Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender vários filtros de firewall em uma configuração aninhada

O desafio: Simplifique a administração de filtro de firewall de grande escala

Normalmente, você aplica um único filtro de firewall a uma interface na direção de entrada ou saída ou ambas. Essa abordagem pode não ser prática, no entanto, quando você tem um roteador (ou switch) configurado com muitas, mesmo centenas de interfaces. Em um ambiente dessa escala, você deseja a flexibilidade de poder modificar termos de filtragem comuns a várias interfaces sem ter que reconfigurar o filtro de todas as interfaces afetadas.

Em geral, a solução é aplicar uma estrutura efetivamente "encadeada" de vários filtros de firewall sem estado em uma única interface. Você divide seus termos de filtragem em vários filtros de firewall configurados para que você possa aplicar um filtro exclusivo a cada interface do roteador (ou switch), mas também aplicar filtros comuns a várias interfaces de roteador (ou switch), conforme necessário. A estrutura de política do Junos OS fornece duas opções para gerenciar a aplicação de vários filtros de firewall separados para interfaces individuais de roteador (ou switch). Uma opção é aplicar vários filtros como uma única lista de entradas ou lista de saída. A outra opção é referenciar um filtro de firewall sem estado a partir do termo de outro filtro de firewall sem estado.

Uma solução: Configurar referências aninhadas a filtros de firewall

A maneira mais estruturada de evitar configurar termos de filtragem duplicada comuns a vários filtros de firewall é configurar vários filtros de firewall para que cada filtro inclua os termos de filtragem compartilhados referenciando um filtro separado que contém os termos de filtragem comuns. O Junos OS usa os termos do filtro, na ordem em que aparecem na definição do filtro, para avaliar pacotes que transitam pela interface. Se você precisar modificar os termos de filtragem compartilhados em várias interfaces, você só precisa modificar um filtro de firewall.

Nota:

Semelhante à abordagem alternativa (aplicar uma lista de filtros de firewall), a configuração de um filtro de firewall aninhado combina vários filtros de firewall em uma nova definição de filtro de firewall.

Configuração de filtros de firewall aninhados

Configurar um filtro de firewall aninhado para cada interface do roteador (ou switch) envolve a separação de regras de filtragem de pacotes compartilhadas das regras de filtragem de pacotes específicas da interface da seguinte forma:

  • Para cada conjunto de regras de filtragem de pacotes comuns em várias interfaces, configure um filtro de firewall separado que contenha os termos da filtragem compartilhada.

  • Para cada interface do roteador (ou switch), configure um filtro de firewall separado que contém:

    • Todos os termos de filtragem exclusivos dessa interface.

    • Um termo de filtragem adicional que inclui uma referência ao filter filtro de firewall que contém os termos comuns de filtragem.

Aplicação de filtros de firewall aninhados a um roteador ou interface de switch

Aplicar filtros de firewall aninhados não é diferente de aplicar um filtro de firewall não personalizado. Para cada interface, você pode incluir uma input ou output uma instrução (ou ambas) na filter estrofe para especificar o filtro de firewall aninhado apropriado.

Aplicando filtros de firewall aninhados a uma interface, os termos de filtragem compartilhado e os filtros de firewall específicos da interface são aplicados por meio de um único filtro de firewall aninhado que inclui outros filtros pela instrução em um termo de filtragem filter separado.