Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Diretrizes para a aplicação de filtros de firewall padrão

Aplicação da visão geral dos filtros de firewall

Você pode aplicar um filtro de firewall padrão a uma interface de loopback no roteador ou a uma interface física ou lógica no roteador. Você pode aplicar um filtro de firewall em uma única interface ou a várias interfaces no roteador.Tabela 1 resume o comportamento dos filtros de firewall com base no ponto ao qual você anexa o filtro.

Tabela 1: Comportamento do filtro de firewall por ponto de anexo de filtro

Ponto de anexo de filtro

Comportamento do filtro

Interface de loopback

A interface lo0de loopback do roteador é a interface para o Mecanismo de Roteamento e não transporta pacotes de dados. Quando você aplica um filtro de firewall na interface de loopback, o filtro avalia os pacotes locais recebidos ou transmitidos pelo Mecanismo de Roteamento.

Nota:

  • ACX5048 e roteadores ACX5096 não suportam a avaliação de pacotes transmitidos pelo mecanismo de roteamento para filtro de interface de loopback.

Interface física ou interface lógica

Quando você aplica um filtro em uma interface física no roteador ou a uma interface lógica (ou membro de um pacote Ethernet agregado definido na interface), o filtro avalia todos os pacotes de dados que passam por essa interface.

Múltiplas interfaces

Você pode usar o mesmo filtro de firewall uma ou mais vezes.

Nos roteadores da Série M, com exceção dos roteadores M120 e M320, se você aplicar um filtro de firewall em várias interfaces, o filtro age na soma do tráfego entrando ou saindo dessas interfaces.

Nos roteadores da Série T, M120, M320 e Série MX, as interfaces são distribuídas entre vários componentes de encaminhamento de pacotes. Nesses roteadores, você pode configurar filtros de firewall e filtros de serviço que, quando aplicados a várias interfaces, atuam nos fluxos de tráfego individuais que entram ou saem de cada interface, independentemente da soma do tráfego nas várias interfaces.

Para obter mais informações, veja a visão geral das instâncias de filtro de firewall específicas da interface.

Interface única com filtros de firewall independentes de protocolo e específicos de protocolo conectados

Para interfaces hospedadas apenas no hardware a seguir, você pode anexar um filtro de firewall independente de protocolo (family any) e um filtro de firewall específico de protocolo (family inet ou family inet6) simultaneamente. O firewall independente de protocolo executa primeiro.

  • Roteadores Metro Universais da Série ACX

  • Concentradores PIC flexíveis (FPCs) em roteadores de borda multisserviço M7i e M10i

  • Placas de interface modulares (MICs) e concentradores modulares de portas (MPCs) em plataformas de roteamento universal 5G da Série MX

  • Roteadores de núcleo da Série T

Nota:

As interfaces hospedadas no seguinte hardware não oferecem suporte a filtros de firewall independentes de protocolo:

  • Placas de mecanismo de encaminhamento (FEBs) em roteadores M120

  • FPCs III aprimorados em roteadores M320

  • Módulos FPC2 e FPC3 em roteadores da Série MX

  • Concentradores de portas densas (DPCs) em roteadores da Série MX

  • Roteadores de transporte de pacotes da série PTX

Hierarquia de declarações para a aplicação de filtros de firewall

Para aplicar um filtro de firewall padrão a uma interface lógica, configure a filter declaração para a interface lógica definida sob o [edit] nível ou [edit logical-systems logical-system-name] hierarquia. De acordo com a filter declaração, você pode incluir uma ou mais das seguintes declarações: group group-number, input filter-nameinput-list filter-nameoutput filter-nameououtput-list filter-name. O nível de hierarquia em que você anexa a filter declaração depende do tipo de filtro e do tipo de dispositivo que você está configurando.

Filtros de firewall independentes de protocolo em roteadores da Série MX

Para aplicar um filtro de firewall independente de protocolo a uma interface lógica em um roteador da Série MX, configure a filter declaração diretamente sob a unidade lógica:

Todos os outros filtros de firewall em interfaces lógicas

Para aplicar um filtro de firewall padrão a uma interface lógica para todos os casos que não sejam um filtro independente de protocolo em um roteador da Série MX, configure a filter declaração sob a família de protocolo:

Restrições à aplicação de filtros de firewall

Número de filtros de entrada e saída por interface lógica

Input filters— Embora você possa usar o mesmo filtro várias vezes, você pode aplicar apenas um filtro de entrada ou uma lista de filtro de entrada em uma interface.

  • Para especificar um único filtro de firewall a ser usado para avaliar os pacotes recebidos na interface, inclua a input filter-name declaração na filter estrofe.

  • Para especificar uma lista ordenada de filtros de firewall a serem usados para avaliar os pacotes recebidos na interface, inclua a input-list [ filter-names ] declaração na filter estrofe. Você pode especificar até 16 filtros de firewall para a lista de entrada do filtro.

Output filters— Embora você possa usar o mesmo filtro várias vezes, você pode aplicar apenas um filtro de saída ou uma lista de filtro de saída em uma interface.

  • Para especificar um único filtro de firewall a ser usado para avaliar pacotes transmitidos na interface, inclua a output filter-name declaração na filter estrofe.

  • Para especificar uma lista ordenada de filtros de firewall a serem usados para avaliar pacotes transmitidos na interface, inclua a output-list [ filter-names ] declaração na filter estrofe. Você pode especificar até 16 filtros de firewall em uma lista de saída de filtro.

Filtros de firewall DE MPLS e CCC de camada 2 em listas

As input-list filter-names declarações e output-list filter-names as declarações para filtros de firewall para as ccc famílias de mpls protocolo são suportadas em todas as interfaces, com exceção das seguintes:

  • Interfaces de gerenciamento e interfaces internas de Ethernet (fxp ou em0)

  • Interfaces de loopback (lo0)

  • Interfaces de modem USB (umd)

Filtros de firewall de CCC de Camada 2 em roteadores da Série MX e switches da Série EX

Somente em roteadores da Série MX e switches da Série EX, você não pode aplicar um filtro de firewall stateless de Camada 2 CCC (um filtro de firewall configurado no nível de [edit firewall filter family ccc] hierarquia) como um filtro de saída. Em roteadores da Série MX e switches da Série EX, os filtros de firewall configurados para a family ccc declaração só podem ser aplicados como filtros de entrada.

Filtros de firewall IPv6 em roteadores de transporte de pacotes da Série PTX

Em roteadores de PTX10001-20C, você não pode aplicar filtros de firewall IPv6 para:

  • Interfaces de túnel

  • Interfaces do IRB

  • Interfaces de saída

  • Filtros específicos da interface, configurados no nível de [edit firewall family inet6 filter filter-name] hierarquia.

  • Policiais de trânsito

  • Interface de telemetria Junos

Tópicos relacionados