Entendendo vários filtros de firewall aplicados como uma lista
Este tópico abrange as seguintes informações:
O desafio: Simplifique a administração de filtros de firewall em larga escala
Normalmente, você aplica um único filtro de firewall em uma interface na direção de entrada ou saída ou ambos. No entanto, essa abordagem pode não ser prática quando você tem um dispositivo configurado com muitas interfaces. Em ambientes grandes, você quer a flexibilidade de ser capaz de modificar termos de filtragem comuns a várias interfaces sem precisar reconfigurar o filtro de cada interface afetada.
Em geral, a solução é aplicar uma estrutura efetivamente "encadeada" de vários filtros de firewall em uma única interface. Você divide seus termos de filtragem em vários filtros de firewall que cada um executa uma tarefa de filtragem. Em seguida, você pode escolher quais tarefas de filtragem deseja realizar para uma determinada interface e aplicar as tarefas de filtragem a essa interface. Dessa forma, você só gerencia a configuração para uma tarefa de filtragem em um único filtro de firewall. Se você precisar modificar os termos de filtragem compartilhados em várias interfaces, você só precisa modificar um filtro de firewall que contenha esses termos.
A estrutura de política do Junos OS oferece duas opções para gerenciar a aplicação de vários filtros de firewall separados para interfaces de roteador individuais. Uma opção é aplicar vários filtros como uma única lista de entrada ou lista de saída. A outra opção é fazer referência a um filtro de firewall a partir do termo de outro filtro de firewall. Essa opção não é suportada no roteador PTX10003.
Uma solução: Aplicar listas de filtros de firewall
A maneira mais simples de evitar a configuração de termos de filtragem duplicados comuns a vários filtros de firewall é configurar vários filtros de firewall e, em seguida, aplicar uma lista personalizada de filtros em cada interface. O Junos OS usa os filtros — na ordem em que eles aparecem na lista — para avaliar pacotes que transitam pela interface.
Configuração de vários filtros para listas de filtros
Configurar filtros de firewall a serem aplicados em listas exclusivas para cada interface de roteador envolve separar as regras compartilhadas de filtragem de pacotes das regras de filtragem de pacotes específicas da interface da seguinte forma:
Unique filters— Para cada conjunto de regras de filtragem de pacotes exclusivas de uma interface específica, configure um filtro de firewall separado que contém apenas os termos de filtragem para essa interface.
Shared filters— Para cada conjunto de regras de filtragem de pacotes comuns em duas ou mais interfaces, considere configurar um filtro de firewall separado que contenha os termos de filtragem compartilhados.
Dica:Ao planejar que um grande número de filtros de firewall seja aplicado usando listas de filtros, os administradores costumam organizar os filtros compartilhados por critérios de filtragem, pelos serviços aos quais os clientes se inscrevem ou pelas finalidades das interfaces.
Aplicação de listas de filtros para uma interface de roteador
Aplicar uma lista de filtros de firewall em uma interface é uma questão de selecionar os filtros que atendem aos requisitos de filtragem de pacotes dessa interface. Para cada interface, você pode incluir uma ou output-list
declaração input-list
(ou ambas) dentro da filter
estrofe para especificar os filtros relevantes na ordem em que eles devem ser usados:
Inclua quaisquer filtros que contenham termos de filtragem comuns relevantes para a interface.
Inclua o filtro que contém apenas os termos de filtragem exclusivos da interface.
Nomes específicos de interface para listas de filtros
Como uma lista de filtros está configurada em uma interface, o filtro concatenado resultante é específico da interface.
Quando uma lista de filtros é configurada em uma interface, o filtro concatenado resultante é específico da interface, independentemente de os filtros de firewall na lista de filtros estarem configurados como específicos da interface ou não. Além disso, a instanciação de filtros de firewall com especificações de interface não só cria instâncias separadas de quaisquer contadores de filtro de firewall, mas também instâncias separadas de qualquer ação do policiador. Todos os policiais aplicados por meio de uma ação especificada na configuração do filtro de firewall são aplicados separadamente a cada interface no grupo de interface.
O nome gerado pelo sistema de um filtro específico da interface consiste no nome completo da interface seguido de "-i
" para uma lista de filtros de entrada ou "-o
" para uma lista de filtros de saída.
Input filter list name— Por exemplo, se você usar a
input-list
declaração para aplicar uma cadeia de filtros à interface lógicage-1/3/0.0
, o Junos OS usa o seguinte nome para o filtro:ge-1/3/0.0-inet-i
Output filter list name— Por exemplo, se você usar a
output-list
declaração para aplicar uma cadeia de filtros à interfacefe-0/1/2.0
lógica, o Junos OS usa o seguinte nome para o filtro:fe-0/1/2.0-inet-o
Para o Junos OS Evolved, os nomes dos filtros são semelhantes ao Junos OS. Por exemplo, se os filtros estiverem vinculados à família inet, os filtros serão nomeados ge-1/3/0/0-inet-i e fe-0/1/2.0-inet-o.
Você pode usar o nome específico da interface de uma lista de filtros quando digitar um comando de modo operacional Junos OS que especifica um nome de filtro de firewall.
Como listas de filtros avaliam pacotes quando o termo combinado inclui terminação ou ações de próximo prazo
O dispositivo avalia um pacote contra os filtros em uma lista sequencialmente, começando com o primeiro filtro da lista até que ocorra uma ação de terminação ou o pacote seja implicitamente descartado.
Tabela 1 descreve como uma lista de filtros de firewall avalia um pacote com base em se o termo combinado especifica uma ação terminante e a ação next term
. A next term
ação não é nem uma ação terminante nem uma ação não sufocante, mas uma ação de controle de fluxo .
Ações de filtro de firewall incluídas no termo combinado |
Descrição do termo |
Comportamento da filtragem de pacotes |
|
---|---|---|---|
Terminação |
próximo prazo |
||
Sim |
— |
O termo combinado inclui uma ação terminante (como |
O dispositivo executa a ação de terminação. Não são usados termos subseqüentes no filtro e nenhum filtro subsequente na lista para avaliar o pacote. |
— |
Sim |
O termo combinado inclui a ação |
O dispositivo executa qualquer ação não sufocante e, em seguida, o dispositivo avalia o pacote em relação ao próximo termo no filtro ou no próximo filtro da lista. Nota:
No Junos OS Evolved, |
— |
— |
O termo combinado não inclui nem a ação |
O dispositivo executa qualquer ação sem término e o dispositivo aceita implicitamente o pacote. Como a ação |
Para obter informações sobre o término de ações, veja Ações de terminação de filtros de firewall.
Você não pode configurar a ação next term
com uma ação terminante no mesmo termo de filtro de firewall.
Como listas de filtros avaliam pacotes quando a lista inclui filtros de firewall IP e independentes de protocolo
Em uma única interface associada a um filtro de firewall independente de protocolo efamily any
um filtro de firewall específico de protocolo (family inet
ou family inet6
) simultaneamente, o filtro de firewall independente de protocolo executa primeiro.
A ação terminante do primeiro filtro determina se o segundo filtro também avalia o pacote:
-
Se o primeiro filtro terminar executando a ação
accept
, o segundo filtro não avaliará o pacote. Se o primeiro filtro terminar sem qualquer termos que correspondam ao pacote (uma ação implícita
discard
), o segundo filtro também avaliará o pacote.Se o primeiro filtro terminar executando uma ação explícita
discard
, o segundo filtro não avaliará o pacote.
O roteador PTX10003 não oferece suporte a uma combinação de filtros independentes de protocolo e outros em listas de filtros.