Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Entendendo vários filtros de firewall em uma configuração aninhada

O desafio: Simplifique a administração de filtros de firewall em larga escala

Normalmente, você aplica um único filtro de firewall em uma interface na direção de entrada ou saída ou ambos. Essa abordagem pode não ser prática, no entanto, quando você tem um roteador (ou switch) configurado com muitas, até mesmo centenas de interfaces. Em um ambiente dessa escala, você quer a flexibilidade de ser capaz de modificar termos de filtragem comuns a várias interfaces sem precisar reconfigurar o filtro de cada interface afetada.

Em geral, a solução é aplicar uma estrutura efetivamente "acorrentada" de vários filtros de firewall stateless em uma única interface. Você divide seus termos de filtragem em vários filtros de firewall configurados para que você possa aplicar um filtro exclusivo em cada interface de roteador (ou switch), mas também aplicar filtros comuns em várias interfaces de roteador (ou switch), conforme necessário. A estrutura de política do Junos OS oferece duas opções para gerenciar a aplicação de vários filtros de firewall separados em interfaces individuais de roteador (ou switch). Uma opção é aplicar vários filtros como uma única lista de entrada ou lista de saída. A outra opção é fazer referência a um filtro de firewall stateless a partir do termo de outro filtro de firewall stateless.

Uma solução: Configure referências aninhadas aos filtros de firewall

A maneira mais estruturada de evitar a configuração de termos de filtragem duplicados comuns a vários filtros de firewall é configurar vários filtros de firewall para que cada filtro inclua os termos de filtragem compartilhados fazendo referência a um filtro separado que contém os termos comuns de filtragem. O Junos OS usa os termos do filtro — na ordem em que eles aparecem na definição do filtro — para avaliar pacotes que transitam pela interface. Se você precisar modificar os termos de filtragem compartilhados em várias interfaces, você só precisa modificar um filtro de firewall.

Nota:

Semelhante à abordagem alternativa (aplicando uma lista de filtros de firewall), a configuração de um filtro de firewall aninhado combina vários filtros de firewall em uma nova definição de filtro de firewall.

Configuração de filtros de firewall aninhados

Configurar um filtro de firewall aninhado para cada interface de roteador (ou switch) envolve separar as regras compartilhadas de filtragem de pacotes das regras de filtragem de pacotes específicas da interface da seguinte forma:

  • Para cada conjunto de regras de filtragem de pacotes comuns em várias interfaces, configure um filtro de firewall separado que contenha os termos de filtragem compartilhados.

  • Para cada interface de roteador (ou switch), configure um filtro de firewall separado que contém:

    • Todos os termos de filtragem exclusivos dessa interface.

    • Um termo de filtragem adicional que inclui uma referência ao filtro de firewall que contém os termos comuns de filtragem.filter

Aplicação de filtros de firewall aninhados para um roteador ou interface de switch

A aplicação de filtros de firewall aninhados não é diferente da aplicação de um filtro de firewall não protegido. Para cada interface, você pode incluir uma ou declaração (ou ambas) dentro da estrofe para especificar o filtro de firewall aninhado apropriado.inputoutputfilter

A aplicação de filtros de firewall aninhados em uma interface, os termos de filtragem compartilhados e os filtros de firewall específicos da interface são aplicados por meio de um único filtro de firewall aninhado que inclui outros filtros por meio da declaração em um termo de filtragem separado.filter

Nota:

Confirmar verificação e confirmação não falha em filtros aninhados sem suporte. Filtros aninhados sem suporte são as combinações de filtro que não são mencionadas no comando vty show jexpr dfw filter-types.

Tópicos relacionados