Entendendo como os filtros de firewall são avaliados
Um filtro de firewall consiste em um ou mais termos, e a ordem dos termos dentro de um filtro de firewall é importante. Antes de configurar filtros de firewall, você deve entender como os switches de ethernet da Série EX da Juniper Networks avaliam os termos dentro de um filtro de firewall e como os pacotes são avaliados em relação aos termos.
Quando um filtro de firewall consiste em um único termo, o filtro é avaliado da seguinte forma:
Se o pacote corresponde a todas as condições, a ação na
then
declaração será tomada.Se o pacote corresponde a todas as condições e nenhuma ação for especificada na
then
declaração, a ação accept padrão será tomada.
Quando um filtro de firewall consiste em mais de um termo, o filtro de firewall é avaliado sequencialmente:
O pacote é avaliado em relação às condições da
from
declaração no primeiro mandato.Se o pacote corresponde a todas as condições do termo, a ação na
then
declaração é tomada e a avaliação termina. Os termos subsequentes no filtro não são avaliados.Se o pacote não corresponder a todas as condições do termo, o pacote será avaliado em relação às condições da
from
declaração no segundo mandato.Esse processo continua até que o pacote corresponda às condições da
from
declaração em um dos termos subsequentes ou não haja mais termos no filtro.Se um pacote passar por todos os termos do filtro sem combinar, o pacote será descartado.
Figura 1 mostra como um switch da Série EX avalia os termos dentro de um filtro de firewall.
Se um termo não conter uma from
declaração, o pacote é considerado compatível e a ação na then
declaração do termo é tomada.
Se um termo não conter uma then
declaração ou se uma ação não tiver sido configurada na then
declaração, e o pacote corresponde às condições na from
declaração do termo, o pacote é aceito.
Cada filtro de firewall contém uma declaração implícita deny
no final do filtro, o que equivale ao seguinte termo de filtro explícito:
term implicit-rule { then discard; }
Consequentemente, se um pacote passar por todos os termos em um filtro sem corresponder a nenhuma condição, o pacote será descartado. Se você configurar um filtro de firewall sem termos, todos os pacotes que passam pelo filtro serão descartados.