Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Como os filtros de firewall padrão avaliam pacotes

Este tópico abrange as seguintes informações:

Visão geral da avaliação de pacotes do filtro de firewall

A sequência a seguir descreve como o dispositivo avalia a entrada ou saída de um pacote de uma interface se o tráfego de entrada ou saída em uma interface de dispositivo está associado a um filtro de firewall. A avaliação dos pacotes prossegue da seguinte forma:

  1. O dispositivo avalia o pacote em relação aos termos do filtro de firewall sequencialmente, começando com o primeiro termo no filtro.

    • Se o pacote corresponde a todas as condições especificadas em um termo, o dispositivo executa todas as ações especificadas nesse termo.

    • Se o pacote não corresponder a todas as condições especificadas em um termo, o dispositivo prossegue para o próximo termo no filtro (se houver um termo subsequente) e avaliará o pacote em relação a esse termo.

    • Se o pacote não corresponder a nenhum termo no filtro de firewall, o dispositivo descarta implicitamente o pacote.

  2. Ao contrário de filtros de serviço e filtros simples, os filtros de firewall suportam a ação , que não é nem uma ação terminante nem uma ação não sufocante, mas uma ação de controle de fluxo.next term

    Nota:

    No Junos e no Junos OS Evolved, não pode aparecer como o último termo da ação.next term Um termo de filtro em que é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.next term

    • Se o termo combinado incluir a ação , o dispositivo continua a avaliação do pacote no próximo termo dentro do filtro de firewall.next term

    • Se o termo combinado não incluir a ação, a avaliação do pacote em relação ao determinado filtro de firewall termina neste termo.next term O dispositivo não avalia o pacote em relação a quaisquer termos subsequentes neste filtro.

    No máximo 1024 ações são suportadas por configuração de filtro de firewall.next term Se você configurar um filtro de firewall que exceda esse limite, a configuração do seu candidato resultará em um erro de confirmação.

  3. O dispositivo deixa de avaliar um pacote em relação a um determinado filtro de firewall quando o pacote corresponde a um termo sem a ação ou o pacote não corresponde ao último termo no filtro de firewall.next term

  4. Se um pacote local chegar a uma interface de roteador associada a um filtro de firewall de entrada, o filtro avalia o pacote duas vezes. A primeira avaliação ocorre no Mecanismo de encaminhamento de pacotes, que é o elemento central de processamento do plano de encaminhamento do roteador, e a segunda avaliação ocorre no Mecanismo de Roteamento, que executa o software de plano de controle do roteador.

    Nota:

    Pacotes locais — pedaços de dados destinados ou enviados pelo próprio roteador — geralmente contêm dados de protocolo de roteamento, dados para serviços IP, como Telnet ou SSH, e dados para protocolos administrativos, como o Protocolo de Mensagem de Controle de Internet (ICMP).

    Se a primeira avaliação do filtro de firewall modificar os valores de contexto de pacotes ou pacotes locais de entrada, a segunda avaliação do filtro de firewall será baseada nos valores atualizados de contexto de pacotes ou pacotes.

    Por exemplo, suponha que o filtro inclua uma condição de correspondência com base no valor de prioridade de encaminhamento ou perda associado ao pacote e que o filtro inclua uma ação que modifica a classe de encaminhamento ou o valor de prioridade de perda associado ao pacote. Se um pacote local de entrada chegar a uma interface associada e a avaliação do filtro no mecanismo de encaminhamento de pacotes modificar (em vez de cair) o pacote, então a avaliação do filtro no Mecanismo de Roteamento é baseada no contexto de pacote modificado (em vez do contexto original do pacote).

Avaliação de pacotes em um único filtro de firewall

Tabela 1 descreve comportamentos de filtragem de pacotes em uma interface de dispositivo associada a um único filtro de firewall.

Nota:

No Junos OS Evolved, não pode aparecer como o último termo da ação.next term Um termo de filtro em que é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.next term
Tabela 1: Avaliação de pacotes em um único filtro de firewall

Evento de filtro de firewall

Ação

Ação posterior

O termo filtro de firewall não especifica nenhuma condição de correspondência.

O termo corresponde a todos os pacotes por padrão e, portanto, o dispositivo executa as ações especificadas por esse termo.

Se o termo ações incluirem a ação , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente).next term

O pacote corresponde a todas as condições especificadas pelo termo filtro de firewall.

O dispositivo executa as ações especificadas por esse termo.

Se o termo ações incluirem a ação , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente).next term

O pacote corresponde a todas as condições especificadas pelo termo filtro de firewall, mas o termo não especifica nenhuma ação.

O dispositivo aceita implicitamente o pacote.

Se o termo ações incluirem a ação , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente).next term

O pacote não corresponde a todas as condições especificadas pelo termo filtro de firewall.

O dispositivo não executa as ações especificadas por esse termo.

O dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro (se houver um termo subsequente).

O pacote não corresponde a nenhum termo no filtro

O dispositivo descarta implicitamente o pacote

Cada configuração de filtro de firewall inclui uma ação implícita no final do filtro.discard Essa ação de terminação implícita equivale a incluir o seguinte termo de exemplo como o termo final no filtro de firewall:t_explicit_discard

term t_explicit_discard {
    then discard;
}

Melhores práticas: Aceite explicitamente qualquer tráfego que não seja especificamente descartado

Você pode querer que um filtro de firewall aceite qualquer tráfego que o filtro não descarte especificamente. Neste caso, recomendamos que você configure o filtro de firewall com um termo final que especifica a ação de terminação.accept

No exemplo a seguir, a configuração do termo como termo final no filtro de firewall configura explicitamente o filtro de firewall para aceitar qualquer tráfego que o filtro não tenha descartado especificamente:t_allow_all_else

Seguir essa melhor prática pode simplificar a solução de problemas do filtro de firewall.

Melhores práticas: Rejeitar explicitamente qualquer tráfego que não seja especificamente aceito

Por outro lado, você pode querer que um filtro de firewall rejeite qualquer tráfego que o filtro de firewall não aceite especificamente. Neste caso, recomendamos que você configure o filtro de firewall com um termo final que especifica a ação de terminação.reject

No exemplo a seguir, a configuração do termo como termo final no filtro de firewall configura explicitamente o filtro de firewall para rejeitar qualquer tráfego que o filtro não aceitasse especificamente:t_deny_all_else

Seguir essa melhor prática pode simplificar a solução de problemas do filtro de firewall.

Vários filtros de firewall conectados a uma única interface

Em interfaces de dispositivo suportadas, você pode anexar vários filtros de firewall a uma única interface. Para obter mais informações, veja .Entendendo vários filtros de firewall aplicados como uma lista

Nota:

Em interfaces suportadas, você pode anexar um filtro de firewall independente de protocolo e um filtro de firewall específico de protocolo ( ou ) na mesma interface.family anyfamily inetfamily inet6 O filtro de firewall independente de protocolo é executado primeiro. Para obter mais informações, veja .Diretrizes para a aplicação de filtros de firewall padrão

Filtro de firewall único conectado a várias interfaces

Em interfaces suportadas, você pode associar um único filtro de firewall a várias interfaces, e o Junos OS cria uma instância específica de interface desse filtro de firewall para cada interface associada.

  • O Junos OS associa cada instanciação específica da interface de um filtro de firewall com um nome específico da interface gerado pelo sistema.

  • Para qualquer ação nos termos do filtro, o Mecanismo de encaminhamento de pacotes mantém contadores separados, específicos da interface e os associados do Junos OS com um nome específico de interface gerado pelo sistema.count

  • Para qualquer ação nos termos do filtro, o Junos OS cria instâncias separadas e específicas da interface das ações do policiador.policer

Para obter mais informações, veja .Visão geral das instâncias de filtro de firewall específicas da interface

Tópicos relacionados