Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos filtros de firewall para switches da Série EX

Os filtros de firewall fornecem regras que definem se podem permitir, negar ou encaminhá-los a uma interface em uma Juniper Networks série EX Switch de ethernet de um endereço de origem a um endereço de destino. Você configura filtros de firewall para determinar se permite, negar ou encaminha tráfego antes de entrar ou sair de uma porta, VLAN ou interface de Camada 3 (roteada) à qual o filtro de firewall é aplicado. Para aplicar um filtro de firewall, você deve configurar o filtro primeiro e aplicá-lo a uma porta, VLAN ou interface de Camada 3.

Você pode aplicar filtros de firewall a interfaces de rede, interfaces Ethernet agregadas (também conhecidas como grupos de agregação de enlace (LAGs),interfaces de loopback, interfaces de gerenciamento, interfaces Ethernet de gerenciamento virtual (VMEs) e interfaces VLAN roteadas (RVIs). Para obter informações sobre switches da Série EX que suportem um filtro de firewall nessas interfaces, consulte Visão geral dos recursos do software do Switch da Série EX.

Um filtro de firewall de entrada é um filtro que é aplicado a pacotes que estão entrando em uma rede. Um filtro de firewall de saída é um filtro que é aplicado a pacotes que estão saindo de uma rede. Você pode configurar filtros de firewall para sujeitar pacotes a filtragem, marcação classe de serviço (CoS) (agrupando tipos semelhantes de tráfego e tratando cada tipo de tráfego como uma classe com seu próprio nível de prioridade de serviço) e o policiamento de tráfego (controlando a taxa máxima de tráfego enviado ou recebido em uma interface).

Tipos de filtro de firewall

Os seguintes tipos de filtro de firewall são suportados para switches da Série EX:

  • Filtro de firewall de porta (Camada 2) — Filtros de firewall de porta se aplicam às portas de switch Camada 2. Você pode aplicar filtros de firewall de porta em direções de entrada e saída em uma porta física.

  • Filtro de firewall VLAN — os filtros de firewall VLAN fornecem controle de acesso para pacotes que entram em uma VLAN, são pontes dentro de uma VLAN ou deixam uma VLAN. Você pode aplicar filtros de firewall VLAN em direções de entrada e saída em uma VLAN. Os filtros de firewall VLAN são aplicados a todos os pacotes que são encaminhados ou encaminhados do VLAN.

  • Filtro de firewall do Roteador (Camada 3) — Você pode aplicar um filtro de firewall do roteador em direções de entrada e saída em interfaces de VLAN roteados (roteados) na Camada 3. Você pode aplicar um filtro de firewall do roteador na direção de entrada na interface de loopback lo0 () também. Os filtros de firewall configurados em interfaces de loopback são aplicados apenas a pacotes que são enviados à MECANISMO DE ROTEAMENTO CPU para posterior processamento.

Você pode aplicar filtros de firewall de porta, VLAN ou roteador ao tráfego IPv4 e IPv6 nesses switches:

  • EX2200 switch

  • EX3300 switch

  • switch EX3200

  • EX4200 switch

  • EX4300 switch

  • EX4500 switch

  • EX4550 switch

  • EX6200 switch

  • EX8200 switch

Para obter informações sobre filtros de firewall suportados em diferentes switches, consulte Suporte de plataforma para Firewall Filter Match Condições,Ações e Modificadores de Ação em Switches da Série EX.

Componentes de filtro de firewall

Em um filtro de firewall, você define primeiro o tipo de endereço da família (, ou), e depois define um ou mais termos que especificam os critérios de filtragem (especificados como termos com condições de combinação) e a ação (especificada como ações ou modificadores de ação) a ser realizada caso ocorra uma ethernet-switchinginetinet6 combinação.

O número máximo de termos permitidos por filtro de firewall para switches da Série EX é:

  • 512 para switches EX2200 de segurança

  • 1436 para switches EX3300 de segurança

    Nota:

    Nos switches EX3300, se você adicionar e excluir filtros com um grande número de termos (na ordem de 1.000 ou mais) na mesma operação de commit, nem todos os filtros estão instalados. Você deve adicionar filtros em uma operação de compromisso e excluir filtros em uma operação de commit separada.

  • 7.042 para switches EX3200 e EX4200, conforme alocado pela alocação dinâmica de TCAM (Ternary Content Addressable Memory, memória de endereço de conteúdo ternary) para filtros de firewall.

  • Nos switches EX4300, os seguintes termos máximos são suportados para tráfego de entrada e saída, para filers de firewall configurados em uma porta, interface VLAN e Camada 3:

    • Para tráfego de entrada:

      • 3.500 termos para filtros de firewall configurados em uma porta

      • 3.500 termos para filtros de firewall configurados em uma VLAN

      • 7.000 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 3.500 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    Nota:

    Você pode configurar o número máximo de termos somente quando configurar um tipo de filtro de firewall (porta, VLAN ou filtro de firewall do roteador (Camada 3) no switch, e quando o controle de tempestade não estiver ativado em qualquer interface do switch.

  • 1.200 para switches EX4500 e EX4550 de segurança

  • 1400 para switches EX6200 de segurança

  • 32.768 para switches EX8200 de segurança

Nota:

A alocação dinâmica sob demanda da TCAM de espaço compartilhado nos switches EX8200 é alcançada com atribuição de blocos de espaço gratuitos a filtros de firewall. Os filtros de firewall são categorizados em dois pools diferentes. Os filtros de porta e VLAN são juntos (o limiar de memória deste pool é de 22K), enquanto os filtros de firewall do roteador são poolados separadamente (o limiar desse pool é de 32K). A atribuição acontece com base no tipo de pool de filtro. Blocos de espaço gratuitos só podem ser compartilhados entre os filtros de firewall que pertencem ao mesmo tipo de pool de filtro. Uma mensagem de erro é gerada quando você tenta configurar um filtro de firewall para além do limiar da TCAM.

Cada termo consiste nos seguintes componentes:

  • Condições de combinação — Especifique os valores ou campos que o pacote deve conter. Você pode definir várias condições de combinação, incluindo o campo de endereço de origem IP, campo de endereço de destino IP, Protocolo de controle de transmissão (TCP) ou campo de porta de origem do Datagram do Usuário (UDP), campo de protocolo IP, tipo de pacote DEC (Internet Control Message Protocol, PROTOCOLO DE MENSAGEM do controle da Internet), bandeiras de TCP e interfaces.

  • Ação — Especifica o que fazer se um pacote estiver de acordo com as condições da combinação. As ações possíveis são aceitar ou descartar o pacote ou enviar o pacote para uma interface de roteamento virtual específica. Além disso, pacotes podem ser contabilizados para coletar informações estatísticas. Se nenhuma ação for especificada para um termo, a ação padrão aceitará o pacote.

  • Modificador de ação — Especifica uma ou mais ações para o switch se um pacote corresponder às condições da combinação. Você pode especificar modificadores de ação, como contar, espelhar, limitar a taxa e classificar pacotes.

Processamento de filtro de firewall

A ordem dos termos em uma configuração de filtro de firewall é importante. Os pacotes são testados em cada termo na ordem na qual os termos estão indicados na configuração do filtro de firewall. Para obter informações sobre como os filtros de firewall processam pacotes, consulte Entender como os filtros de firewall são avaliados.