Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Visão geral dos filtros de firewall (Série QFX)

Os filtros de firewall, às vezes chamados de listas de controle de acesso (ACLs), fornecem regras que definem se aceitam ou descartam pacotes que estão transitando por uma interface. Se um pacote for aceito, você pode configurar mais ações no pacote, como a marcação de classe de serviço (CoS) (agrupando tipos semelhantes de tráfego e tratando cada tipo de tráfego como uma classe com seu próprio nível de prioridade de serviço) e policiamento de tráfego (controlando a taxa máxima de tráfego enviado ou recebido).

Você pode configurar filtros de firewall para determinar onde aceitar ou descartar um pacote antes que ele entre ou saia de uma porta, VLAN, CCC de Camada 2, interface de Camada 3 (roteada), interface VLAN roteada (RVI) ou interface MPLS.

Um filtro de firewall de entrada (entrada) é aplicado a pacotes que estão entrando em uma interface ou VLAN, e um filtro de firewall de saída (saída) é aplicado a pacotes que estão saindo de uma interface ou VLAN.

Nota:

Os policiais na porta de rede, camada 2 e camada 3 ou interfaces IRB não policiam o tráfego vinculado ao host. Mas se você quiser evitar ataques DDoS, então você pode criar um filtro de firewall no lo0 que protege o mecanismo de roteamento.

Onde você pode aplicar filtros

Depois de configurar o filtro de firewall, você pode aplicá-lo ao seguinte:

  • Porta — filtra as portas do sistema de trânsito de tráfego de Camada 2.

  • VLAN — Filtra e fornece controle de acesso para pacotes de Camada 2 que entram em uma VLAN, são conectados em uma VLAN ou deixam uma VLAN.

  • Interface de camada 3 (roteada) — filtra o tráfego em interfaces IPv4 e IPv6, interfaces VLAN roteadas (RVI) e a interface de loopback. A interface de loopback filtra o tráfego enviado para o próprio switch ou gerado pelo switch.

  • Interface CCC de camada 2 — filtra interfaces de circuito cross-connect (CCC) de camada 2.

  • MPLS — filtra interfaces MPLS.

Você também pode aplicar um filtro de firewall em uma interface de gerenciamento (por exemplo, me0) em um switch autônomo QFX e EX4600. Você não pode aplicar um filtro a uma interface de gerenciamento em um sistema QFX3000-G ou QFX3000-M.

Nota:

Você só pode aplicar um filtro de firewall em uma interface de CCC de porta, VLAN ou Camada 2 para uma determinada direção. Por exemplo, para interface ge-0/0/6.0, você pode aplicar um filtro para a direção de entrada e outro para a direção de saída.

  • (Série QFX) Começando pelo Junos OS Release 13.2X51-D15, você pode aplicar um filtro em uma interface de loopback na direção da saída.

  • (QFX10000) A partir do Junos OS Release 18.2R1, você pode aplicar filtros de firewall de entrada e saída com e como ações de policiador em interfaces de circuito de Camada 2.countdiscard

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir do Junos OS Release 19.2R1, você pode aplicar as condições, e combinar na direção de saída nas interfaces IPv4 e IPv6.interfaceforwarding-classloss-priority

Nota:

Os switches da série EX4600, QFX5000 e da série QFX5000 EVO não dependem da correspondência VRF para filtros de loopback configurados em diferentes instâncias de roteamento. Os filtros de loopback por instância de roteamento (como lo0.100, lo0.103, lo0.105) não são suportados e podem causar comportamento imprevisível. Recomendamos que você aplique apenas o filtro de loopback (lo0.0) na instância de roteamento mestre.

O que compõe um filtro de firewall

Ao configurar um filtro de firewall, você define o tipo de endereço da família (comutação de ethernet, inet (para IPv4), inet6 (para IPv6), cross-connect de circuito (CCC) ou MPLS), os critérios de filtragem (termos, com condições de correspondência)e a ação a ser tomada se ocorrer uma correspondência.

Cada termo consiste no seguinte

  • Condição da correspondência — os valores que um pacote deve conter devem ser considerados compatíveis. Você pode especificar valores para a maioria dos campos nos cabeçalhos IP, TCP, UDP ou ICMP. Você também pode combinar com nomes de interface.

  • Ação — Medidas tomadas se um pacote corresponder a uma condição de correspondência. Você pode configurar um filtro de firewall para aceitar, descartar ou rejeitar um pacote correspondente e, em seguida, realizar mais ações, como contagem, classificação e policiamento. A ação padrão é aceita.

Como os filtros de firewall são processados

Se houver vários termos em um filtro, a ordem dos termos é importante. Se um pacote corresponde ao primeiro termo, o switch toma a ação definida por esse termo, e nenhum outro termos é avaliado. Se o switch não encontrar uma correspondência entre o pacote e o primeiro termo, ele compara o pacote com o próximo termo. Se não ocorrer correspondência entre o pacote e o segundo termo, o sistema continua a comparar o pacote com cada termo sucessivo no filtro até que uma correspondência seja encontrada. Se nenhum termo for combinado, o switch descarta o pacote por padrão.

Tópicos relacionados

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir do Junos OS Release 19.2R1, você pode aplicar as condições, e combinar na direção de saída nas interfaces IPv4 e IPv6.interfaceforwarding-classloss-priority
18.2R1
(QFX10000) A partir do Junos OS Release 18.2R1, você pode aplicar filtros de firewall de entrada e saída com e como ações de policiador em interfaces de circuito de Camada 2.countdiscard
13.2X51-D15
(Série QFX) Começando pelo Junos OS Release 13.2X51-D15, você pode aplicar um filtro em uma interface de loopback na direção da saída.