过滤发往瞻博网络路由器的 http/https 流量

网络工程 防火墙 杜松 杜松-朱诺斯
2022-02-16 13:49:07

我需要找到一种方法来强化我的网络,以便所有瞻博网络路由器拒绝 Web 管理和任何专门针对它们的 http / https 流量。

到目前为止,这是我想出的:

edit
delete system services web-management
edit firewall family inet filter local_web_filter
set term block_web from destination-address 127.0.0.1/32
set term block_web from port http
set term block_web from port https
set term block_web then log
set term block_web then reject tcp-reset
set term default-term then accept
set interfaces lo0 unit 0 family inet filter input local_web_filter
set interfaces lo0 unit 0 family inet address 127.0.0.1/32
commit
write memory

我几乎没有配置瞻博网络路由器的经验,因此非常感谢任何帮助。

1个回答

几点说明:

  • 如果您禁用 Web 管理服务,您将不必再阻止 HTTP(S) 流量,因为没有服务在该端口上侦听。
  • 如果您想过滤到路由器 Web 管理界面的流量,那么您的防火墙过滤器不是很有用,原因如下:
    1. 你只是阻止了localhost的流量。因此,只有从路由器到路由器 Web 界面的流量才能与之匹配。如果您想确保没有任何东西到达 Web 管理界面,您应该匹配路由器使用的任何 IP 地址。由于您在环回接口上应用过滤器,因此我只需删除目标地址上的匹配项。
    2. 您正在匹配port 80port 443,这意味着源端口和目标端口。您应该明确匹配destination-port 80destination-port 443
  • write memory不是有效的 JunOS 命令
其它你可能感兴趣的问题
上一篇如何使用 IXIA IxNetwork 8.40 在 CPE 和路由器之间发送双向流量 下一篇ping 错误 ipv6