Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender vários filtros de firewall aplicados como uma lista

Este tópico abrange as seguintes informações:

O desafio: Simplifique a administração de filtro de firewall de grande escala

Normalmente, você aplica um único filtro de firewall a uma interface na direção de entrada ou saída ou ambas. Entretanto, essa abordagem pode não ser prática quando você tem um dispositivo configurado com muitas interfaces. Em ambientes grandes, você deseja a flexibilidade de poder modificar termos de filtragem comuns a várias interfaces sem ter que reconfigurar o filtro de todas as interfaces afetadas.

Em geral, a solução é aplicar uma estrutura efetivamente "encadeada" de vários filtros de firewall a uma única interface. Você divide seus termos de filtragem em vários filtros de firewall que realizam uma tarefa de filtragem. Em seguida, você pode escolher quais tarefas de filtragem deseja realizar para uma determinada interface e aplicar as tarefas de filtragem nessa interface. Dessa forma, você só gerencia a configuração para uma tarefa de filtragem em um único filtro de firewall.

A estrutura de política do Junos OS fornece duas opções para gerenciar a aplicação de vários filtros de firewall separados para interfaces de roteador individuais. Uma opção é aplicar vários filtros como uma única lista de entradas ou lista de saída. A outra opção é referenciar um filtro de firewall a partir do termo de outro filtro de firewall. Essa opção não é suportada no PTX10003 roteador.

Uma solução: Aplicar listas de filtros de firewall

A maneira mais clara de evitar configurar termos de filtragem duplicada comuns a vários filtros de firewall é configurar vários filtros de firewall e aplicar uma lista personalizada de filtros a cada interface. O Junos OS usa os filtros, na ordem em que aparecem na lista, para avaliar pacotes que transitam pela interface. Se você precisar modificar os termos de filtragem compartilhados em várias interfaces, você só precisa modificar um filtro de firewall que contenha esses termos.

Configuração de vários filtros para listas de filtros

Configurar filtros de firewall a serem aplicados em listas exclusivas para cada interface do roteador envolve a separação das regras de filtragem de pacotes compartilhadas das regras de filtragem de pacotes específicas da interface:

  • Unique filters— Para cada conjunto de regras de filtragem de pacotes exclusivas de uma interface específica, configure um filtro de firewall separado que contenha apenas os termos de filtragem dessa interface.

  • Shared filters— Para cada conjunto de regras de filtragem de pacotes comuns em duas ou mais interfaces, considere a configuração de um filtro de firewall separado que contenha os termos da filtragem compartilhada.

    Dica:

    Ao planejar a aplicação de um grande número de filtros de firewall usando listas de filtro, os administradores geralmente organizam os filtros compartilhados por critérios de filtragem, pelos serviços aos quais os clientes se inscrevem ou pelas finalidades das interfaces.

Aplicação de listas de filtro para uma interface do roteador

Aplicar uma lista de filtros de firewall a uma interface é uma questão de selecionar os filtros que atendem aos requisitos de filtragem de pacotes dessa interface. Para cada interface, você pode incluir uma ou uma instrução input-list (ou ambas) na estrofe para especificar os filtros relevantes na ordem em que devem output-listfilter ser usados:

  • Inclua quaisquer filtros que contenham termos de filtragem comuns relevantes para a interface.

  • Inclua o filtro que contenha apenas os termos de filtragem exclusivos da interface.

Nomes específicos da interface para listas de filtro

Como uma lista de filtros está configurada em uma interface, o filtro concatenado resultante é específico da interface.

Nota:

Quando uma lista de filtros está configurada em uma interface, o filtro concatenado resultante é específico da interface, independentemente de os filtros de firewall da lista de filtros estão configurados como específicos da interface ou não. Além disso, a instanciação de filtros de firewall especfic de interface não só cria instâncias isoladas de quaisquer contadores de filtro de firewall mas também instâncias separadas de quaisquer ações de polícia. Todos os agentes de segurança aplicados por meio de uma ação especificada na configuração do filtro de firewall são aplicados separadamente a cada interface do grupo de interface.

O nome gerado pelo sistema de um filtro específico da interface consiste no nome completo da interface seguido de ' para uma lista de filtros de entrada ou ' para uma lista de -i-o filtros de saída.

  • Input filter list name— Por exemplo, se você usar a instrução para aplicar uma cadeia de filtros à interface lógica, o Junos OS usa o input-list seguinte nome para o filtro: ge-1/3/0.0

  • Output filter list name— Por exemplo, se você usar a instrução para aplicar uma cadeia de filtros à interface lógica, o Junos OS usa o output-list seguinte nome para o fe-0/1/2.0 filtro:

Nota:

Para o Junos OS Evolved, os nomes do filtro são diferentes. Por exemplo, se os filtros estão vinculados à família inet, os filtros são nomeados ge-1/3/0/0-inet-i e fe-0/1/2.0-inet-o .

Você pode usar o nome específico da interface de uma lista de filtros quando entrar em um comando no modo operacional Junos OS que especifica um nome de filtro de firewall.

Como as listas de filtro avaliam pacotes quando o termo combinado inclui ações de terminação ou de próximo termo

O dispositivo avalia um pacote contra os filtros em uma lista de forma seqüencial, começando pelo primeiro filtro da lista até que ocorra uma ação de terminação ou o pacote seja implicitamente descartado.

Tabela 1 descreve como uma lista de filtros de firewall avalia um pacote com base na especificação do termo de terminação e da next term ação. A next term ação não é uma ação terminante nem uma ação não-dominante, mas sim uma ação de controle de fluxo.

Tabela 1: Comportamento da lista de filtros de firewall

Ações de filtro de firewall incluídas no termo matched

Descrição do termo

Comportamento de filtragem de pacotes

Terminação

no próximo semestre

Sim

O termo combinando inclui uma ação terminativa discard (como) mas não a next term ação

O dispositivo executa a ação de terminação. Nenhum termo posterior no filtro e nenhum filtro posterior na lista é usado para avaliar o pacote.

Sim

O termo "matched" inclui next term a ação, mas não inclui nenhuma ação terminativa.

O dispositivo executa quaisquer ações não-dominantes e, em seguida, o dispositivo avalia o pacote em relação ao próximo termo no filtro ou no próximo filtro da lista.

Nota:

No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro next term onde é especificado como uma ação, mas sem quaisquer condições de combinação configuradas não é suportado.

O termo "matched" não inclui nem a next term ação nem as ações terminantes.

O dispositivo executa quaisquer ações não-dominantes, e o dispositivo aceita implicitamente o pacote. Como a ação é uma ação terminativa, nenhum termos posteriores no filtro e nenhum filtro posterior na lista é accept usado para avaliar o pacote.

Para obter informações sobre como encerrar as ações, consulte Ações de terminação do filtro de firewall .

Nota:

Você não pode configurar next term a ação com uma ação terminativa no mesmo termo do filtro de firewall.

Como as listas de filtragem avaliam pacotes quando a lista inclui filtros de firewall IP e independentes de protocolo

Em uma interface única associada a um filtro de firewall independente de protocolo () e a um filtro de family any firewall específico (ou) de protocolo simultaneamente, o filtro de firewall independente de protocolo é executado family inetfamily inet6 primeiro.

A ação de terminação do primeiro filtro determina se o segundo filtro também avalia o pacote:

  • Se o primeiro filtro terminar com a execução da accept ação, o segundo filtro também avaliará o pacote.

  • Se o primeiro filtro terminar sem nenhum termos correspondentes ao pacote (uma ação implícita), discard o segundo filtro também avaliará o pacote.

  • Se o primeiro filtro terminar com a execução de uma ação explícita, discard o segundo filtro não avaliará o pacote.

O PTX10003 roteador não suporta uma combinação de filtros independentes de protocolo e outros em listas de filtros.