Diretrizes para a aplicação de filtros de firewall padrão
Aplicação da visão geral dos filtros de firewall
Você pode aplicar um filtro de firewall padrão a uma interface de loopback no roteador ou a uma interface física ou lógica no roteador. Você pode aplicar um filtro de firewall em uma única interface ou a várias interfaces no roteador.Tabela 1 resume o comportamento dos filtros de firewall com base no ponto ao qual você anexa o filtro.
Ponto de anexo de filtro |
Comportamento do filtro |
---|---|
Interface de loopback |
A interface de loopback do roteador é a interface para o Mecanismo de Roteamento e não transporta pacotes de dados. Nota:
|
Interface física ou interface lógica |
Quando você aplica um filtro em uma interface física no roteador ou a uma interface lógica (ou membro de um pacote Ethernet agregado definido na interface), o filtro avalia todos os pacotes de dados que passam por essa interface. |
Múltiplas interfaces |
Você pode usar o mesmo filtro de firewall uma ou mais vezes. Nos roteadores da Série M, com exceção dos roteadores M120 e M320, se você aplicar um filtro de firewall em várias interfaces, o filtro age na soma do tráfego entrando ou saindo dessas interfaces. Nos roteadores da Série T, M120, M320 e Série MX, as interfaces são distribuídas entre vários componentes de encaminhamento de pacotes. Nesses roteadores, você pode configurar filtros de firewall e filtros de serviço que, quando aplicados a várias interfaces, atuam nos fluxos de tráfego individuais que entram ou saem de cada interface, independentemente da soma do tráfego nas várias interfaces. Para obter mais informações, veja a visão geral das instâncias de filtro de firewall específicas da interface.Visão geral das instâncias de filtro de firewall específicas da interface |
Interface única com filtros de firewall independentes de protocolo e específicos de protocolo conectados |
Para interfaces hospedadas apenas no hardware a seguir, você pode anexar um filtro de firewall independente de protocolo () e um filtro de firewall específico de protocolo ( ou ) simultaneamente.
Nota:
As interfaces hospedadas no seguinte hardware não oferecem suporte a filtros de firewall independentes de protocolo:
|
Hierarquia de declarações para a aplicação de filtros de firewall
Para aplicar um filtro de firewall padrão a uma interface lógica, configure a declaração para a interface lógica definida sob o nível ou hierarquia.filter
[edit]
[edit logical-systems logical-system-name]
De acordo com a declaração, você pode incluir uma ou mais das seguintes declarações:filter
, ou.group group-number
input filter-name
input-list filter-name
output filter-name
output-list filter-name
O nível de hierarquia em que você anexa a declaração depende do tipo de filtro e do tipo de dispositivo que você está configurando.filter
- Filtros de firewall independentes de protocolo em roteadores da Série MX
- Todos os outros filtros de firewall em interfaces lógicas
Filtros de firewall independentes de protocolo em roteadores da Série MX
Para aplicar um filtro de firewall independente de protocolo a uma interface lógica em um roteador da Série MX, configure a declaração diretamente sob a unidade lógica:filter
interfaces { interface-name { unit logical-unit-number { filter { group group-number; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } } } }
Todos os outros filtros de firewall em interfaces lógicas
Para aplicar um filtro de firewall padrão a uma interface lógica para todos os casos que não sejam um filtro independente de protocolo em um roteador da Série MX, configure a declaração sob a família de protocolo:filter
interfaces { interface-name { unit logical-unit-number { family family-name { ... filter { group group-number; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } } } } }
Restrições à aplicação de filtros de firewall
- Número de filtros de entrada e saída por interface lógica
- Filtros de firewall DE MPLS e CCC de camada 2 em listas
- Filtros de firewall de CCC de Camada 2 em roteadores da Série MX e switches da Série EX
- Filtros de firewall IPv6 em roteadores de transporte de pacotes da Série PTX
Número de filtros de entrada e saída por interface lógica
Input filters— Embora você possa usar o mesmo filtro várias vezes, você pode aplicar apenas um filtro de entrada ou uma lista de filtro de entrada em uma interface.
Para especificar um único filtro de firewall a ser usado para avaliar os pacotes recebidos na interface, inclua a declaração na estrofe.
input filter-name
filter
Para especificar uma lista ordenada de filtros de firewall a serem usados para avaliar os pacotes recebidos na interface, inclua a declaração na estrofe.
input-list [ filter-names ]
filter
Você pode especificar até 16 filtros de firewall para a lista de entrada do filtro.
Output filters— Embora você possa usar o mesmo filtro várias vezes, você pode aplicar apenas um filtro de saída ou uma lista de filtro de saída em uma interface.
Para especificar um único filtro de firewall a ser usado para avaliar pacotes transmitidos na interface, inclua a declaração na estrofe.
output filter-name
filter
Para especificar uma lista ordenada de filtros de firewall a serem usados para avaliar pacotes transmitidos na interface, inclua a declaração na estrofe.
output-list [ filter-names ]
filter
Você pode especificar até 16 filtros de firewall em uma lista de saída de filtro.
Filtros de firewall DE MPLS e CCC de camada 2 em listas
As declarações e as declarações para filtros de firewall para as famílias de protocolo são suportadas em todas as interfaces, com exceção das seguintes:input-list filter-names
output-list filter-names
ccc
mpls
Interfaces de gerenciamento e interfaces internas de Ethernet ( ou )
fxp
em0
Interfaces de loopback ()
lo0
Interfaces de modem USB ()
umd
Filtros de firewall de CCC de Camada 2 em roteadores da Série MX e switches da Série EX
Somente em roteadores da Série MX e switches da Série EX, você não pode aplicar um filtro de firewall stateless de Camada 2 CCC (um filtro de firewall configurado no nível de hierarquia) como um filtro de saída.[edit firewall filter family ccc]
Em roteadores da Série MX e switches da Série EX, os filtros de firewall configurados para a declaração só podem ser aplicados como filtros de entrada.family ccc
Filtros de firewall IPv6 em roteadores de transporte de pacotes da Série PTX
Em roteadores de PTX10001-20C, você não pode aplicar filtros de firewall IPv6 para:
Interfaces de túnel
Interfaces do IRB
Interfaces de saída
Filtros específicos da interface, configurados no nível de hierarquia.
[edit firewall family inet6 filter filter-name]
Policiais de trânsito
Interface de telemetria Junos