Nesta página
Entendendo as condições de correspondência do filtro de firewall
Antes de definir os termos para filtros de firewall, você deve entender como as condições de correspondência que você especifica em um termo são tratadas e como especificar vários tipos de condições de correspondência para alcançar os resultados de filtragem desejados. Uma condição de correspondência consiste em uma corda (chamada de declaração de correspondência) que define a condição da partida. As condições de correspondência são os valores ou campos que um pacote deve conter.
Condições de correspondência do filtro
Na declaração de um termo de filtro de firewall, você especifica as condições do pacote que desencadeiam a ação em uma das declarações:fromthen com várias opções, ou .thenthen interfacethen vlan Todas as condições na declaração devem corresponder à ação a ser tomada.from A ordem na qual você especifica as condições de correspondência não é importante, porque um pacote deve corresponder a todas as condições em um termo para que uma correspondência ocorra.
Se você especificar nenhuma condição de correspondência em um termo, esse termo corresponde a todos os pacotes.
Uma condição individual em uma declaração não pode conter uma lista de valores.from Por exemplo, você não pode especificar intervalos numéricos ou vários endereços de origem ou destino.
As condições individuais em uma declaração não podem ser negadas.from Uma condição negada é uma incompatibilidade explícita.
Condições de correspondência do filtro numérico
As condições do filtro numérico combinam com campos de pacote identificados por um valor numérico, como números de porta e protocolo. Para condições de correspondência de filtro numérico, você especifica uma palavra-chave que identifica a condição e um único valor que um campo em um pacote deve combinar.
Você pode especificar o valor numérico de uma das seguintes maneiras:
Número único — uma partida ocorre se o valor do campo corresponder ao número. Por exemplo:
source-port 25;
Sinônimo de texto para um único número: uma partida ocorre se o valor do campo corresponder ao número que corresponde ao sinônimo. Por exemplo:
source-port http;
Para especificar mais de um valor em um termo de filtro, você insira cada valor em sua própria declaração de correspondência, que é uma sequência que define uma condição de correspondência. Por exemplo, uma correspondência ocorre no termo seguinte se o valor for de 10 ou 30.vlan
[edit firewall family family-name filter filter-name term term-name from] vlan 10; vlan 30;
As seguintes restrições se aplicam a condições de correspondência de filtro numérico:
Você não pode especificar uma variedade de valores.
Você não pode especificar uma lista de valores separados por vírgula.
Você não pode excluir um valor específico em uma condição de correspondência de filtro numérico. Por exemplo, você não pode especificar uma condição que corresponderia apenas se a condição da correspondência não fosse igual a um determinado valor.
Condições de correspondência do filtro de interface
As condições de correspondência do filtro de interface podem combinar os valores do nome da interface em um pacote. Para condições de correspondência de filtro de interface, você especifica o nome da interface, por exemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/0/1
As interfaces de porta e VLAN não usam números de unidade lógica. No entanto, um filtro de firewall que é aplicado a uma interface de roteador pode especificar o número de unidade lógica na condição de correspondência do filtro de interface, por exemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/1/0.0
Você pode incluir o curinga como parte do nome da interface, por exemplo:*
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/*/1 user@switch# set interface ge-0/1/* user@switch# set interface ge-*
Condições de correspondência do filtro de endereço IP
As condições de correspondência do filtro de endereço podem combinar valores de prefixo em um pacote, como fonte de IP e prefixos de destino. Para condições de correspondência de filtro de endereço, você especifica uma palavra-chave que identifica o campo e um prefixo desse tipo que um pacote deve combinar.
Você especifica o endereço como um único prefixo. Uma correspondência ocorre se o valor do campo corresponder ao prefixo. Por exemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10.2.1.0/28;
Cada prefixo contém uma declaração implícita de 0/0, exceto uma declaração, o que significa que qualquer prefixo que não corresponda ao prefixo especificado é explicitamente considerado não compatível.
Para especificar o prefixo de endereço, use o prefixo/comprimento de prefixo de notação. Se você omitir o comprimento do prefixo, ele fica inadimplente em /32. Por exemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10 [edit firewall family family-name filter filter-name term term-name from] user@switch# show destination-address 10.0.0.0/32;
Para especificar mais de um endereço IP em um termo de filtro, você insira cada endereço em sua própria declaração de correspondência. Por exemplo, uma correspondência ocorre no termo a seguir se o valor do campo corresponder a qualquer um dos seguintes prefixos de endereço de origem:source-address
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-address 10.0.0.0/8 user@switch# set source-address 10.1.0.0/16
Condições de correspondência do filtro de endereço MAC
As condições de correspondência do filtro de endereço MAC podem combinar os valores de endereço MAC de origem e destino em um pacote. Para condições de correspondência de filtro de endereço MAC, você especifica uma palavra-chave que identifica o campo e um valor desse tipo que um pacote deve combinar.
Você pode especificar o endereço MAC como seis bytes hexadimais nos seguintes formatos:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 0011.2233.4455
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 00:11:22:33:44:55
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 001122334455
Para especificar mais de um endereço MAC em um termo de filtro, você insira cada endereço MAC em sua própria declaração de correspondência. Por exemplo, uma correspondência ocorre no termo seguinte se o valor do campo corresponder a qualquer um dos seguintes endereços.source-mac-address
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-mac-address 00:11:22:33:44:55 user@switch# set source-mac-address 00:11:22:33:20:15
Condições de correspondência do filtro de campo bit
As condições do filtro de campo bit correspondem aos campos de pacotes se os bits específicos nesses campos estiverem ou não estiverem definidos. Você pode combinar as opções de IP, bandeiras TCP e campos de fragmentação de IP. Para condições de correspondência de filtro de campo bit, você especifica uma palavra-chave que identifica o campo e os testes para determinar se a opção está presente no campo.
Para especificar o valor de campo bit para combinar, inclua o valor em duas cotações. Por exemplo, uma correspondência ocorre se o bit no campo de bandeiras TCP for definido:RST
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "rst"
Normalmente, você especifica os bits a serem testados usando palavras-chave. As palavras-chave de correspondência de campo bit sempre mapeiam para um único valor de bit. Você também pode especificar campos de bits como números hexadimais ou decimais.
Para combinar com vários valores de campo bit, use os operadores lógicos, descritos em .Tabela 1 Os operadores estão listados em ordem da mais alta precedência à menor precedência. As operações são associativas à esquerda.
Operadores lógicos |
Descrição |
|---|---|
! |
Negação. |
& |
Lógica e. |
| |
Lógico OU. |
Para negar uma partida, preceder o valor com um ponto de exclamação. Por exemplo, uma correspondência só ocorre se o bit RST no campo de bandeiras do TCP não for definido:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "!rst"
No exemplo a seguir de uma operação e lógica, ocorre uma correspondência se o pacote for o pacote inicial em uma sessão de TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn&!ack"
No exemplo a seguir de uma operação or lógica, ocorre uma correspondência se o pacote fizer parte do estabelecimento de sessão de TCP ou derrubar:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn|fin"
Para uma operação lógica de OR, você pode especificar no máximo duas condições de correspondência em um único termo. Se você precisar combinar mais de dois valores de campo de bit em uma operação de OR lógica, configure a mesma condição de partida em termos consecutivos com valores adicionais de campo de bit. No exemplo a seguir, os dois termos configurados correspondem ao bit SYN, ACK, FIN ou RST no campo de bandeiras TCP:
[edit firewall family family-name filter filter-name term term-name1 from] user@switch# set tcp-flags "syn|ack" [edit firewall family family-name filter filter-name term term-name2 from] user@switch# set tcp-flags "fin|rst"
Você pode usar sinônimos de texto para especificar algumas partidas comuns de campo bit. Você especifica essas correspondências como uma única palavra-chave. No exemplo a seguir de um sinônimo de texto, ocorre uma correspondência se o pacote for o pacote inicial em uma sessão de TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags tcp-initial