Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos filtros de firewall para switches da Série EX

Os filtros de firewall fornecem regras que definem se permitem, negam ou encaminham pacotes que estão transitando por uma interface em um switch de ethernet da Série EX da Juniper Networks de um endereço de origem para um endereço de destino. Você configura filtros de firewall para determinar se permite, nega ou encaminha tráfego antes que ele entre ou saia de uma interface de porta, VLAN ou Camada 3 (roteada) à qual o filtro de firewall é aplicado. Para aplicar um filtro de firewall, você deve primeiro configurar o filtro e depois aplicá-lo em uma porta, VLAN ou interface de Camada 3.

Você pode aplicar filtros de firewall em interfaces de rede, interfaces Ethernet agregadas (também conhecidas como grupos de agregação de links (LAGs), interfaces de loopback, interfaces de gerenciamento, interfaces Ethernet de gerenciamento virtual (VMEs) e interfaces VLAN roteadas (RVIs). Para obter informações sobre switches da Série EX que oferecem suporte a um filtro de firewall nessas interfaces, veja a visão geral dos recursos de software da Série EX.

Um filtro de firewall de entrada é um filtro aplicado a pacotes que estão entrando em uma rede. Um filtro de firewall de saída é um filtro aplicado a pacotes que estão saindo de uma rede. Você pode configurar filtros de firewall para submeter pacotes à filtragem, marcação de classe de serviço (CoS) (agrupando tipos semelhantes de tráfego e tratando cada tipo de tráfego como uma classe com seu próprio nível de prioridade de serviço) e policiamento de tráfego (controlando a taxa máxima de tráfego enviado ou recebido em uma interface).

Nota:

Os policiais na porta de rede, camada 2 e camada 3 ou interfaces IRB não policiam o tráfego vinculado ao host. Mas se você quiser evitar ataques DDoS, então você pode criar um filtro de firewall no lo0 que protege o mecanismo de roteamento.

Tipos de filtro de firewall

Os seguintes tipos de filtro de firewall são suportados para switches da Série EX:

  • Filtro de firewall de porta (Camada 2) — Os filtros de firewall de porta aplicam-se às portas de switch de Camada 2. Você pode aplicar filtros de firewall de porta em direções de entrada e saída em uma porta física.

  • Filtro de firewall VLAN — os filtros de firewall VLAN fornecem controle de acesso para pacotes que entram em uma VLAN, são conectados em uma VLAN ou deixam uma VLAN. Você pode aplicar filtros de firewall VLAN em direções de entrada e saída em uma VLAN. Os filtros de firewall VLAN são aplicados a todos os pacotes que são encaminhados ou encaminhados a partir da VLAN.

  • Filtro de firewall de roteador (Camada 3) — Você pode aplicar um filtro de firewall de roteador em direções de entrada e saída em interfaces de Camada 3 (roteadas) e interfaces VLAN roteadas (RVIs). Você pode aplicar um filtro de firewall de roteador na direção de entrada na interface de loopback (lo0) também. Os filtros de firewall configurados em interfaces de loopback são aplicados apenas a pacotes que são enviados à CPU do mecanismo de roteamento para processamento adicional.

Você pode aplicar filtros de firewall de porta, VLAN ou roteador a tráfego IPv4 e IPv6 nesses switches:

  • Switch EX2200

  • Switch EX3300

  • Switch EX3200

  • Switch EX4200

  • Switch EX4300

  • Switch EX4400

  • Switch EX4500

  • Switch EX4550

  • Switch EX6200

  • Switch EX8200

Para obter informações sobre filtros de firewall suportados em diferentes switches, consulte o suporte da plataforma para condições, ações e modificadores de ação do filtro de firewall em switches da Série EX.

Componentes do filtro de firewall

Em um filtro de firewall, você primeiro define o tipo de endereço da família (ethernet-switchinginetou inet6), e então você define um ou mais termos que especificam os critérios de filtragem (especificados como termos com condições de correspondência) e a ação (especificada como ações ou modificadores de ação) a ser tomada se uma correspondência ocorrer.

O número máximo de termos permitidos por filtro de firewall para switches da Série EX é:

  • 512 para switches EX2200

  • 1436 para switches EX3300

    Nota:

    Nos switches EX3300, se você adicionar e excluir filtros com um grande número de termos (na ordem de 1000 ou mais) na mesma operação de confirmação, nem todos os filtros estão instalados. Você deve adicionar filtros em uma operação de confirmação e excluir filtros em uma operação de confirmação separada.

  • 7.042 para switches EX3200 e EX4200 — conforme alocado pela alocação dinâmica de memória endereçada de conteúdo ternário (TCAM) para filtros de firewall.

  • Nos switches EX4300, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para arquivos de firewall configurados em uma interface de porta, VLAN e Camada 3:

    • Para tráfego de entrada:

      • 3500 termos para filtros de firewall configurados em uma porta

      • 3500 termos para filtros de firewall configurados em uma VLAN

      • Termos 7000 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • Termos 3500 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    • Para dispositivos EX4300-MP, o suporte de entrada é o mesmo que o acima, com a seguinte exceção:

      • Termos de 3072 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    Nota:

    Você só pode configurar o número máximo de termos quando configura um tipo de filtro de firewall (porta, VLAN ou filtro de firewall de roteador (Camada 3) no switch, e quando o controle de tempestade não estiver habilitado em nenhuma interface no switch.

  • Para switches EX4400, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para filtros de firewall configurados em uma porta, VLAN e interfaces de camada 3.

    • Para tráfego de entrada:

      • Termos de 2048 para filtros de firewall configurados em uma porta.

      • Termos de 2048 para filtros de firewall configurados em uma VLAN.

      • Termos de 2048 para filtros de firewall configurados em interfaces de camada 3.

    • Para tráfego de saída:

      • Termos de 1024 para filtros de firewall configurados em uma porta.

      • 512 termos para filtros de firewall configurados em uma VLAN.

      • Termos de 1024 para filtros de firewall configurados em interfaces de camada 3.

  • 1200 para switches EX4500 e EX4550

  • 1400 para switches EX6200

  • 32.768 para switches EX8200

Nota:

A alocação dinâmica sob demanda da TCAM de espaço compartilhado nos switches EX8200 é alcançada atribuindo blocos de espaço gratuitos aos filtros de firewall. Os filtros de firewall são categorizados em dois pools diferentes. Os filtros de porta e VLAN são agrupados (o limiar de memória para este pool é de 22K), enquanto os filtros de firewall do roteador são agrupados separadamente (o limiar para este pool é de 32K). A atribuição acontece com base no tipo de pool de filtros. Blocos de espaço gratuitos só podem ser compartilhados entre os filtros de firewall pertencentes ao mesmo tipo de pool de filtros. Uma mensagem de erro é gerada quando você tenta configurar um filtro de firewall além do limiar de TCAM.

Cada termo consiste nos seguintes componentes:

  • Condições de correspondência — Especifique os valores ou campos que o pacote deve conter. Você pode definir várias condições de correspondência, incluindo o campo de endereços de origem IP, campo de endereço de destino IP, protocolo de controle de transmissão (TCP) ou campo de porta de origem do protocolo de datagrama do usuário (UDP), campo de protocolo IP, tipo de pacote de Protocolo de Mensagem de Controle de Internet (ICMP), bandeiras de TCP e interfaces.

  • Ação — especifica o que fazer se um pacote corresponder às condições da correspondência. Ações possíveis são aceitar ou descartar o pacote ou enviar o pacote para uma interface de roteamento virtual específica. Além disso, os pacotes podem ser contados para coletar informações estatísticas. Se nenhuma ação for especificada para um termo, a ação padrão é aceitar o pacote.

  • Modificador de ação — especifica uma ou mais ações para o switch se um pacote corresponder às condições da correspondência. Você pode especificar modificadores de ação, como contagem, espelho, limite de taxa e classificar pacotes.

Processamento de filtros de firewall

A ordem dos termos dentro de uma configuração de filtro de firewall é importante. Os pacotes são testados em cada termo na ordem em que os termos estão listados na configuração do filtro de firewall. Para obter informações sobre como os filtros de firewall processam pacotes, veja Entenda como os filtros de firewall são avaliados.