Firewall
Bu bölümde web arayüzde Configuration -> Firewall sekmesinde gerçekleştirilebilen konfigürasyonların karşılığı olan CLI komutları bulunur.
security firewall
parta_Document(config)# security firewall
parta_Document(config-security-firewall)# ?
commit Commit Firewall Rules
ddos DDos Profile
enable Enable Firewall Rule (Default: enable)
fw-default-policy Firewall Default Policy
fw-flow Enables data export
load-balance Loadbalance Profile
qos Qos Profile
rules Rules
set-options Set Firewall Options
zone Zone
commit
Firewall kurallarındaki gerçekleştirilen değişikliklerin uygulanmasını sağlar
ddos policy [Name]
Bu komut sayesinde belirlenen isimdeki DoS Policy konfigürasyonunun gerçekleştirilebileceği targitas(config-ddos-[Name])#
prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde DoS sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
enable
Oluşturulan Firewall kuralının çalışması isteniliyorsa aktifleştirilmelidir.
fw-default-policy block-all
fw-default-policy block-log-all
Oluşturulan hiçbir firewall kuralına uymayan paketlerin bloklanmasını sağlar. block-log-all durumunda ayrıca bloklanan paketlere ait logların tutulması sağlanır.
fw-flow
Bu komut sayesinde fw-flow konfigürasyonunun gerçekleştirilebileceği targitas(config-firewall-flow)#
prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Fw-flow sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
load-balance [Profile Name]
Bu komut sayesinde belirlenen isimdeki Load Balance konfigürasyonunun gerçekleştirilebileceği targitas(config-lb-[Name])#
prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Load Balance sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
qos [Profile]
rules
Bu komut sayesinde firewall kurallarının konfigürasyonunun gerçekleştirilebileceği targitas(config-security-rules)#
prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Rules sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
set-options
zone [Name]
Bu komut sayesinde belirlenen isimdeki Zone konfigürasyonunun gerçekleştirilebileceği targitas(config-zone-[Name])#
prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Zone sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
firewall ddos policy [Name]:
firewall fw-flow
firewall load-balance [Profile Name]
qos [Profile Name] type parent
rules
parta_Document(config-security-firewall)# rules
parta_Document(config-security-rules)# fw-rule [ID]
parta_Document(config-security-rules)# fw-rule 10
parta_Document(config-fw-rule-10)# ?
action Set Firewall Rule Action
check Check Firewall Rule
ddos-profile Set DDos Profile to Firewall Rule
description Set description
destination-ip Destination IP
destination-zone Destination Zone
dpi Enable Web Filter
enable Enable Firewall Rule (Default: enable)
forward-ip Port Address Translation IP
ftp-proxy Enable FTP Proxy
fw-rule Firewall Rule
fw-state Set State to Firewall Rule
hotspot Hotspot Captive Portal Profile
inet Set Firewall Rule Inet Protocol
load-balance Loadbalance Profile
log Enable Log
name Set Firewall Rule name
nat-ip Network Address Translation IP
ngips-policy Enable IPS (Intrusion Prevention System) Filter
qos-profile Qos Profile
reply-ip Reply Ip Address
route-ip Route Ip Address
rule-order-id Set Firewall Rule Order
service-in Service-in
service-out Service-out
set-prio Packets matching this rule will be assigned a specific queueing priority
set-tos Enforces a TOS for matching packets.
source-ip Source IP
source-zone Source Zone
ssl-inspection Enable SSL Inspection
static-port Static Port
tag Set Firewall Rule tag
type Set Firewall Rule Type
use-tag Set Firewall Rule use-tag
vrf-table Set VRF table to firewall rule
action [allow / deny /reset
Oluşturulan Firewall kuralıyla eşleşen paket karşısında gerçekleştirilecek aksiyon belirlenmelidir. Allow: Firewall kuralındaki parametreleri sağlayan paketin geçmesine izin verir. Deny: Firewall kuralındaki parametreleri sağlayan paketin geçmesine izin vermez ve paketi düşürür. Reset: Firewall kuralındaki parametreleri sağlayan paketi ve trafiğin diğer ucundaki IP adresiyle kurduğu TCP bağlantısını kapatır.
check
Oluşturulan Firewall kuralında yapısal sorun testi gerçekleştirir. Hata durumunda oluşturulan Firewall kuralının commit etmek için uygun olmadığı bilgisi edinilir.
ddos-profile [Name]
Servis engelleme saldırılarını önlemek için gelen paket sayısı/zaman ayarlamasının belirlenebildiği DoS Politikası belirlenerek önlem alınabilir. Web arayüzünde Configuration -> Firewall -> Dos sayfasında oluşturulmuş DoS Politikalarından seçilmek istenilen politikanın ismi belirtilmelidir.
description [Text]
Network yönetimini kolaylaştırmak için oluşturulan Firewall kuralının görevini içeren bir açıklama yazılması önerilir.
destination-ip
Firewall'a ulaşan paketin ulaşmaya çalıştığı IP adresidir.
destination-zone
Firewall'a ulaşan trafiğin hangi yöne gitmek istediğini belirtir.
dpi flow-management
DPI (Deep Packet Inspection) Politikalarının değerlendirilmesi isteniyorsa bu özellik aktifleştirilmelidir.
enable
Oluşturulan Firewall kuralının çalışması isteniliyorsa aktifleştirilmelidir.
forward-ip
Port Forwarding türündeki kurallarda Firewall'a gelen paketlerden gerekli şartları sağlayan paketin hangi IP adresine yönlendirileceğini belirtir.
ftp-proxy
File Transfer Protocol Proxy özelliği isteniyorsa bu özellik aktifleştirilmelidir.
fw-rule [ID]
Belirtilen ID değerine sahip farklı bir Firewall kuralının konfigürasyonuna geçiş için kullanılır.
fw-state [fw-flow / keep-state / no-state / synproxy-state]
Firewall state türü belirlenmelidir. keep-state: Seçenek, TCP, UDP ve ICMP ile çalışır.Bu seçenek, tüm filtre kuralları için varsayılandır. no-state: Seçenek, TCP, UDP ve ICMP ile çalışır.Güvenlik duvarı bu bağlantıyı durum bilgisi olarak izlemez. synproxy-state: Sunucuları sahte TCP SYN saldırılarından korumaya yardımcı olmak için gelen TCP bağlantılarını proxy'ler.keep state ve modulate state içerir. fw-flow: Güvenlik duvarı akışların bir akış toplayıcısına gönderir.
hotspot [Captive Portal]
Firewall kuralını tetikleyen paketlerin hotspot tarafında authentication işlemi gerçekleştirmek için seçilmelidir. Oluşturulmuş seçeneklerden birisi seçilebilir. Hotspot ile ilgili ayrıntılara Hotspot Rehberi üzerinden ulaşılabilir.
inet [v4 / v6]
load-balance [Profile]
log
Firewall kuralı tarafından değerlendirilen paketlerin kayıtlarının tutulması isteniyorsa bu özellik aktifleştirilmelidir.
name [Rule Name]
Firewall kuralının görevini ifade eden bir isim vermeniz önerilir.
nat-ip
Firewall kuralı tarafından tetikleyen paketlerin source IP değerinin NAT sonrasında değiştirileceği IP adresi belirtilmelidir.
ngips-policy [Policy Name]
NGIPS (Next Generation Intrusion Prevention System) sayesinde Targitas'ın veritabanında sahip olduğu bilinen saldırıların imzalarından belirlenen NGIPS Policy tarafından tetiklenen şüpheli paketlerde NGIPS tarafından belirlenen senaryonun gerçekleşmesini Configuration -> NGIPS arayüzünden oluşturulmuş NGIPS Politikalarından birisi seçilebilir. NGIPS ile ilgili ayrıntılara NGIPS Rehberi üzerinden ulaşabilirsiniz.
qos-profile [Profile Names]
Quality of Service özelliği ile Firewall tarafından bu kuralın tetiklenmesiyle geçmesine izin verilen paketlerin bant genişliği ve hızları sınırlandırılabilir. Configuration -> QoS arayüzünden oluşturulmuş QoS Politikalarından birisi seçilebilir.
reply-ip
Firewall Kuralı tarafından tetiklenen paketlere yanıt verecek IP adresi belirlenebilir.
route-ip
Firewall kuralı tarafından tetiklenen paketlerin yönlendirileceği IP adresi belirlenebilir.
rule-order-id [Number]
Targitas üzerinde Firewall kuralları yukarıdan aşağıya doğru değerlendirilir. Eğer bir kuralın tetiklenmesi için gerekli parametreler sağlanırsa o kuralın sonucu gerçekleştirilir ve tetiklenen kuralın aşağısındaki kurallar değerlendirilmez. Bu yapıdan dolayı Firewall kurallarının sırası önemlidir. Burada kuralın sırası belirtilebilir.
service-in [Protocol Name]
Pat türündeki firewall kurallarında hangi servisler ile bağlantılı portlara ulaşmaya çalışan paketler için yönlendirme yapılacağı belirtilir.
service-out [Protocol Name]
Pat türündeki firewall kurallarında Forward IP adresine yönlendiren paketlerin destination port adresini belirlemek için servis belirtilebilir.
set-prio [Number]
source-ip
Firewall'a gelen paketin IP adresidir. IP adresi, IP grubu veya netmask belirterek bir subnet belirtilebilir.
source-zone
Firewall'a gelen trafiğin hangi bölgeden geldiğini belirtir.
ssl-inspection
static-port
tag
Firewall kurallarının gelecekte düzenlenmesini kolaylaştırmak için kuralın kullanım amacı ve kullanıcı grubuyla ilgili bir etiket eklemeniz önerilir.
type [access / binat / pat]
Firewall kuralının türü belirtilmek zorundadır. Acccess, binat ve pat(Port Forwarding) seçenekleri mevcuttur.
use-tag
Daha önce kullanılmış bir etiket eklemeniz için kullanılabilir.
vrf-table
Network -> Virtual Router arayüzünde oluşturulan VRF'ler arasında seçim yapılabilir
firewall zone [Name]
Bu CLI bölümünde web arayüzünde Zone sayfasında gerçekleştirilen konfigürasyonların karşılığı olan komutlar bulunur.
targitas(config-security-firewall)# zone Example
targitas(config-zone-Example)# ?
description Set description
rules Rules
zone Zone
zone-members Zone Members
targitas(config-zone-Example)# zone-members
1/1/1 Interface 1/1/1
1/1/2 Interface 1/1/2
1/1/3 Interface 1/1/3
1/1/4 Interface 1/1/4
1/1/5 Interface 1/1/5
1/1/6 Interface 1/1/6
1/2/1 Interface 1/2/1
1/2/2 Interface 1/2/2
aggr1 Interface aggr1
vlan10 Interface vlan10
vlan5 Interface vlan5
targitas(config-zone-Example)# zone-members 1/1/1
Interface 1/1/1 added
targitas(config-zone-Example)# zone-members 1/1/2
Interface 1/1/2 added
targitas(config-zone-Example)# zone-members vlan10
Interface vlan10 added
targitas(config-zone-Example)# no zone-members 1/1/1
Interface 1/1/1 removed from zone Example
targitas(config-zone-Example)# show this
zone Example
zone-members 1/1/2 vlan10
description [Text]
Network yönetimini kolaylaştırmak için oluşturulan Zone ile ilgili görevini içeren bir açıklama yazılması önerilir.
rules
Bu komut sayesinde firewall kurallarının konfigürasyonunun gerçekleştirilebileceği targitas(config-security-rules)#
prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Rules sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
zone [Name]
Bu komut sayesinde belirlenen isimdeki Zone konfigürasyonunun gerçekleştirilebileceği targitas(config-zone-[Name])#
prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Zone sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
zone-members [Interface]
Interface seçenekleri arasından seçilen Zone'da yer alması istenilen Interface, member olarak tanımlanmalıdır.
Last updated
Was this helpful?