Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender como filtros de firewall são avaliados

Um filtro de firewall consiste em um ou mais termos, e a ordem dos termos dentro de um filtro de firewall é importante. Antes de configurar filtros de firewall, você deve entender como Juniper Networks série EX Switches de ethernet avaliar os termos dentro de um filtro de firewall e como os pacotes são avaliados em relação aos termos.

Quando um filtro de firewall consiste em um único termo, o filtro é avaliado da seguinte forma:

  • Se o pacote estiver de acordo com todas as condições, a ação na then declaração será tomada.

  • Se o pacote estiver de acordo com todas as condições, e nenhuma ação for especificada na then declaração, a ação padrão accept será tomada.

Quando um filtro de firewall consiste em mais de um termo, o filtro de firewall é avaliado seqüencialmente:

  1. O pacote é avaliado em relação às condições do from primeiro termo.

  2. Se o pacote estiver de acordo com todas as condições do termo, a ação na declaração then será tomada e a avaliação termina. Os termos seguintes no filtro não são avaliados.

  3. Se o pacote não combinar todas as condições do termo, o pacote será avaliado em relação às condições da declaração from no segundo termo.

    Esse processo continua até que o pacote conague com as condições da declaração em um dos termos seguintes ou se não houver from mais termos no filtro.

  4. Se um pacote passar por todos os termos do filtro sem uma combinação, o pacote será descartado.

Figura 1 mostra como um switch da Série EX avalia os termos em um filtro de firewall.

Figura 1: Avaliação de termos dentro de um filtro de firewallAvaliação de termos dentro de um filtro de firewall

Caso um termo não contenha uma declaração, o pacote é considerado como uma combinação e a ação na from declaração do termo é then tomada.

Caso um termo não contenha uma declaração ou se uma ação não tiver sido configurada na declaração, e o pacote estiver de acordo com as condições da declaração do termo, o pacote thenthen será from aceito.

Cada filtro de firewall contém uma instrução implícita ao final do filtro, equivalente deny ao seguinte termo de filtro explícito:

Portanto, se um pacote passar por todos os termos em um filtro sem combinar quaisquer condições, o pacote será descartado. Se você configurar um filtro de firewall sem termos, todos os pacotes que passam pelo filtro serão descartados.