Firewall filtra ações sem administração

Os filtros de firewall oferecem suporte a diferentes conjuntos de ações não intermináveis para cada família de protocolo, que incluem uma ação implícita de aceitação. Nesse contexto, o não término significa que outras ações podem seguir essas ações, enquanto nenhuma outra ação pode seguir uma ação terminante . Como tal, você não pode configurar a ação next term com uma ação terminante no mesmo termo do filtro. Você pode, no entanto, configurar a ação next term com outra ação não sufocante no mesmo termo do filtro.

Nota:

No Junos OS e Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

Tabela 1 descreve as ações não intermináveis que você pode configurar para um termo de filtro de firewall.

Tabela 1: Ações sem acordo para filtros de firewall
Ação sem acordo	Descrição	Famílias de protocolo
`bgp-output-queue-priority priority (expedited \| (1-16))`	Atribua o pacote a uma das 17 filas de saída BGP priorizadas.	`family evpn` `family inet` `family inet-mdt` `family inet-mvpn` `family inet-vpn` `family inet6` `family inet6-mvpn` `family inet6-vpn` `family iso-vpn` `family l2vpn` `family route-target` `family traffic-engineering`
`count counter-name`	Conte o pacote no balcão nomeado.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`dont-fragment (set \| clear)`	Configure o valor do bit não fragmentado (bandeira) no cabeçalho IPv4 para especificar se o datagrama pode ser fragmentado: `set`— Altere o valor da bandeira para um, evitando a fragmentação. `clear`— Altere o valor da bandeira para zero, permitindo a fragmentação. Nota: As `dont-fragment (set \| clear)` ações são apoiadas apenas em MPCs.	`family inet`
`dscp value`	Defina o bit de ponto de código de serviços diferenciados (DSCP) IPv4. Você pode especificar um valor numérico de `0` até `63`. Para especificar o valor na forma hexadadecimal, inclua `0x` como prefixo. Para especificar o valor em forma binária, inclua `b` como prefixo. O valor DSCP padrão é `be` (melhor esforço) ou `0`. Você também pode especificar um dos seguintes sinônimos de texto: `af11`— Encaminhamento garantido classe 1, precedência de baixa queda (1) `af12`— Encaminhamento garantido de classe 1, precedência de queda média (2) `af13`— Encaminhamento garantido de classe 1, precedência de alta queda (3); e assim por diante `af43`, encaminhamento garantido classe 4, precedência de alta queda `be`— Melhor esforço `cs0`— Seletor de classe 0; e assim por diante `cs7`, seletor de classe 0 `ef`— Encaminhamento acelerado Nota: Esta ação não é suportada em roteadores da série PTX. Nota: As placas de linha MPC em execução em roteadores da série MX oferecem suporte a qualquer valor (de 0 a 63) em conjunto com a ação do filtro de `set dscp` firewall. Nota: As ações `dscp 0` são `dscp be` apoiadas apenas em roteadores T320, T640, T1600, TX Matrix, TX Matrix Plus e M320 e em concentradores modulares de portas Ethernet (MPC) de 10 Gigabits. No entanto, essas ações não são suportadas em Concentradores PIC Flexíveis (FPCs) Aprimorados III em roteadores M320. Nos roteadores T4000, a ação `dscp 0` não é suportada durante a interoperação entre um FPC T1600 enhanced scaling tipo 4 e um FPC T4000 Tipo 5.	`family inet`
`enhanced-hierarchical-policer`	Policiar os pacotes de uma prioridade de tráfego usando o policial hierárquico aprimorado especificado.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family VPLS`
`force-premium`	Por padrão, um policial hierárquico processa o tráfego que recebe de acordo com a classe de encaminhamento do tráfego. O tráfego premium, com encaminhamento acelerado, tem prioridade para largura de banda em tráfego agregado e de melhor esforço. O `force-premium` filtro garante que o tráfego correspondente ao termo seja tratado como tráfego premium por um policial hierárquico subsequente, independentemente de sua classe de encaminhamento. Esse tráfego é dado preferência sobre qualquer tráfego agregado recebido por esse policial. Nota: A opção `force-premium` de filtro é suportada apenas em MPCs.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family VPLS`
`forwarding-class class-name`	Classifique o pacote para a classe de encaminhamento nomeada: `forwarding-class-name` `assured-forwarding` `best-effort` `expedited-forwarding` `network-control`	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`hierarchical-policer`	Policiar o pacote usando o policial hierárquico especificado	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`ipsec-sa ipsec-sa`	Use a associação de segurança IPsec especificada. Nota: Essa ação não é suportada em roteadores da Série MX, FPCs Tipo 5 em roteadores T4000 e roteadores de transporte de pacotes da Série PTX.	`family inet`
`load-balance group-name`	Use o grupo de balanceamento de carga especificado. Nota: Esta ação não é suportada em roteadores da Série MX ou roteadores de transporte de pacotes da Série PTX.	`family inet`
`log`	Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de encaminhamento de pacotes. Você pode acessar essas informações emitindo o `show firewall log` comando na interface de linha de comando (CLI). Nota: A ação de log das famílias de Camada 2 (L2) está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de log para famílias L2 é ignorada se configurada.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`logical-system logical-system-name`	Direcione pacotes a um sistema lógico específico.	`family inet` `family inet6`
`loss-priority (high \| medium-high \| medium-low \| low)`	Definir o nível de prioridade de perda de pacote (PLP). Você também não pode configurar a ação `three-color-policer` sem geração para o mesmo termo de filtro de firewall. Essas duas ações não intermináveis são mutuamente exclusivas. Essa ação é apoiada em roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX. Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) aprimorados, você deve incluir a `tri-color` declaração no `[edit class-of-service]` nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver habilitada, você só poderá configurar os níveis e `low` os `high` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração e o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`next-hop-group group-name`	Use o grupo de próximo salto especificado. Recomendamos que você não use a ação `next-hop-group` com o `port-mirror-instance` mesmo filtro de firewall ou `port-mirror` ação.	`family any` `family inet`
`next-interface interface-name`	(Série MX) Direcione pacotes para a interface de saída especificada.	`family inet` `family inet6`
`next-ip ip-address`	(Série MX) Direcione pacotes para o endereço IPv4 de destino especificado.	`family inet`
`next-ip6 ipv6-address`	(Série MX) Direcione pacotes para o endereço IPv6 de destino especificado.	`family inet6`
`packet-mode`	Atualiza um pouco de campo no buffer da chave de pacote, que especifica o tráfego que ignorará o encaminhamento baseado em fluxo. Os pacotes com o `packet-mode` modificador de ação seguem o caminho de encaminhamento baseado em pacotes e contornam completamente o encaminhamento baseado em fluxo. Aplica-se apenas aos dispositivos SRX100, SRX210, SRX220, SRX240 e SRX650. Para obter mais informações sobre serviços seletivos baseados em pacotes sem estado, consulte o Guia de configuração de segurança do Junos OS.	`family any`
`policer policer-name`	Nome do policiador para usar para limitar o tráfego.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`policy-map policy-map-name`	(Série MX) Nome do mapa de políticas usado para atribuir regras específicas de reescrita a um cliente específico.	`family any` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`port-mirror instance-name`	Espelhar a porta do pacote com base na família especificada. Essa ação é apoiada em roteadores M120, roteadores M320 configurados com FPCs III aprimorados, roteadores da Série MX e roteadores de transporte de pacotes da Série PTX. Recomendamos que você não use as ações e `port-mirror` as `next-hop-group` ações no mesmo filtro de firewall.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`port-mirror-instance instance-name`	Espelhar uma porta de um pacote, por exemplo. Essa ação é suportada apenas nos roteadores da Série MX. Recomendamos que você não use as ações e `port-mirror-instance` as `next-hop-group` ações no mesmo filtro de firewall.	`family any` `family bridge` `family ccc` `family inet` `family inet6` `family vpls` `family mpls`
`prefix-action action-name`	Contagem ou pacotes policiais com base no nome de ação especificado. Nota: Esta ação não é suportada em roteadores de transporte de pacotes da Série PTX.	`family inet`
`routing-instance routing-instance-name`	Direcione os pacotes para a instância de roteamento especificada.	`family inet` `family inet6`
`sample`	Experimente o pacote. Nota: O Junos OS não amostra pacotes originados do roteador. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface serão amostrados. Os pacotes enviados do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes não são amostrados.	`family inet` `family inet6` `family mpls`
`service-accounting`	Use o mecanismo de contagem em linha ao capturar estatísticas de assinantes por serviço. Conte o pacote para contabilidade de serviços. A contagem é aplicada a um contador de nome específico (`__junos-dyn-service-counter`) que o RADIUS pode obter. As `service-accounting` palavras-chave são `service-accounting-deferred` mutuamente exclusivas, tanto por termo quanto por filtro. Nota: Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.	`family any` `family inet` `family inet6`
`service-accounting- deferred`	Use o mecanismo de contagem diferida ao capturar estatísticas de assinantes por serviço. A contagem é aplicada a um contador de nome específico (`__junos-dyn-service-counter`) que o RADIUS pode obter. As `service-accounting` palavras-chave são `service-accounting-deferred` mutuamente exclusivas, tanto por termo quanto por filtro. Nota: Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.	`family any` `family inet` `family inet6`
`service-filter-hit`	(Somente se a `service-filter-hit` bandeira for marcada por um filtro anterior no tipo atual de filtros encadeados) Direcione o pacote para o próximo tipo de filtros. Indique aos filtros subsequentes na cadeia que o pacote já foi processado. Essa ação, juntamente com a `service-filter-hit` condição de correspondência no recebimento de filtros, ajuda a simplificar o processamento de filtros. Nota: Esta ação não é suportada em FPCs T4000 Tipo 5 e roteadores de transporte de pacotes da Série PTX.	`family any` `family inet` `family inet6`
`slice slice-name`	Marque pacotes que passam as condições de correspondência da regra com o identificador de fatia correspondente à configuração de fatiamento de rede de serviços. Veja fatia (ação do filtro de firewall).	`family any` `family bridge` `family ccc` `family evpn` `family inet` `family inet6` `family mpls` `family vpls`
`syslog`	Registre o pacote no arquivo de log do sistema. A ação de firewall de syslog para famílias e `inet6` existentes`inet`, e a ação `syslog` nos filtros da família L2 inclui as seguintes informações de L2: Interface de entrada, ação, VLAN ID1, VLAN ID2, tipo Ethernet, endereços MAC de origem e destino, protocolo, endereços IP de origem e destino, portas de origem e destino, e o número de pacotes. Nota: A ação de syslog das famílias L2 está disponível apenas para roteadores da Série MX com MPCs (modo MPC se o roteador tiver apenas MPCs ou modo mix se tiver MPCs e DCPs). Para roteadores da Série MX com DPCs, a ação de syslog para famílias L2 é ignorada se configurada.	`family bridge` `family ccc` `family inet` `family inet6` `family vpls`
`three-color-policer (single-rate \| two-rate) policer-name`	Policiar o pacote usando o policiador de três cores de taxa única ou de duas categorias. Nota: Você também não pode configurar a ação `loss-priority` para o mesmo termo de filtro de firewall. Essas duas ações são mutuamente exclusivas.	`family bridge` `family ccc` `family inet` `family inet6` `family mpls` `family vpls`
`traffic-class value`	Especifique o ponto de código da classe de tráfego. Você pode especificar um valor numérico de `0` até `63`. Para especificar o valor na forma hexadadecimal, inclua `0x` como prefixo. Para especificar o valor em forma binária, inclua `b` como prefixo. O valor padrão da classe de tráfego é o melhor esforço, ou seja `be0`. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto: `af11`— Encaminhamento garantido de classe 1, precedência de baixa queda `af12`— Prioridade de encaminhamento garantida de classe 1, precedência de queda média `af13`— Encaminhamento garantido de classe 1, precedência de alta queda `af21`— Encaminhamento garantido de classe 2, precedência de baixa queda `af22`— Prioridade de encaminhamento garantida de classe 2, precedência de queda média `af23`— Encaminhamento garantido de classe 2, precedência de alta queda `af31`— Encaminhamento garantido classe 3, precedência de baixa queda `af32`— Encaminhamento garantido da classe 3, precedência de queda média `af33`— Encaminhamento garantido classe 3, precedência de alta queda `af41`— Encaminhamento garantido da classe 4, baixa precedência de queda `af42`— Prioridade de encaminhamento garantida de classe 4, precedência de queda média `af43`— Encaminhamento garantido da classe 4, precedência de alta queda `be`— Melhor esforço `cs0`— Seletor de classe 0 `cs1`— Seletor de classe 1 `cs2`— Seletor de classe 2 `cs3`— Seletor de classe 3 `cs4`— Seletor de classe 4 `cs5`— Seletor de classe 5 `cs6`— Seletor de classe 6 `cs7`— Seletor de classe 7 `ef`— Encaminhamento acelerado Nota: As ações `traffic-class 0`são `traffic-class be` apoiadas apenas em roteadores da Série T e M320 e no Concentrador modular de portas Ethernet (MPC) de 10 Gigabits, MPC Ethernet de 60 Gigabits, Ethernet de 60 Gigabit com enfileiramento MPC e Ethernet de 60 Gigabits de enfileiramento aprimorado MPC nos roteadores da Série MX. No entanto, essas ações não são suportadas em Concentradores PIC Flexíveis (FPCs) Aprimorados III em roteadores M320.	`family inet6`

Firewall filtra ações sem administração

Tópicos relacionados