Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo vários filtros de firewall aplicados como uma lista

Este tópico abrange as seguintes informações:

O desafio: Simplifique a administração de filtros de firewall em larga escala

Normalmente, você aplica um único filtro de firewall em uma interface na direção de entrada ou saída ou ambos. No entanto, essa abordagem pode não ser prática quando você tem um dispositivo configurado com muitas interfaces. Em ambientes grandes, você quer a flexibilidade de ser capaz de modificar termos de filtragem comuns a várias interfaces sem precisar reconfigurar o filtro de cada interface afetada.

Em geral, a solução é aplicar uma estrutura efetivamente "encadeada" de vários filtros de firewall em uma única interface. Você divide seus termos de filtragem em vários filtros de firewall que cada um executa uma tarefa de filtragem. Em seguida, você pode escolher quais tarefas de filtragem deseja realizar para uma determinada interface e aplicar as tarefas de filtragem a essa interface. Dessa forma, você só gerencia a configuração para uma tarefa de filtragem em um único filtro de firewall. Se você precisar modificar os termos de filtragem compartilhados em várias interfaces, você só precisa modificar um filtro de firewall que contenha esses termos.

A estrutura de política do Junos OS oferece duas opções para gerenciar a aplicação de vários filtros de firewall separados para interfaces de roteador individuais. Uma opção é aplicar vários filtros como uma única lista de entrada ou lista de saída. A outra opção é fazer referência a um filtro de firewall a partir do termo de outro filtro de firewall. Essa opção não é suportada no roteador PTX10003.

Uma solução: Aplicar listas de filtros de firewall

A maneira mais simples de evitar a configuração de termos de filtragem duplicados comuns a vários filtros de firewall é configurar vários filtros de firewall e, em seguida, aplicar uma lista personalizada de filtros em cada interface. O Junos OS usa os filtros — na ordem em que eles aparecem na lista — para avaliar pacotes que transitam pela interface.

Configuração de vários filtros para listas de filtros

Configurar filtros de firewall a serem aplicados em listas exclusivas para cada interface de roteador envolve separar as regras compartilhadas de filtragem de pacotes das regras de filtragem de pacotes específicas da interface da seguinte forma:

  • Unique filters— Para cada conjunto de regras de filtragem de pacotes exclusivas de uma interface específica, configure um filtro de firewall separado que contém apenas os termos de filtragem para essa interface.

  • Shared filters— Para cada conjunto de regras de filtragem de pacotes comuns em duas ou mais interfaces, considere configurar um filtro de firewall separado que contenha os termos de filtragem compartilhados.

    Dica:

    Ao planejar que um grande número de filtros de firewall seja aplicado usando listas de filtros, os administradores costumam organizar os filtros compartilhados por critérios de filtragem, pelos serviços aos quais os clientes se inscrevem ou pelas finalidades das interfaces.

Aplicação de listas de filtros para uma interface de roteador

Aplicar uma lista de filtros de firewall em uma interface é uma questão de selecionar os filtros que atendem aos requisitos de filtragem de pacotes dessa interface. Para cada interface, você pode incluir uma ou output-list declaração input-list (ou ambas) dentro da filter estrofe para especificar os filtros relevantes na ordem em que eles devem ser usados:

  • Inclua quaisquer filtros que contenham termos de filtragem comuns relevantes para a interface.

  • Inclua o filtro que contém apenas os termos de filtragem exclusivos da interface.

Nomes específicos de interface para listas de filtros

Como uma lista de filtros está configurada em uma interface, o filtro concatenado resultante é específico da interface.

Nota:

Quando uma lista de filtros é configurada em uma interface, o filtro concatenado resultante é específico da interface, independentemente de os filtros de firewall na lista de filtros estarem configurados como específicos da interface ou não. Além disso, a instanciação de filtros de firewall com especificações de interface não só cria instâncias separadas de quaisquer contadores de filtro de firewall, mas também instâncias separadas de qualquer ação do policiador. Todos os policiais aplicados por meio de uma ação especificada na configuração do filtro de firewall são aplicados separadamente a cada interface no grupo de interface.

O nome gerado pelo sistema de um filtro específico da interface consiste no nome completo da interface seguido de "-i" para uma lista de filtros de entrada ou "-o" para uma lista de filtros de saída.

  • Input filter list name— Por exemplo, se você usar a input-list declaração para aplicar uma cadeia de filtros à interface lógica ge-1/3/0.0, o Junos OS usa o seguinte nome para o filtro:

  • Output filter list name— Por exemplo, se você usar a output-list declaração para aplicar uma cadeia de filtros à interface fe-0/1/2.0lógica, o Junos OS usa o seguinte nome para o filtro:

Nota:

Para o Junos OS Evolved, os nomes dos filtros são semelhantes ao Junos OS. Por exemplo, se os filtros estiverem vinculados à família inet, os filtros serão nomeados ge-1/3/0/0-inet-i e fe-0/1/2.0-inet-o.

Você pode usar o nome específico da interface de uma lista de filtros quando digitar um comando de modo operacional Junos OS que especifica um nome de filtro de firewall.

Como listas de filtros avaliam pacotes quando o termo combinado inclui terminação ou ações de próximo prazo

O dispositivo avalia um pacote contra os filtros em uma lista sequencialmente, começando com o primeiro filtro da lista até que ocorra uma ação de terminação ou o pacote seja implicitamente descartado.

Tabela 1 descreve como uma lista de filtros de firewall avalia um pacote com base em se o termo combinado especifica uma ação terminante e a ação next term . A next term ação não é nem uma ação terminante nem uma ação não sufocante, mas uma ação de controle de fluxo .

Tabela 1: Comportamento da lista de filtros de firewall

Ações de filtro de firewall incluídas no termo combinado

Descrição do termo

Comportamento da filtragem de pacotes

Terminação

próximo prazo

Sim

O termo combinado inclui uma ação terminante (como discard) mas não a ação next term

O dispositivo executa a ação de terminação. Não são usados termos subseqüentes no filtro e nenhum filtro subsequente na lista para avaliar o pacote.

Sim

O termo combinado inclui a ação next term , mas não inclui nenhuma ação terminante.

O dispositivo executa qualquer ação não sufocante e, em seguida, o dispositivo avalia o pacote em relação ao próximo termo no filtro ou no próximo filtro da lista.

Nota:

No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

O termo combinado não inclui nem a ação next term nem nenhuma ação terminante.

O dispositivo executa qualquer ação sem término e o dispositivo aceita implicitamente o pacote. Como a ação accept é uma ação terminante, não são usados termos subsequentes no filtro e nenhum filtro subsequente na lista é usado para avaliar o pacote.

Para obter informações sobre o término de ações, veja Ações de terminação de filtros de firewall.

Nota:

Você não pode configurar a ação next term com uma ação terminante no mesmo termo de filtro de firewall.

Como listas de filtros avaliam pacotes quando a lista inclui filtros de firewall IP e independentes de protocolo

Em uma única interface associada a um filtro de firewall independente de protocolo efamily any um filtro de firewall específico de protocolo (family inet ou family inet6) simultaneamente, o filtro de firewall independente de protocolo executa primeiro.

A ação terminante do primeiro filtro determina se o segundo filtro também avalia o pacote:

  • Se o primeiro filtro terminar executando a ação accept , o segundo filtro não avaliará o pacote.

  • Se o primeiro filtro terminar sem qualquer termos que correspondam ao pacote (uma ação implícita discard ), o segundo filtro também avaliará o pacote.

  • Se o primeiro filtro terminar executando uma ação explícita discard , o segundo filtro não avaliará o pacote.

O roteador PTX10003 não oferece suporte a uma combinação de filtros independentes de protocolo e outros em listas de filtros.