Diretrizes para configurar filtros de firewall
Este tópico abrange as seguintes informações:
Hierarquia de declarações para configurar filtros de firewall
Para configurar um filtro de firewall padrão, você pode incluir as seguintes declarações. Para um filtro de firewall padrão IPv4, a family inet declaração é opcional. Para um filtro de firewall padrão IPv6, a family inet6 declaração é obrigatória.
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Você pode incluir a configuração do firewall em um dos seguintes níveis de hierarquia:
-
[edit] -
[edit logical-systems logical-system-name]
Para filtragem de firewall sem estado, você deve permitir o tráfego de túnel de saída através do filtro de firewall aplicado ao tráfego de entrada na interface que é a interface de próximo salto em direção ao destino do túnel. O filtro de firewall afeta apenas os pacotes que saem do roteador (ou switch) por meio do túnel.
Em ACX7100 plataformas, os filtros de firewall VPLS estão configurados em family ethernet-switching baixo e não em baixo family VPLS. Os filtros de gerenciamento estão configurados em família inet ou inet6 e a sintaxe é desta forma:
set interfaces re0:mgmt-0 unit logical-unit-number family family-name filter input filter-name.Famílias de protocolo de filtro de firewall
Uma configuração de filtro de firewall é específica para uma determinada família de protocolos. De acordo com a firewall declaração, inclua uma das seguintes declarações para especificar a família de protocolo para a qual você deseja filtrar o tráfego:
family any— Filtrar tráfego independente de protocolo.family inet— Filtrar o tráfego da versão 4 do Protocolo de Internet (IPv4).family inet6— Filtrar o tráfego da versão 6 do Protocolo de Internet (IPv6).family mpls— filtrar o tráfego MPLS.family vpls— Filtrar o tráfego de serviços de LAN privada virtual (VPLS).family ccc— Filtrar o tráfego entre conexões entre circuitos (CCC) de circuito de Camada 2.family bridge— Filtrar o tráfego de ponte de Camada 2 apenas para roteadores de borda universais 3D da Série MX.family ethernet-switching— Filtrar o tráfego de Camada 2 (Ethernet).
A family family-name declaração é necessária apenas para especificar uma família de protocolo que não seja o IPv4. Para configurar um filtro de firewall IPv4, você pode configurar o filtro no nível de [edit firewall] hierarquia sem incluir a family inet declaração, porque os níveis de [edit firewall] hierarquia são [edit firewall family inet] equivalentes.
Para o filtro da família bridge, os ip-protocol critérios de correspondência são suportados apenas para IPv4 e não para IPv6. Isso é aplicável para placas de linha que oferecem suporte ao chipset Junos Trio, como as placas de linha MX 3D MPC.
Nomes e opções de filtro de firewall
Sob a family family-name declaração, você pode incluir filter filter-name declarações para criar e nomear filtros de firewall. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
No nível de [edit firewall family family-name filter filter-name] hierarquia, as seguintes declarações são opcionais:
accounting-profileinstance-shared(Roteadores da Série MX apenas com concentradores modulares de portas (MPCS)interface-specificphysical-interface-filter
Termos de filtro de firewall
Sob a filter filter-name declaração, você pode incluir term term-name declarações para criar e filtrar nomes.
Você deve configurar pelo menos um termo em um filtro de firewall.
Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
A ordem em que você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de
insertmodo de configuração para reordenar os termos de um filtro de firewall.
No nível de [edit firewall family family-name filter filter-name term term-name] hierarquia, a filter filter-name declaração não é válida no mesmo termo from que ou then declarações. Quando incluída neste nível de hierarquia, a filter filter-name declaração é usada para aninhar filtros de firewall.
Condições de correspondência do filtro de firewall
As condições de correspondência do filtro de firewall são específicas para o tipo de tráfego que está sendo filtrado.
Com exceção do tráfego IPv4 ou IPv6 com marca MPLS, você especifica as condições de correspondência do termo sob a from declaração. Para tráfego IPv4 com tag MPLS, você especifica as condições de correspondência específicas do endereço IPv4 sob a ip-version ipv4 declaração e as condições de correspondência específicas da porta IPv4 sob a protocol (tcp | udp) declaração.
Para tráfego IPv6 com marca MPLS, você especifica as condições de correspondência específicas do endereço IPv6 sob a ip-version ipv6 declaração e as condições de correspondência específicas da porta IPv6 sob a protocol (tcp | udp) declaração.
Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall.
Tipo de tráfego |
Nível de hierarquia em que as condições de correspondência são especificadas |
|---|---|
Independente de protocolo |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego independente de protocolo. |
IPv4 |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4. |
IPv6 |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv6. |
MPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego MPLS. |
Endereços IPv4 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS. |
Portas IPv4 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS. |
Endereços IPv6 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS. |
Portas IPv6 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS. |
VPLS |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego VPLS. |
CCC de camada 2 |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para o tráfego de CCC de Camada 2. |
Pontes de camada 2 (Apenas roteadores da Série MX e switches da Série EX) |
Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego de ponte de camada 2. |
Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições, destination-addressou source-address condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.
Ações de filtro de firewall
Sob a then declaração de um termo de filtro de firewall, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.
Tabela 2 resume os tipos de ações que você pode especificar em um termo de filtro de firewall.
Tipo de ação |
Descrição |
Comentário |
|---|---|---|
Terminação |
Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador (ou switch) realiza a ação especificada, e nenhum termo adicional é usado para examinar o pacote. Você pode especificar apenas uma ação de terminação em um termo de filtro de firewall. Se você tentar especificar mais de uma ação de terminação dentro do termo filtro, a ação de terminação mais recente substituirá a ação de terminação existente. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar |
|
Sem serminante |
Executa outras funções em um pacote (como incrementar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote. |
Todas as ações não intermináveis incluem uma ação implícita de aceitação. Essa ação de aceitação é realizada se nenhuma outra ação terminante estiver configurada no mesmo termo. |
Controle de fluxo |
Apenas para filtros de firewall padrão, a ação Por exemplo, quando você configura um termo com a ação |
Você não pode configurar a ação No máximo 1024 Nota:
No Junos OS Evolved, |