Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Como os filtros de firewall padrão avaliam pacotes

Este tópico abrange as seguintes informações:

Visão geral da avaliação de pacotes do filtro de firewall

A sequência a seguir descreve como o dispositivo avalia a entrada ou saída de um pacote de uma interface se o tráfego de entrada ou saída em uma interface de dispositivo está associado a um filtro de firewall. A avaliação dos pacotes prossegue da seguinte forma:

  1. O dispositivo avalia o pacote em relação aos termos do filtro de firewall sequencialmente, começando com o primeiro termo no filtro.

    • Se o pacote corresponde a todas as condições especificadas em um termo, o dispositivo executa todas as ações especificadas nesse termo.

    • Se o pacote não corresponder a todas as condições especificadas em um termo, o dispositivo prossegue para o próximo termo no filtro (se houver um termo subsequente) e avaliará o pacote em relação a esse termo.

    • Se o pacote não corresponder a nenhum termo no filtro de firewall, o dispositivo descarta implicitamente o pacote.

  2. Ao contrário de filtros de serviço e filtros simples, os filtros de firewall suportam a ação next term , que não é nem uma ação terminante nem uma ação não sufocante, mas uma ação de controle de fluxo.

    Nota:

    No Junos e no Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

    • Se o termo combinado incluir a ação next term , o dispositivo continua a avaliação do pacote no próximo termo dentro do filtro de firewall.

    • Se o termo combinado não incluir a ação, a next term avaliação do pacote em relação ao determinado filtro de firewall termina neste termo. O dispositivo não avalia o pacote em relação a quaisquer termos subsequentes neste filtro.

    No máximo 1024 next term ações são suportadas por configuração de filtro de firewall. Se você configurar um filtro de firewall que exceda esse limite, a configuração do seu candidato resultará em um erro de confirmação.

  3. O dispositivo deixa de avaliar um pacote em relação a um determinado filtro de firewall quando o pacote corresponde a um termo sem a ação next term ou o pacote não corresponde ao último termo no filtro de firewall.

  4. Se um pacote local chegar a uma interface de roteador associada a um filtro de firewall de entrada, o filtro avalia o pacote duas vezes. A primeira avaliação ocorre no Mecanismo de encaminhamento de pacotes, que é o elemento central de processamento do plano de encaminhamento do roteador, e a segunda avaliação ocorre no Mecanismo de Roteamento, que executa o software de plano de controle do roteador.

    Nota:

    Pacotes locais — pedaços de dados destinados ou enviados pelo próprio roteador — geralmente contêm dados de protocolo de roteamento, dados para serviços IP, como Telnet ou SSH, e dados para protocolos administrativos, como o Protocolo de Mensagem de Controle de Internet (ICMP).

    Se a primeira avaliação do filtro de firewall modificar os valores de contexto de pacotes ou pacotes locais de entrada, a segunda avaliação do filtro de firewall será baseada nos valores atualizados de contexto de pacotes ou pacotes.

    Por exemplo, suponha que o filtro inclua uma condição de correspondência com base no valor de prioridade de encaminhamento ou perda associado ao pacote e que o filtro inclua uma ação que modifica a classe de encaminhamento ou o valor de prioridade de perda associado ao pacote. Se um pacote local de entrada chegar a uma interface associada e a avaliação do filtro no mecanismo de encaminhamento de pacotes modificar (em vez de cair) o pacote, então a avaliação do filtro no Mecanismo de Roteamento é baseada no contexto de pacote modificado (em vez do contexto original do pacote).

Avaliação de pacotes em um único filtro de firewall

Tabela 1 descreve comportamentos de filtragem de pacotes em uma interface de dispositivo associada a um único filtro de firewall.

Nota:

No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.
Tabela 1: Avaliação de pacotes em um único filtro de firewall

Evento de filtro de firewall

Ação

Ação posterior

O termo filtro de firewall não especifica nenhuma condição de correspondência.

O termo corresponde a todos os pacotes por padrão e, portanto, o dispositivo executa as ações especificadas por esse termo.

Se o termo ações incluirem a ação next term , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente).

O pacote corresponde a todas as condições especificadas pelo termo filtro de firewall.

O dispositivo executa as ações especificadas por esse termo.

Se o termo ações incluirem a ação next term , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente).

O pacote corresponde a todas as condições especificadas pelo termo filtro de firewall, mas o termo não especifica nenhuma ação.

O dispositivo aceita implicitamente o pacote.

Se o termo ações incluirem a ação next term , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente).

O pacote não corresponde a todas as condições especificadas pelo termo filtro de firewall.

O dispositivo não executa as ações especificadas por esse termo.

O dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro (se houver um termo subsequente).

O pacote não corresponde a nenhum termo no filtro

O dispositivo descarta implicitamente o pacote

Cada configuração de filtro de firewall inclui uma ação implícita discard no final do filtro. Essa ação de terminação implícita equivale a incluir o seguinte termo t_explicit_discard de exemplo como o termo final no filtro de firewall:

term t_explicit_discard {
    then discard;
}

Melhores práticas: Aceite explicitamente qualquer tráfego que não seja especificamente descartado

Você pode querer que um filtro de firewall aceite qualquer tráfego que o filtro não descarte especificamente. Neste caso, recomendamos que você configure o filtro de firewall com um termo final que especifica a ação accept de terminação.

No exemplo a seguir, a configuração do t_allow_all_else termo como termo final no filtro de firewall configura explicitamente o filtro de firewall para aceitar qualquer tráfego que o filtro não tenha descartado especificamente:

Seguir essa melhor prática pode simplificar a solução de problemas do filtro de firewall.

Melhores práticas: Rejeitar explicitamente qualquer tráfego que não seja especificamente aceito

Por outro lado, você pode querer que um filtro de firewall rejeite qualquer tráfego que o filtro de firewall não aceite especificamente. Neste caso, recomendamos que você configure o filtro de firewall com um termo final que especifica a ação reject de terminação.

No exemplo a seguir, a configuração do t_deny_all_else termo como termo final no filtro de firewall configura explicitamente o filtro de firewall para rejeitar qualquer tráfego que o filtro não aceitasse especificamente:

Seguir essa melhor prática pode simplificar a solução de problemas do filtro de firewall.

Vários filtros de firewall conectados a uma única interface

Em interfaces de dispositivo suportadas, você pode anexar vários filtros de firewall a uma única interface. Para obter mais informações, veja Entendendo vários filtros de firewall aplicados como uma lista.

Nota:

Em interfaces suportadas, você pode anexar um filtro de firewall independente de protocolo efamily any um filtro de firewall específico de protocolo (family inet ou family inet6) na mesma interface. O filtro de firewall independente de protocolo é executado primeiro. Para obter mais informações, veja Diretrizes para a aplicação de filtros de firewall padrão.

Filtro de firewall único conectado a várias interfaces

Em interfaces suportadas, você pode associar um único filtro de firewall a várias interfaces, e o Junos OS cria uma instância específica de interface desse filtro de firewall para cada interface associada.

  • O Junos OS associa cada instanciação específica da interface de um filtro de firewall com um nome específico da interface gerado pelo sistema.

  • Para qualquer count ação nos termos do filtro, o Mecanismo de encaminhamento de pacotes mantém contadores separados, específicos da interface e os associados do Junos OS com um nome específico de interface gerado pelo sistema.

  • Para qualquer policer ação nos termos do filtro, o Junos OS cria instâncias separadas e específicas da interface das ações do policiador.

Para obter mais informações, veja Visão geral das instâncias de filtro de firewall específicas da interface.

Tópicos relacionados