Visão geral do filtro de firewall sem estado
Controle de fluxo de pacotes
Para influenciar quais pacotes podem transitar pelo sistema e aplicar ações especiais aos pacotes conforme necessário, você pode configurar filtros de firewall sem estado. Um firewall sem estado especifica uma sequência de uma ou mais regras de filtragem de pacotes, chamadas termos de filtro. Um termo de filtro especifica condições de correspondência a serem usadas para determinar uma correspondência e ações para assumir um pacote combinado. Um filtro de firewall sem estado permite manipular qualquer pacote de uma determinada família de protocolo, incluindo pacotes fragmentados, com base na avaliação dos campos de cabeçalho de Camada 3 e Camada 4. Normalmente, você aplica um filtro de firewall sem estado em uma ou mais interfaces que foram configuradas com recursos da família de protocolo. Você pode aplicar um filtro de firewall sem estado em uma interface de entrada, uma interface de saída ou ambos.
- Controle de fluxo de pacotes de dados
- Controle local de fluxo de pacotes
- Junos OS Evolved Local Packet Flow Control
Controle de fluxo de pacotes de dados
Para controlar o fluxo de pacotes de dados que transitam pelo dispositivo enquanto os pacotes estão sendo encaminhados de uma fonte para um destino, você pode aplicar filtros de firewall sem estado na entrada ou saída das interfaces físicas do roteador ou do switch.
Para aplicar uma largura de banda especificada e o tamanho máximo de explosão para tráfego enviado ou recebido em uma interface, você pode configurar os policiais. Os policiais são um tipo especializado de filtro de firewall sem estado e um componente primário da classe de serviço (CoS) do Junos OS.
Controle local de fluxo de pacotes
Para controlar o fluxo de pacotes locais entre as interfaces físicas e o Mecanismo de Roteamento, você pode aplicar filtros de firewall stateless na entrada ou saída da interface de loopback. A interface de loopback (lo0em inglês) é a interface para o mecanismo de roteamento e não transporta pacotes de dados.
Junos OS Evolved Local Packet Flow Control
No Junos OS Evolved, você pode ter dois filtros diferentes: um para tráfego de controle de rede (tráfego de loopback) e outro para gerenciamento de tráfego (interface de gerenciamento). Com dois filtros, você tem mais flexibilidade. Por exemplo, você pode configurar um filtro mais rigoroso no tráfego de interface de gerenciamento do que no tráfego de controle de rede.
No Junos OS e Junos OS Evolved, os filtros de firewall de tráfego de controle de rede ou filtros de firewall de loopback (Lo0/Lo6) se comportam da mesma maneira e não há diferença. Você configura um filtro de firewall Lo0/Lo6 na hierarquia de filtros de firewall INET ou INET6 da interface Lo0/Lo6. Para fornecer recursos de filtragem para a saída de pacotes na interface Lo0, o filtro de firewall é implementado no kernel de software por meio dos Netfilters da Juniper. Os filtros de rede estão instalados no kernel do linux e nenhum hardware está envolvido nisso.
A seguir, uma configuração de amostra para filtros de firewall Lo0.
set firewall family inet filter finet interface-specific set firewall family inet filter finet term t1 from source-address 10.0.0.2/32 set firewall family inet filter finet term t1 from destination-address 10.0.0.1/32 set firewall family inet filter finet term t1 from protocol tcp set firewall family inet filter finet term t1 from source-port ssh set firewall family inet filter finet term t1 from destination-port ssh set firewall family inet filter finet term t1 then count c1 set firewall family inet filter finet term t1 then log set interfaces lo0 unit 0 family inet filter input finet
Tabela 1, Tabela 2e Tabela 3mostrar as condições e Tabela 4 ações de correspondência suportadas para a família de filtros de firewall Lo0/Lo6 no Junos OS Evolved.
|
Condição de correspondência do filtro de firewall |
Lo0 |
Lo6 |
|---|---|---|
|
endereço ip-destino |
Sim |
Sim |
|
endereço ip-source |
Sim |
Sim |
|
lista de prefixo de destino |
Sim |
Sim |
|
lista de prefixo-fonte |
Sim |
Sim |
|
porta de destino |
Sim |
Sim |
|
porta-fonte |
Sim |
Sim |
|
protocolo ip |
Sim |
Sim |
|
primeiro fragmento |
Sim |
Não |
|
is-fragment |
Sim |
Não |
|
bandeiras tcp |
Sim |
Sim |
|
Ttl |
Sim |
Não |
|
dscp |
Sim |
Não |
|
Condição de correspondência do filtro de firewall |
Lo0 |
Lo6 |
|---|---|---|
|
endereço ip-destino |
Não |
Sim |
|
endereço ip-source |
Não |
Sim |
|
lista de prefixo de destino |
Não |
Sim |
|
lista de prefixo-fonte |
Não |
Sim |
|
porta de destino |
Não |
Sim |
|
Ação |
Lo0 |
Lo6 |
|---|---|---|
|
a diferença. |
Sim |
Sim |
|
descartar |
Sim |
Sim |
|
policial |
Sim |
Sim |
|
policiador de três cores |
Sim |
Sim |
|
Ação |
Lo0 |
Lo6 |
|---|---|---|
|
a diferença. |
Sim |
Sim |
|
descartar |
Sim |
Sim |
|
policial |
Sim |
Sim |
|
policiador de três cores |
Sim |
Sim |
A filtragem de gerenciamento usa filtros de mecanismo de roteamento baseados em redes, uma estrutura fornecida pelo kernel linux. Essa diferença resulta apenas em determinadas partidas e ações sendo apoiadas. Nos filtros de firewall de mecanismo de roteamento , algumas diferenças importantes estão listadas entre o Junos OS e o Junos OS Evolved.
Você deve adicionar explicitamente o filtro na interface de gerenciamento quanto ao Junos OS Evolved, o filtro lo0 não se aplica mais no tráfego de gerenciamento, como é o caso do Junos OS.
Para configurar no filtro de interface de gerenciamento, o filtro precisa ser configurado na inet familiar ou na hierarquia de filtro de firewall INET6 da interface de gerenciamento. A seguir, uma configuração de amostra para configurar o filtro de firewall uma das interfaces de gerenciamento.
set firewall family inet filter f1 interface-specific set firewall family inet filter f1 term t1 from protocol tcp set firewall family inet filter f1 term t1 then count c1 set firewall family inet filter f1 term t1 then accept set firewall family inet filter f1 term t2 from protocol icmp set firewall family inet filter f1 term t2 then count c3 set firewall family inet filter f1 term dft then count dft_cnt set firewall family inet filter f1 term dft then accept set interfaces re0:mgmt-0 unit 0 family inet filter input f1
Tabela 5e mostrar Tabela 7 as condições e Tabela 6ações de correspondência do filtro de firewall suportado em interfaces de gerenciamento.
|
Condição de correspondência do filtro de firewall |
Possibilitada |
|---|---|
|
endereço |
Sim |
|
endereço de destino |
Sim |
|
porta de destino |
Sim |
|
porta de destino, exceto |
Sim |
|
lista de prefixo de destino |
Sim |
|
código de cânhamo |
Sim |
|
código de cânhamo, exceto |
Sim |
|
tipo de cânhamo |
Sim |
|
tipo de cânhamo, exceto |
Sim |
|
cabeçalho próximo |
Sim |
|
cabeçalho próximo, exceto |
Sim |
|
comprimento de pacote |
Sim |
|
comprimento de pacote, exceto |
Sim |
|
protocolo de carga |
Sim |
|
protocolo de carga, exceto |
Sim |
|
porta |
Sim |
|
com exceção da porta |
Sim |
|
lista de prefixos |
Sim |
|
endereço-fonte |
Sim |
|
porta-fonte |
Sim |
|
porta-fonte, exceto |
Sim |
|
lista de prefixo-fonte |
Sim |
|
estabelecido por tcp |
Sim |
|
bandeiras tcp |
Sim |
|
tcp-inicial |
Sim |
|
classe de tráfego |
Sim |
|
classe de tráfego, exceto |
Sim |
|
Condição de correspondência do filtro de firewall |
Possibilitada |
|---|---|
|
dscp |
Sim |
|
dscp-exceto |
Sim |
|
precedência |
Sim |
|
precedência- exceto |
Sim |
|
protocolo |
Sim |
|
com exceção do protocolo |
Sim |
|
Ttl |
Sim |
|
ttl-exceto |
Sim |
|
Ação de filtro de firewall |
IPv4 |
IPv6 |
|---|---|---|
|
aceitar |
Sim |
Sim |
|
a diferença. |
Sim |
Sim |
|
classe de encaminhamento |
Sim |
Sim |
|
prioridade de perda |
Sim |
Sim |
|
policial |
Sim |
Sim |
|
rejeitar |
Sim |
Sim |
|
syslog |
Sim |
Sim |
Filtros de firewall stateless e stateful
Um filtro de firewall sem estado, também conhecido como uma lista de controle de acesso (ACL), não inspeciona o tráfego com estado. Em vez disso, avalia o conteúdo dos pacotes de forma estatética e não acompanha o estado das conexões de rede. Por outro lado, um filtro de firewall stateful usa informações de estado de conexão derivadas de outros aplicativos e comunicações passadas no fluxo de dados para tomar decisões de controle dinâmicas.
As políticas de roteamento, filtros de firewall e guia de usuário de policiais de tráfego descrevem filtros de firewall sem estado.
Propósito de filtros de firewall sem estado
A finalidade básica de um filtro de firewall sem estado é melhorar a segurança através do uso da filtragem de pacotes. A filtragem de pacotes permite que você inspecione os componentes de pacotes de entrada ou saída e, em seguida, execute as ações que você especifica em pacotes que correspondam aos critérios que você especifica. O uso típico de um filtro de firewall sem estado é para proteger os processos e recursos do Mecanismo de Roteamento contra pacotes maliciosos ou não confiáveis.