Nesta página
Diretrizes para configurar e aplicar filtros de firewall em sistemas lógicos
Hierarquia de declarações para configurar filtros de firewall em sistemas lógicos
Para configurar um filtro de firewall em um sistema lógico, inclua a filter
, service-filter
ou simple-filter
declaração no nível de [edit logical-systems logical-system-name firewall family family-name]
hierarquia.
[edit] logical systems { logical-system-name { firewall { family family-name { filter filter-name { interface-specific; physical-interface-filter; term term-name { filter filter-name; from { match-conditions; } then { actions; } } } service-filter filter-name { # For ’family inet’ or ’family inet6’ only. term term-name { from { match-conditions; } then { actions; } } } simple-filter filter-name { # For ’family inet’ only. term term-name { from { match-conditions; } then { actions; } } } } } } }
Tipos de filtro em sistemas lógicos
Não há restrições especiais sobre os tipos de filtro de firewall sem estado que você pode configurar em sistemas lógicos.
Em um sistema lógico, você pode usar os mesmos tipos de filtros de firewall sem estado que estão disponíveis em um roteador ou switch físico:
Filtros de firewall sem estado padrão
Filtros de serviço
Filtros simples
Famílias de protocolo de filtro de firewall em sistemas lógicos
Não há restrições especiais às famílias de protocolo apoiadas com filtros de firewall stateless em sistemas lógicos.
Em um sistema lógico, você pode filtrar as mesmas famílias de protocolo que puder em um roteador ou switch físico.
Filtros de firewall sem estado padrão — Em sistemas lógicos, você pode filtrar os seguintes tipos de tráfego: independente de protocolo, IPv4, IPv6, MPLS, IPv4 ou IPv6 com tag MPLS, VPLS, cross-connection de circuito de Camada 2 e ponte de Camada 2.
Filtros de serviço — Em sistemas lógicos, você pode filtrar o tráfego IPv4 e IPv6.
Filtros simples — em sistemas lógicos, você só pode filtrar o tráfego IPv4.
Condições de correspondência do filtro de firewall em sistemas lógicos
Não há restrições especiais sobre as condições de correspondência suportadas com filtros de firewall stateless em sistemas lógicos.
Ações de filtro de firewall em sistemas lógicos
Não há restrições especiais sobre as ações suportadas com filtros de firewall stateless em sistemas lógicos.
Hierarquia de declarações para a aplicação de filtros de firewall em sistemas lógicos
Para aplicar um filtro de firewall em um sistema lógico, inclua a filter filter-name
, service-filter service-filter-name
ou simple-filter simple-filter-name
declaração para uma interface lógica no sistema lógico.
A configuração a seguir mostra os níveis de hierarquia em que você pode aplicar as declarações:
[edit] logical-systems logical-system-name { interfaces { interface-name { unit logical-unit-number { family family-name { filter { group group-name; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ] } rpf-check { # For ’family inet’ or ’family inet6’ only. fail-filter filter-name; mode loose; } service { # For ’family inet’ or ’family inet6’ only. input { service-set service-set-name <service-filter service-filter-name>; post-service-filter service-filter-name; } output { service-set service-set-name <service-filter service-filter-name>; } } simple-filter { # For ’family inet’ only. input simple-filter-name; } } } } } }