Como os filtros de firewall padrão avaliam pacotes
Este tópico abrange as seguintes informações:
Visão geral da avaliação de pacotes do filtro de firewall
A sequência a seguir descreve como o dispositivo avalia a entrada ou saída de um pacote de uma interface se o tráfego de entrada ou saída em uma interface de dispositivo está associado a um filtro de firewall. A avaliação dos pacotes prossegue da seguinte forma:
O dispositivo avalia o pacote em relação aos termos do filtro de firewall sequencialmente, começando com o primeiro termo no filtro.
Se o pacote corresponde a todas as condições especificadas em um termo, o dispositivo executa todas as ações especificadas nesse termo.
Se o pacote não corresponder a todas as condições especificadas em um termo, o dispositivo prossegue para o próximo termo no filtro (se houver um termo subsequente) e avaliará o pacote em relação a esse termo.
Se o pacote não corresponder a nenhum termo no filtro de firewall, o dispositivo descarta implicitamente o pacote.
Ao contrário de filtros de serviço e filtros simples, os filtros de firewall suportam a ação , que não é nem uma ação terminante nem uma ação não sufocante, mas uma ação de controle de fluxo.
next term
Nota:No Junos e
no Junos OS Evolved, não pode aparecer como o último termo da ação.next term Um termo de filtro em que é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.
next term
Se o termo combinado incluir a ação , o dispositivo continua a avaliação do pacote no próximo termo dentro do filtro de firewall.
next term
Se o termo combinado não incluir a ação, a avaliação do pacote em relação ao determinado filtro de firewall termina neste termo.
next term
O dispositivo não avalia o pacote em relação a quaisquer termos subsequentes neste filtro.
No máximo 1024 ações são suportadas por configuração de filtro de firewall.
next term
Se você configurar um filtro de firewall que exceda esse limite, a configuração do seu candidato resultará em um erro de confirmação.O dispositivo deixa de avaliar um pacote em relação a um determinado filtro de firewall quando o pacote corresponde a um termo sem a ação ou o pacote não corresponde ao último termo no filtro de firewall.
next term
Se um pacote local chegar a uma interface de roteador associada a um filtro de firewall de entrada, o filtro avalia o pacote duas vezes. A primeira avaliação ocorre no Mecanismo de encaminhamento de pacotes, que é o elemento central de processamento do plano de encaminhamento do roteador, e a segunda avaliação ocorre no Mecanismo de Roteamento, que executa o software de plano de controle do roteador.
Nota:Pacotes locais — pedaços de dados destinados ou enviados pelo próprio roteador — geralmente contêm dados de protocolo de roteamento, dados para serviços IP, como Telnet ou SSH, e dados para protocolos administrativos, como o Protocolo de Mensagem de Controle de Internet (ICMP).
Se a primeira avaliação do filtro de firewall modificar os valores de contexto de pacotes ou pacotes locais de entrada, a segunda avaliação do filtro de firewall será baseada nos valores atualizados de contexto de pacotes ou pacotes.
Por exemplo, suponha que o filtro inclua uma condição de correspondência com base no valor de prioridade de encaminhamento ou perda associado ao pacote e que o filtro inclua uma ação que modifica a classe de encaminhamento ou o valor de prioridade de perda associado ao pacote. Se um pacote local de entrada chegar a uma interface associada e a avaliação do filtro no mecanismo de encaminhamento de pacotes modificar (em vez de cair) o pacote, então a avaliação do filtro no Mecanismo de Roteamento é baseada no contexto de pacote modificado (em vez do contexto original do pacote).
Avaliação de pacotes em um único filtro de firewall
Tabela 1 descreve comportamentos de filtragem de pacotes em uma interface de dispositivo associada a um único filtro de firewall.
No Junos OS Evolved, não pode aparecer como o último termo da ação.next term
Um termo de filtro em que é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.next term
Evento de filtro de firewall |
Ação |
Ação posterior |
|
---|---|---|---|
O termo filtro de firewall não especifica nenhuma condição de correspondência. |
O termo corresponde a todos os pacotes por padrão e, portanto, o dispositivo executa as ações especificadas por esse termo. |
Se o termo ações incluirem a ação , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente). |
|
O pacote corresponde a todas as condições especificadas pelo termo filtro de firewall. |
O dispositivo executa as ações especificadas por esse termo. |
Se o termo ações incluirem a ação , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente). |
|
O pacote corresponde a todas as condições especificadas pelo termo filtro de firewall, mas o termo não especifica nenhuma ação. |
O dispositivo aceita implicitamente o pacote. |
Se o termo ações incluirem a ação , o dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro de firewall (se houver um termo subsequente). |
|
O pacote não corresponde a todas as condições especificadas pelo termo filtro de firewall. |
O dispositivo não executa as ações especificadas por esse termo. |
O dispositivo continua a avaliação do pacote em relação ao próximo termo dentro do filtro (se houver um termo subsequente). |
|
O pacote não corresponde a nenhum termo no filtro |
O dispositivo descarta implicitamente o pacote Cada configuração de filtro de firewall inclui uma ação implícita no final do filtro. term t_explicit_discard { then discard; } |
Melhores práticas: Aceite explicitamente qualquer tráfego que não seja especificamente descartado
Você pode querer que um filtro de firewall aceite qualquer tráfego que o filtro não descarte especificamente. Neste caso, recomendamos que você configure o filtro de firewall com um termo final que especifica a ação de terminação.accept
No exemplo a seguir, a configuração do termo como termo final no filtro de firewall configura explicitamente o filtro de firewall para aceitar qualquer tráfego que o filtro não tenha descartado especificamente:t_allow_all_else
term t_allow_all_else { then accept; }
Seguir essa melhor prática pode simplificar a solução de problemas do filtro de firewall.
Melhores práticas: Rejeitar explicitamente qualquer tráfego que não seja especificamente aceito
Por outro lado, você pode querer que um filtro de firewall rejeite qualquer tráfego que o filtro de firewall não aceite especificamente. Neste caso, recomendamos que você configure o filtro de firewall com um termo final que especifica a ação de terminação.reject
No exemplo a seguir, a configuração do termo como termo final no filtro de firewall configura explicitamente o filtro de firewall para rejeitar qualquer tráfego que o filtro não aceitasse especificamente:t_deny_all_else
term t_deny_all_else { then reject; }
Seguir essa melhor prática pode simplificar a solução de problemas do filtro de firewall.
Vários filtros de firewall conectados a uma única interface
Em interfaces de dispositivo suportadas, você pode anexar vários filtros de firewall a uma única interface. Para obter mais informações, veja .Entendendo vários filtros de firewall aplicados como uma lista
Em interfaces suportadas, você pode anexar um filtro de firewall independente de protocolo e um filtro de firewall específico de protocolo ( ou ) na mesma interface.family any
family inet
family inet6
O filtro de firewall independente de protocolo é executado primeiro. Para obter mais informações, veja .Diretrizes para a aplicação de filtros de firewall padrão
Filtro de firewall único conectado a várias interfaces
Em interfaces suportadas, você pode associar um único filtro de firewall a várias interfaces, e o Junos OS cria uma instância específica de interface desse filtro de firewall para cada interface associada.
O Junos OS associa cada instanciação específica da interface de um filtro de firewall com um nome específico da interface gerado pelo sistema.
Para qualquer ação nos termos do filtro, o Mecanismo de encaminhamento de pacotes mantém contadores separados, específicos da interface e os associados do Junos OS com um nome específico de interface gerado pelo sistema.
count
Para qualquer ação nos termos do filtro, o Junos OS cria instâncias separadas e específicas da interface das ações do policiador.
policer
Para obter mais informações, veja .Visão geral das instâncias de filtro de firewall específicas da interface