die een interface kan ontvangen, waardoor de impact van DoS-aanvallen kan worden beperkt.
Policers bepalen de maximaal toegestane bandbreedte (het gemiddelde aantal bits per seconde) en de maximaal toegestane grootte van een enkele verkeersstroom wanneer de bandbreedtelimiet wordt overschreden. Verkeer dat wordt ontvangen voorbij de ingestelde limieten, wordt verwijderd.
Politieapparatuur wordt gebruikt in het actiegebied (toen) van een firewallfilter. Om ze in een firewallfilter te gebruiken, definieert u eerst de politieagent. In het volgende voorbeeld wordt een policer met de naam politie-ssh-telnet gemaakt die een maximale verkeerssnelheid (bandbreedte) van 1 Mbps instelt en de maximale grootte van een verkeersburst die deze limiet (burst-snelheid) van 25K overschrijdt. Verkeer dat deze limieten overschrijdt, wordt genegeerd.
[bewerk firewall] fred @ router # set politieagent politie-ssh-telnet als-overschrijdt bandbreedte-limiet 1m [bewerk firewall] fred @ router # stel politieagent politie-ssh-telnet in als-overschrijding burst-size-limiet 25k [bewerk firewall] fred @ router # stel politieagent politie-ssh-telnet in en gooi dan weg
Voeg vervolgens de politieagent toe aan een actie van een firewallfilter. U kunt het bijvoorbeeld toevoegen aan een SSH-Telnet-firewallfilter dat al bestaat op de loopback-interface van de router:
[bewerk firewall] fred @ router # stel filter limiet in - ssh-telnet term toegangsperiode dan politieagent politie-ssh-telnet [bewerk firewall] fred @ router # stel filter limiet in - ssh-telnet term access-term accepteer dan
Verkeer dat voldoet aan de limieten in de policer neemt de actie die u opgeeft in de firewall-term - in dit geval wordt het geaccepteerd - terwijl verkeer dat de limieten in de policer overschrijdt, de actie zal ondernemen daar gespecificeerd - in dit geval wordt het weggegooid.
Snelheidsbeperkende verkeersstroom naar de routeringsengine door policers te definiëren, is een goede beveiligingspraktijk om te voorkomen dat de routerings-engine wordt overweldigd door ongewenst verkeer of door mogelijke aanvallen op de router.Alle routeringsprotocolprocessen worden uitgevoerd op de routeringsengine, die essentieel is voor de kernbewerking van de router zelf. Wanneer deze processen niet normaal kunnen worden uitgevoerd, kan het resultaat een destabilisatie van het netwerk zijn.