Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos filtros de firewall (Série QFX)

Os filtros de firewall, às vezes chamados de listas de controle de acesso (ACLs), fornecem regras que definem se aceitam ou descartam pacotes que estão transitando por uma interface. Se um pacote for aceito, você pode configurar mais ações no pacote, como marcação de classe de serviço (CoS) (agrupando tipos semelhantes de tráfego e tratando cada tipo de tráfego como uma classe com seu próprio nível de prioridade de serviço) e policiamento de tráfego (controlando a taxa máxima de tráfego enviado ou recebido).

Você pode configurar filtros de firewall para determinar onde aceitar ou descartar um pacote antes que ele entre ou saia de uma porta, VLAN, CCC de Camada 2, interface de Camada 3 (roteada), interface VLAN roteada (RVI) ou interface MPLS.

Um filtro de firewallde entrada (entrada) é aplicado a pacotes que estão entrando em uma interface ou VLAN, e um filtro de firewall de saída (saída) é aplicado a pacotes que estão saindo de uma interface ou VLAN.

Nota:

Os policiais na porta de rede, camada 2 e camada 3 ou interfaces IRB não policiam o tráfego vinculado ao host. Mas se você quiser evitar ataques DDoS, então você pode criar um filtro de firewall no lo0 que protege o mecanismo de roteamento.

onde você pode aplicar filtros

Depois de configurar o filtro de firewall, você pode aplicá-lo ao seguinte:

  • Porta — filtra as portas do sistema de trânsito de tráfego de Camada 2.

  • VLAN — Filtra e fornece controle de acesso para pacotes de Camada 2 que entram em um VLAN, são conectados dentro de um VLAN ou deixam um VLAN.

  • Interface de camada 3 (roteada) — Filtra o tráfego nas interfaces IPv4 e IPv6, interfaces VLAN roteada (RVI) e a interface de loopback. A interface de loopback filtra o tráfego enviado para o próprio switch ou gerado pelo switch.

  • Interface CCC de Camada 2 — Filtra interfaces de cross-connect de circuito de Camada 2 (CCC).

  • MPLS — filtra interfaces MPLS.

Você também pode aplicar um filtro de firewall a uma interface de gerenciamento (por exemplo, me0) em um switch autônomo QFX e EX4600. Você não pode aplicar um filtro a uma interface de gerenciamento em um sistema QFX3000-G ou QFX3000-M.

Nota:

Você só pode aplicar um filtro de firewall a uma porta, VLAN ou interface CCC de Camada 2 para uma determinada direção. Por exemplo, para a interface ge-0/0/6.0, você pode aplicar um filtro para a direção de entrada e um para a direção de saída.

  • (Série QFX) Começando com o Junos OS Release 13.2X51-D15, você pode aplicar um filtro a uma interface de loopback na direção da saída.

  • (QFX10000) A partir do Junos OS Release 18.2R1, você pode aplicar filtros de firewall de entrada e saída com count e discard como ações de policiador em interfaces de circuito de Camada 2.

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir do Junos OS Release 19.2R1, você pode aplicar as interfaceforwarding-classcondições e loss-priority combinar na direção de saída nas interfaces IPv4 e IPv6.

O que compõe um filtro de firewall

Ao configurar um filtro de firewall, você define o tipo de endereço da família (comutação de ethernet, inet (para IPv4), inet6 (para IPv6), conexão cruzada de circuito (CCC) ou MPLS), os critérios de filtragem (termos, com condições de correspondência)) e a ação a ser tomada se uma correspondência ocorrer.

Cada termo consiste no seguinte

  • Condição de correspondência — valores que um pacote deve conter para serem considerados compatíveis. Você pode especificar valores para a maioria dos campos nos cabeçalhos IP, TCP, UDP ou ICMP. Você também pode combinar nomes de interface.

  • Ação — Medidas tomadas se um pacote corresponder a uma condição de correspondência. Você pode configurar um filtro de firewall para aceitar, descartar ou rejeitar um pacote correspondente e, em seguida, realizar mais ações, como contagem, classificação e policiamento. A ação padrão é aceita.

Como os filtros de firewall são processados

Se houver vários termos em um filtro, a ordem dos termos é importante. Se um pacote corresponde ao primeiro termo, o switch toma a ação definida por esse termo, e nenhum outro termos é avaliado. Se o switch não encontrar uma correspondência entre o pacote e o primeiro termo, ele compara o pacote com o próximo termo. Se não ocorrer correspondência entre o pacote e o segundo termo, o sistema continua a comparar o pacote com cada termo sucessivo no filtro até que uma correspondência seja encontrada. Se nenhum termos for combinado, o switch descarta o pacote por padrão.

Tabela de histórico de liberação
Versão
Descrição
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir do Junos OS Release 19.2R1, você pode aplicar as interfaceforwarding-classcondições e loss-priority combinar na direção de saída nas interfaces IPv4 e IPv6.
18.2R1
(QFX10000) A partir do Junos OS Release 18.2R1, você pode aplicar filtros de firewall de entrada e saída com count e discard como ações de policiador em interfaces de circuito de Camada 2.
13.2X51-D15
(Série QFX) Começando com o Junos OS Release 13.2X51-D15, você pode aplicar um filtro a uma interface de loopback na direção da saída.