Firewall

​​​Bu bölümde web arayüzde Configuration -> Firewall sekmesinde gerçekleştirilebilen konfigürasyonların karşılığı olan CLI komutları bulunur.

security firewall

parta_Document(config)# security firewall 
parta_Document(config-security-firewall)# ?
commit                   Commit Firewall Rules
ddos                     DDos Profile
enable                   Enable Firewall Rule (Default: enable)
fw-default-policy        Firewall Default Policy
fw-flow                  Enables data export
load-balance             Loadbalance Profile
qos                      Qos Profile
rules                    Rules
set-options              Set Firewall Options
zone                     Zone

​commit

Firewall kurallarındaki gerçekleştirilen değişikliklerin uygulanmasını sağlar

ddos policy [Name]

enable

Oluşturulan Firewall kuralının çalışması isteniliyorsa aktifleştirilmelidir.

fw-default-policy block-all fw-default-policy block-log-all

Oluşturulan hiçbir firewall kuralına uymayan paketlerin bloklanmasını sağlar. block-log-all durumunda ayrıca bloklanan paketlere ait logların tutulması sağlanır.

fw-flow

load-balance [Profile Name]

qos [Profile]

rules

set-options

zone [Name]

firewall ddos policy [Name]:

firewall fw-flow

firewall load-balance [Profile Name]

qos [Profile Name] type parent

rules

parta_Document(config-security-firewall)# rules 
parta_Document(config-security-rules)# fw-rule [ID]
parta_Document(config-security-rules)# fw-rule 10
parta_Document(config-fw-rule-10)# ?
action                   Set Firewall Rule Action
check                    Check Firewall Rule
ddos-profile             Set DDos Profile to Firewall Rule
description              Set description
destination-ip           Destination IP
destination-zone         Destination Zone
dpi                      Enable Web Filter
enable                   Enable Firewall Rule (Default: enable)
forward-ip               Port Address Translation IP
ftp-proxy                Enable FTP Proxy
fw-rule                  Firewall Rule
fw-state                 Set State to Firewall Rule
hotspot                  Hotspot Captive Portal Profile
inet                     Set Firewall Rule Inet Protocol
load-balance             Loadbalance Profile
log                      Enable Log
name                     Set Firewall Rule name
nat-ip                   Network Address Translation IP
ngips-policy             Enable IPS (Intrusion Prevention System) Filter
qos-profile              Qos Profile
reply-ip                 Reply Ip Address
route-ip                 Route Ip Address
rule-order-id            Set Firewall Rule Order
service-in               Service-in
service-out              Service-out
set-prio                 Packets matching this rule will be assigned a specific queueing priority
set-tos                  Enforces a TOS for matching packets.
source-ip                Source IP
source-zone              Source Zone
ssl-inspection           Enable SSL Inspection
static-port              Static Port
tag                      Set Firewall Rule tag
type                     Set Firewall Rule Type
use-tag                  Set Firewall Rule use-tag
vrf-table                Set VRF table to firewall rule

action [allow / deny /reset

Oluşturulan Firewall kuralıyla eşleşen paket karşısında gerçekleştirilecek aksiyon belirlenmelidir. Allow: Firewall kuralındaki parametreleri sağlayan paketin geçmesine izin verir. Deny: Firewall kuralındaki parametreleri sağlayan paketin geçmesine izin vermez ve paketi düşürür. Reset: Firewall kuralındaki parametreleri sağlayan paketi ve trafiğin diğer ucundaki IP adresiyle kurduğu TCP bağlantısını kapatır.

check

Oluşturulan Firewall kuralında yapısal sorun testi gerçekleştirir. Hata durumunda oluşturulan Firewall kuralının commit etmek için uygun olmadığı bilgisi edinilir.

ddos-profile [Name]

Servis engelleme saldırılarını önlemek için gelen paket sayısı/zaman ayarlamasının belirlenebildiği DoS Politikası belirlenerek önlem alınabilir. Web arayüzünde Configuration -> Firewall -> Dos sayfasında oluşturulmuş DoS Politikalarından seçilmek istenilen politikanın ismi belirtilmelidir.

description [Text]

Network yönetimini kolaylaştırmak için oluşturulan Firewall kuralının görevini içeren bir açıklama yazılması önerilir.

destination-ip

Firewall'a ulaşan paketin ulaşmaya çalıştığı IP adresidir.

destination-zone

Firewall'a ulaşan trafiğin hangi yöne gitmek istediğini belirtir.

dpi flow-management

DPI (Deep Packet Inspection) Politikalarının değerlendirilmesi isteniyorsa bu özellik aktifleştirilmelidir.

enable

Oluşturulan Firewall kuralının çalışması isteniliyorsa aktifleştirilmelidir.

forward-ip

Port Forwarding türündeki kurallarda Firewall'a gelen paketlerden gerekli şartları sağlayan paketin hangi IP adresine yönlendirileceğini belirtir.

ftp-proxy

File Transfer Protocol Proxy özelliği isteniyorsa bu özellik aktifleştirilmelidir.

fw-rule [ID]

Belirtilen ID değerine sahip farklı bir Firewall kuralının konfigürasyonuna geçiş için kullanılır.

fw-state [fw-flow / keep-state / no-state / synproxy-state]

Firewall state türü belirlenmelidir. keep-state: Seçenek, TCP, UDP ve ICMP ile çalışır.Bu seçenek, tüm filtre kuralları için varsayılandır. no-state: Seçenek, TCP, UDP ve ICMP ile çalışır.Güvenlik duvarı bu bağlantıyı durum bilgisi olarak izlemez. synproxy-state: Sunucuları sahte TCP SYN saldırılarından korumaya yardımcı olmak için gelen TCP bağlantılarını proxy'ler.keep state ve modulate state içerir. fw-flow: Güvenlik duvarı akışların bir akış toplayıcısına gönderir.

hotspot [Captive Portal]

inet [v4 / v6]

load-balance [Profile]

log

Firewall kuralı tarafından değerlendirilen paketlerin kayıtlarının tutulması isteniyorsa bu özellik aktifleştirilmelidir.

name [Rule Name]

Firewall kuralının görevini ifade eden bir isim vermeniz önerilir.

nat-ip

Firewall kuralı tarafından tetikleyen paketlerin source IP değerinin NAT sonrasında değiştirileceği IP adresi belirtilmelidir.

ngips-policy [Policy Name]

qos-profile [Profile Names]

Quality of Service özelliği ile Firewall tarafından bu kuralın tetiklenmesiyle geçmesine izin verilen paketlerin bant genişliği ve hızları sınırlandırılabilir. Configuration -> QoS arayüzünden oluşturulmuş QoS Politikalarından birisi seçilebilir.

reply-ip

Firewall Kuralı tarafından tetiklenen paketlere yanıt verecek IP adresi belirlenebilir.

route-ip

Firewall kuralı tarafından tetiklenen paketlerin yönlendirileceği IP adresi belirlenebilir.

rule-order-id [Number]

Targitas üzerinde Firewall kuralları yukarıdan aşağıya doğru değerlendirilir. Eğer bir kuralın tetiklenmesi için gerekli parametreler sağlanırsa o kuralın sonucu gerçekleştirilir ve tetiklenen kuralın aşağısındaki kurallar değerlendirilmez. Bu yapıdan dolayı Firewall kurallarının sırası önemlidir. Burada kuralın sırası belirtilebilir.

service-in [Protocol Name]

Pat türündeki firewall kurallarında hangi servisler ile bağlantılı portlara ulaşmaya çalışan paketler için yönlendirme yapılacağı belirtilir.

service-out [Protocol Name]

Pat türündeki firewall kurallarında Forward IP adresine yönlendiren paketlerin destination port adresini belirlemek için servis belirtilebilir.

set-prio [Number]

source-ip

Firewall'a gelen paketin IP adresidir. IP adresi, IP grubu veya netmask belirterek bir subnet belirtilebilir.

source-zone

Firewall'a gelen trafiğin hangi bölgeden geldiğini belirtir.

ssl-inspection

static-port

tag

Firewall kurallarının gelecekte düzenlenmesini kolaylaştırmak için kuralın kullanım amacı ve kullanıcı grubuyla ilgili bir etiket eklemeniz önerilir.

type [access / binat / pat]

Firewall kuralının türü belirtilmek zorundadır. Acccess, binat ve pat(Port Forwarding) seçenekleri mevcuttur.

use-tag

Daha önce kullanılmış bir etiket eklemeniz için kullanılabilir.

vrf-table

Network -> Virtual Router arayüzünde oluşturulan VRF'ler arasında seçim yapılabilir

firewall zone [Name]

Bu CLI bölümünde web arayüzünde Zone sayfasında gerçekleştirilen konfigürasyonların karşılığı olan komutlar bulunur.

targitas(config-security-firewall)# zone Example
targitas(config-zone-Example)# ?
description              Set description
rules                    Rules
zone                     Zone
zone-members             Zone Members
targitas(config-zone-Example)# zone-members
1/1/1                    Interface 1/1/1
1/1/2                    Interface 1/1/2
1/1/3                    Interface 1/1/3
1/1/4                    Interface 1/1/4
1/1/5                    Interface 1/1/5
1/1/6                    Interface 1/1/6
1/2/1                    Interface 1/2/1
1/2/2                    Interface 1/2/2
aggr1                    Interface aggr1
vlan10                   Interface vlan10
vlan5                    Interface vlan5
targitas(config-zone-Example)# zone-members 1/1/1
Interface 1/1/1 added
targitas(config-zone-Example)# zone-members 1/1/2
Interface 1/1/2 added
targitas(config-zone-Example)# zone-members vlan10
Interface vlan10 added
targitas(config-zone-Example)# no zone-members 1/1/1
Interface 1/1/1 removed from zone Example
targitas(config-zone-Example)# show this
 zone Example
  zone-members 1/1/2 vlan10

description [Text]

Network yönetimini kolaylaştırmak için oluşturulan Zone ile ilgili görevini içeren bir açıklama yazılması önerilir.

rules

zone [Name]

zone-members [Interface]

Interface seçenekleri arasından seçilen Zone'da yer alması istenilen Interface, member olarak tanımlanmalıdır.

ddos policy [Name]

ddos policy [Name] komutuyla belirtilen isimde bir DoS Politikası oluşturabilirsiniz. DoS saldırılarının riskini azaltmak için gerekli politikalar bu prompt bölümünde gerçekleştirilebilir. Web arayüzünde bu konuyla ilgili Örnek DoS Politikası Oluşturma rehberinden de faydalanabilirsiniz.

parta_Document(config-security-firewall)# ddos policy CLI_Example
parta_Document(config-ddos-CLI_Example)# ?
attack-type              Attack Type
concurrent-states        Limits the number of concurrent states the rule may create.
ddos                     DDos Profile
description              Set description
floating                 States can match packets on any interfaces (default - the opposite of if-bound
flush                    Flush overload
if-bound                 States are bound to an interface (the opposite of floating).
log                      Enable Log
max-concurrent-state     Limits the number of concurrent states the rule may create.
max-pkt-rate             When the specified rate is exceeded, the rule stops matching.
max-src-conn             Limits the maximum number of simultaneous TCP connections
max-src-conn-rate        Limit the rate of new connections over a time interval.
max-src-nodes            Limits the maximum number of source addresses which can simultaneously have state table entries.
max-src-states           Limits the maximum number of simultaneous state entries that a single source address can create with this rule.
no-sync                  Prevent state changes for states created by rule
sloppy                   Uses a sloppy TCP connection tracker that does not check sequence numbers at all
source-track             The number of states per source IP is tracked

fw-flow

parta_Document(config-security-firewall)# fw-flow 
parta_Document(config-security-firewall-flow)# 
enable                   Enable Firewall Flow
protocol                 Protocol NetFlow/IPFIX
source                   Source IP

Last updated