Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos filtros de firewall (Série QFX)

Filtros de firewall, às vezes chamados de listas de controle de acesso (ACLs), fornecem regras que definem se aceitam ou descartam pacotes que estão em trânsito em uma interface. Se um pacote for aceito, você pode configurar mais ações no pacote, como a marcação classe-of-service (CoS) (agrupando tipos semelhantes de tráfego e tratando cada tipo de tráfego como uma classe com seu próprio nível de prioridade de serviço) e o policiamento de tráfego (controlando a taxa máxima de tráfego enviado ou recebido).

Você pode configurar filtros de firewall para determinar onde aceitar ou descartar um pacote antes de entrar ou sair de uma porta, VLAN, CCC de Camada 2, Interface de Camada 3 (roteada), Interface VLAN roteada (RVI) ou MPLS interface.

Um filtro de firewall de entrada (entrada) é aplicado a pacotes que entram em uma interface ou VLAN, e um filtro de firewall de saída é aplicado a pacotes que estão saindo de uma interface ou VLAN.

onde você pode aplicar filtros

Depois de configurar o filtro de firewall, você pode aplicá-lo ao seguinte:

  • Porta — filtra as portas do sistema de tráfego de Camada 2.

  • VLAN — filtra e fornece controle de acesso para pacotes de Camada 2 que entram em uma VLAN, são pontes dentro de uma VLAN ou deixam uma VLAN.

  • Interface de Camada 3 (roteada) — Filtra o tráfego em interfaces IPv4 e IPv6, interfaces VLAN roteados (RVI) e interface de loopback. A interface de loopback filtra o tráfego enviado ao próprio switch ou gerado pelo switch.

  • Interface CCC de Camada 2 — Filtra interfaces cruzadas de circuito de Camada 2 (CCC).

  • MPLS — filtra MPLS interfaces.

Você também pode aplicar um filtro de firewall a uma interface de gerenciamento (por exemplo, me0) em um switch QFX e EX4600 autônomo. Você não pode aplicar um filtro a uma interface de gerenciamento em um QFX3000-G ou QFX3000-M sistema.

Nota:

Você pode aplicar apenas um filtro de firewall a uma porta, VLAN ou interface CCC de Camada 2 para uma determinada direção. Por exemplo, para a interface ge-0/0/6.0, você pode aplicar um filtro para a direção de entrada e um para a direção de saída.

  • (Série QFX) A começar pela versão 13.2X51-D15 Junos OS, você pode aplicar um filtro a uma interface de loopback na direção de saída.

  • (QFX10000) A começar pelo Junos OS Release 18.2R1, você pode aplicar filtros de firewall de entrada e saída com e como ações de polícia nas interfaces de circuito de countdiscard Camada 2.

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir da versão 19.2R1 Junos OS, você pode aplicar as condições de , e combinar na direção de saída nas interfaceforwarding-classloss-priority interfaces IPv4 e IPv6.

O que faz um filtro de firewall

Ao configurar um filtro de firewall, você define o tipo de endereço da família (ethernet-switching, inet (para IPv4), inet6 (para IPv6), circuito cruzado (CCC) ou MPLS), os critérios de filtragem (termos, com condições de combinação) e a ação a ser tomada caso ocorra uma combinação.

Cada termo consiste no seguinte

  • Condição de combinação — Valores que um pacote deve conter para serem considerados uma combinação. Você pode especificar valores para a maioria dos campos nos headers IP, TCP, UDP ou ICMP. Você também pode combinar nomes de interface.

  • Ação — Ação tomada se um pacote corresponder a uma condição de combinação. Você pode configurar um filtro de firewall para aceitar, descartar ou rejeitar um pacote correspondente e realizar mais ações, como contar, classificar e policiar. A ação padrão é aceita.

Como os filtros de firewall são processados

Se houver vários termos em um filtro, a ordem dos termos é importante. Se um pacote bate com o primeiro termo, o switch toma a ação definida por esse termo e nenhum outro termos é avaliado. Caso o switch não encontre uma combinação entre o pacote e o primeiro termo, ele compara o pacote ao próximo termo. Se não ocorrer nenhuma combinação entre o pacote e o segundo termo, o sistema continua a comparar o pacote com cada termo consecutivo no filtro até que uma combinação seja encontrada. Se nenhum termos for igualado, o switch descarta o pacote por padrão.

Tabela de histórico de liberação
Versão
Descrição
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir da versão 19.2R1 Junos OS, você pode aplicar as condições de , e combinar na direção de saída nas interfaceforwarding-classloss-priority interfaces IPv4 e IPv6.
18.2R1
(QFX10000) A começar pelo Junos OS Release 18.2R1, você pode aplicar filtros de firewall de entrada e saída com e como ações de polícia nas interfaces de circuito de countdiscard Camada 2.
13.2X51-D15
(Série QFX) A começar pela versão 13.2X51-D15 Junos OS, você pode aplicar um filtro a uma interface de loopback na direção de saída.