Firewall filtra ações sem administração
Os filtros de firewall oferecem suporte a diferentes conjuntos de ações não intermináveis para cada família de protocolo, que incluem uma ação implícita de aceitação. Nesse contexto, o não término significa que outras ações podem seguir essas ações, enquanto nenhuma outra ação pode seguir uma ação terminante . Como tal, você não pode configurar a ação com uma ação terminante no mesmo termo do filtro.next term Você pode, no entanto, configurar a ação com outra ação não sufocante no mesmo termo do filtro.next term
No Junos OS e Junos OS Evolved, não pode aparecer como o último termo da ação.next term Um termo de filtro em que é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.next term
Tabela 1 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall.
Ação sem acordo |
Descrição |
Famílias de protocolo |
|---|---|---|
|
|
Atribua o pacote a uma das 17 filas de saída BGP priorizadas. |
|
|
|
Conte o pacote no balcão nomeado. |
|
|
|
Configure o valor do bit não fragmentado (bandeira) no cabeçalho IPv4 para especificar se o datagrama pode ser fragmentado:
Nota:
As ações são apoiadas apenas em MPCs. |
|
|
|
Defina o bit de ponto de código de serviços diferenciados (DSCP) IPv4. Você pode especificar um valor numérico de até . O valor DSCP padrão é (melhor esforço) ou . Você também pode especificar um dos seguintes sinônimos de texto:
Nota:
Esta ação não é suportada em roteadores da série PTX. Nota:
As placas de linha MPC em execução em roteadores da série MX oferecem suporte a qualquer valor (de 0 a 63) em conjunto com a ação do filtro de firewall. Nota:
As ações são apoiadas apenas em roteadores T320, T640, T1600, TX Matrix, TX Matrix Plus e M320 e em concentradores modulares de portas Ethernet (MPC) de 10 Gigabits. |
|
|
|
Policiar os pacotes de uma prioridade de tráfego usando o policial hierárquico aprimorado especificado. |
|
|
|
Por padrão, um policial hierárquico processa o tráfego que recebe de acordo com a classe de encaminhamento do tráfego. O tráfego premium, com encaminhamento acelerado, tem prioridade para largura de banda em tráfego agregado e de melhor esforço. O filtro garante que o tráfego correspondente ao termo seja tratado como tráfego premium por um policial hierárquico subsequente, independentemente de sua classe de encaminhamento. Nota:
A opção de filtro é suportada apenas em MPCs. |
|
|
|
Classifique o pacote para a classe de encaminhamento nomeada:
|
|
|
|
Policiar o pacote usando o policial hierárquico especificado |
|
|
|
Use a associação de segurança IPsec especificada. Nota:
Essa ação não é suportada em roteadores da Série MX, FPCs Tipo 5 em roteadores T4000 e roteadores de transporte de pacotes da Série PTX. |
|
|
|
Use o grupo de balanceamento de carga especificado. Nota:
Esta ação não é suportada em roteadores da Série MX ou roteadores de transporte de pacotes da Série PTX. |
|
|
|
Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o comando na interface de linha de comando (CLI). Nota:
A ação de log das famílias de Camada 2 (L2) está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de log para famílias L2 é ignorada se configurada. |
|
|
|
Direcione pacotes a um sistema lógico específico. |
|
|
|
Definir o nível de prioridade de perda de pacote (PLP). Você também não pode configurar a ação sem geração para o mesmo termo de filtro de firewall. Essa ação é apoiada em roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX. Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) aprimorados, você deve incluir a declaração no nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Para obter informações sobre a declaração e o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável. |
|
|
|
Use o grupo de próximo salto especificado. Recomendamos que você não use a ação com o mesmo filtro de firewall ou ação. |
|
|
|
(Série MX) Direcione pacotes para a interface de saída especificada. |
|
|
|
(Série MX) Direcione pacotes para o endereço IPv4 de destino especificado. |
|
|
|
(Série MX) Direcione pacotes para o endereço IPv6 de destino especificado. |
|
|
|
Atualiza um pouco de campo no buffer da chave de pacote, que especifica o tráfego que ignorará o encaminhamento baseado em fluxo. Os pacotes com o modificador de ação seguem o caminho de encaminhamento baseado em pacotes e contornam completamente o encaminhamento baseado em fluxo. |
|
|
|
Nome do policiador para usar para limitar o tráfego. |
|
|
|
(Série MX) Nome do mapa de políticas usado para atribuir regras específicas de reescrita a um cliente específico. |
|
|
|
Espelhar a porta do pacote com base na família especificada. Essa ação é apoiada em roteadores M120, roteadores M320 configurados com FPCs III aprimorados, roteadores da Série MX e roteadores de transporte de pacotes da Série PTX. Recomendamos que você não use as ações e as ações no mesmo filtro de firewall. |
|
|
|
Espelhar uma porta de um pacote, por exemplo. Essa ação é suportada apenas nos roteadores da Série MX. Recomendamos que você não use as ações e as ações no mesmo filtro de firewall. |
|
|
|
Contagem ou pacotes policiais com base no nome de ação especificado. Nota:
Esta ação não é suportada em roteadores de transporte de pacotes da Série PTX. |
|
|
|
Direcione os pacotes para a instância de roteamento especificada. |
|
|
|
Experimente o pacote. Nota:
O Junos OS não amostra pacotes originados do roteador. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface serão amostrados. Os pacotes enviados do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes não são amostrados. |
|
|
|
Use o mecanismo de contagem em linha ao capturar estatísticas de assinantes por serviço. Conte o pacote para contabilidade de serviços. A contagem é aplicada a um contador de nome específico () que o RADIUS pode obter. As palavras-chave são mutuamente exclusivas, tanto por termo quanto por filtro. Nota:
Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX. |
|
|
|
Use o mecanismo de contagem diferida ao capturar estatísticas de assinantes por serviço. A contagem é aplicada a um contador de nome específico () que o RADIUS pode obter. As palavras-chave são mutuamente exclusivas, tanto por termo quanto por filtro. Nota:
Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX. |
|
|
|
(Somente se a bandeira for marcada por um filtro anterior no tipo atual de filtros encadeados) Direcione o pacote para o próximo tipo de filtros. Indique aos filtros subsequentes na cadeia que o pacote já foi processado. Essa ação, juntamente com a condição de correspondência no recebimento de filtros, ajuda a simplificar o processamento de filtros. Nota:
Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX. |
|
|
|
Marque pacotes que passam as condições de correspondência da regra com o identificador de fatia correspondente à configuração de fatiamento de rede de serviços. Veja fatia (ação do filtro de firewall).https://www.juniper.net/documentation/us/en/software/junos/cos-hierarchical/cos/topics/ref/statement/slice(firewallfilteraction).html |
|
|
|
Registre o pacote no arquivo de log do sistema. A ação de firewall de syslog para famílias e existentes, e a ação nos filtros da família L2 inclui as seguintes informações de L2: Interface de entrada, ação, VLAN ID1, VLAN ID2, tipo Ethernet, endereços MAC de origem e destino, protocolo, endereços IP de origem e destino, portas de origem e destino, e o número de pacotes. Nota:
A ação de syslog das famílias L2 está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de syslog para famílias L2 é ignorada se configurada. |
|
|
|
Policiar o pacote usando o policiador de três cores de taxa única ou de duas categorias. Nota:
Você também não pode configurar a ação para o mesmo termo de filtro de firewall. |
|
|
|
Especifique o ponto de código da classe de tráfego. Você pode especificar um valor numérico de até . O valor padrão da classe de tráfego é o melhor esforço, ou seja . No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto:
Nota:
As ações são apoiadas apenas em roteadores da Série T e M320 e no Concentrador modular de portas Ethernet (MPC) de 10 Gigabits, MPC Ethernet de 60 Gigabits, Ethernet de 60 Gigabit com enfileiramento MPC e Ethernet de 60 Gigabits de enfileiramento aprimorado MPC nos roteadores da Série MX. |
|