Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diretrizes para configurar filtros de firewall

Este tópico abrange as seguintes informações:

Hierarquia de declarações para configurar filtros de firewall

Para configurar um filtro de firewall padrão, você pode incluir as seguintes declarações. Para um filtro de firewall padrão IPv4, a family inet declaração é opcional. Para um filtro de firewall padrão IPv6, a family inet6 declaração é obrigatória.

Você pode incluir a configuração do firewall em um dos seguintes níveis de hierarquia:

  • [edit]

  • [edit logical-systems logical-system-name]

Nota:

Para filtragem de firewall sem estado, você deve permitir o tráfego de túnel de saída através do filtro de firewall aplicado ao tráfego de entrada na interface que é a interface de próximo salto em direção ao destino do túnel. O filtro de firewall afeta apenas os pacotes que saem do roteador (ou switch) por meio do túnel.

Nota:

Em ACX7100 plataformas, os filtros de firewall VPLS estão configurados em family ethernet-switching baixo e não em baixo family VPLS. Os filtros de gerenciamento estão configurados em família inet ou inet6 e a sintaxe é desta forma:

Famílias de protocolo de filtro de firewall

Uma configuração de filtro de firewall é específica para uma determinada família de protocolos. De acordo com a firewall declaração, inclua uma das seguintes declarações para especificar a família de protocolo para a qual você deseja filtrar o tráfego:

  • family any— Filtrar tráfego independente de protocolo.

  • family inet— Filtrar o tráfego da versão 4 do Protocolo de Internet (IPv4).

  • family inet6— Filtrar o tráfego da versão 6 do Protocolo de Internet (IPv6).

  • family mpls— filtrar o tráfego MPLS.

  • family vpls— Filtrar o tráfego de serviços de LAN privada virtual (VPLS).

  • family ccc— Filtrar o tráfego entre conexões entre circuitos (CCC) de circuito de Camada 2.

  • family bridge— Filtrar o tráfego de ponte de Camada 2 apenas para roteadores de borda universais 3D da Série MX.

  • family ethernet-switching— Filtrar o tráfego de Camada 2 (Ethernet).

A family family-name declaração é necessária apenas para especificar uma família de protocolo que não seja o IPv4. Para configurar um filtro de firewall IPv4, você pode configurar o filtro no nível de [edit firewall] hierarquia sem incluir a family inet declaração, porque os níveis de [edit firewall] hierarquia são [edit firewall family inet] equivalentes.

Nota:

Para o filtro da família bridge, os ip-protocol critérios de correspondência são suportados apenas para IPv4 e não para IPv6. Isso é aplicável para placas de linha que oferecem suporte ao chipset Junos Trio, como as placas de linha MX 3D MPC.

Nomes e opções de filtro de firewall

Sob a family family-name declaração, você pode incluir filter filter-name declarações para criar e nomear filtros de firewall. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

No nível de [edit firewall family family-name filter filter-name] hierarquia, as seguintes declarações são opcionais:

  • accounting-profile

  • instance-shared (Roteadores da Série MX apenas com concentradores modulares de portas (MPCS)

  • interface-specific

  • physical-interface-filter

Termos de filtro de firewall

Sob a filter filter-name declaração, você pode incluir term term-name declarações para criar e filtrar nomes.

  • Você deve configurar pelo menos um termo em um filtro de firewall.

  • Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

  • A ordem em que você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de insert modo de configuração para reordenar os termos de um filtro de firewall.

No nível de [edit firewall family family-name filter filter-name term term-name] hierarquia, a filter filter-name declaração não é válida no mesmo termo from que ou then declarações. Quando incluída neste nível de hierarquia, a filter filter-name declaração é usada para aninhar filtros de firewall.

Condições de correspondência do filtro de firewall

As condições de correspondência do filtro de firewall são específicas para o tipo de tráfego que está sendo filtrado.

Com exceção do tráfego IPv4 ou IPv6 com marca MPLS, você especifica as condições de correspondência do termo sob a from declaração. Para tráfego IPv4 com tag MPLS, você especifica as condições de correspondência específicas do endereço IPv4 sob a ip-version ipv4 declaração e as condições de correspondência específicas da porta IPv4 sob a protocol (tcp | udp) declaração.

Para tráfego IPv6 com marca MPLS, você especifica as condições de correspondência específicas do endereço IPv6 sob a ip-version ipv6 declaração e as condições de correspondência específicas da porta IPv6 sob a protocol (tcp | udp) declaração.

Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall.

Tabela 1: Condições de correspondência do filtro de firewall por família de protocolo

Tipo de tráfego

Nível de hierarquia em que as condições de correspondência são especificadas

Independente de protocolo

[edit firewall family any filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego independente de protocolo.

IPv4

[edit firewall family inet filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4.

IPv6

[edit firewall family inet6 filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv6.

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego MPLS.

Endereços IPv4 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS.

Portas IPv4 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS.

Endereços IPv6 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS.

Portas IPv6 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tags MPLS.

VPLS

[edit firewall family vpls filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego VPLS.

CCC de camada 2

[edit firewall family ccc filter filter-name term term-name]

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para o tráfego de CCC de Camada 2.

Pontes de camada 2

(Apenas roteadores da Série MX e switches da Série EX)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (apenas para switches da Série EX)

Para obter a lista completa de condições de correspondência, veja condições de correspondência do filtro de firewall para tráfego de ponte de camada 2.

Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições, destination-addressou source-address condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.

Ações de filtro de firewall

Sob a then declaração de um termo de filtro de firewall, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.

Tabela 2 resume os tipos de ações que você pode especificar em um termo de filtro de firewall.

Tabela 2: Categorias de ação de filtro de firewall

Tipo de ação

Descrição

Comentário

Terminação

Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador (ou switch) realiza a ação especificada, e nenhum termo adicional é usado para examinar o pacote.

Você pode especificar apenas uma ação de terminação em um termo de filtro de firewall. Se você tentar especificar mais de uma ação de terminação dentro do termo filtro, a ação de terminação mais recente substituirá a ação de terminação existente. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar accept com count e syslog. Independentemente do número de termos que contenham ações terminais, uma vez que o sistema processa uma ação terminante dentro de um prazo, o processamento de todo o filtro de firewall para.

Veja ações de terminação do filtro de firewall.

Sem serminante

Executa outras funções em um pacote (como incrementar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote.

Todas as ações não intermináveis incluem uma ação implícita de aceitação. Essa ação de aceitação é realizada se nenhuma outra ação terminante estiver configurada no mesmo termo.

Veja o filtro de firewalls de ações sem geração.

Controle de fluxo

Apenas para filtros de firewall padrão, a ação next term direciona o roteador (ou switch) para realizar ações configuradas no pacote e, em vez de encerrar o filtro, use o próximo termo no filtro para avaliar o pacote. Se a ação next term for incluída, o pacote de correspondência é avaliado em relação ao próximo termo no filtro de firewall. Caso contrário, o pacote correspondente não é avaliado em relação aos termos subsequentes no filtro de firewall.

Por exemplo, quando você configura um termo com a ação countnão sufocante, a ação do termo muda de um implícito para um implícito discardaccept. A next term ação força a avaliação contínua do filtro de firewall.

Você não pode configurar a ação next term com uma ação terminante no mesmo termo do filtro. No entanto, você pode configurar a ação do próximo termo com outra ação não diferente no mesmo termo do filtro.

No máximo 1024 next term ações são suportadas por configuração padrão de filtro de firewall. Se você configurar um filtro de firewall padrão que exceda esse limite, a configuração do seu candidato resultará em um erro de confirmação.

Nota:

No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.