Diretrizes para configurar filtros de firewall
Este tópico abrange as seguintes informações:
Hierarquia de declarações para configurar filtros de firewall
Para configurar um filtro de firewall padrão, você pode incluir as seguintes declarações. Para um filtro de firewall padrão IPv4, a family inet
declaração é opcional. Para um filtro de firewall padrão IPv6, a family inet6
declaração é obrigatória.
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Você pode incluir a configuração do firewall em um dos seguintes níveis de hierarquia:
-
[edit]
-
[edit logical-systems logical-system-name]
Para filtragem de firewall stateless, você deve permitir o tráfego do túnel de saída através do filtro de firewall aplicado ao tráfego de entrada na interface que é a interface next-hop em direção ao destino do túnel. O filtro de firewall afeta apenas os pacotes que saem do roteador (ou switch) por meio do túnel.
Nas plataformas ACX7100, os filtros de firewall VPLS estão configurados em family
ethernet-switching
baixo e não em baixo family
VPLS
. Os filtros de gerenciamento estão configurados na família inet
ou inet6
na sintaxe desta forma:
set interfaces re0:mgmt-0 unit logical-unit-number family family-name
filter input filter-name.
Famílias de protocolo de filtro de firewall
Uma configuração de filtro de firewall é específica para uma família de protocolo específica. De acordo com a firewall
declaração, inclua uma das seguintes declarações para especificar a família de protocolo para a qual você deseja filtrar o tráfego:
family any
— Filtrar tráfego independente de protocolo.family inet
— Filtrar o tráfego da versão 4 do Protocolo de Internet (IPv4).family inet6
— Filtrar o tráfego da versão 6 do Protocolo de Internet (IPv6).family mpls
— Filtrar o tráfego MPLS.family vpls
— Filtrar o tráfego de serviço de LAN privada virtual (VPLS).family ccc
— Filtrar o tráfego de conexão cruzada (CCC) de circuito de Camada 2.family bridge
— Filtrar o tráfego de ponte de Camada 2 apenas para roteadores de borda universais 3D da Série MX.family ethernet-switching
— Filtrar o tráfego de Camada 2 (Ethernet).
A family family-name
declaração é necessária apenas para especificar uma família de protocolo diferente do IPv4. Para configurar um filtro de firewall IPv4, você pode configurar o filtro no nível de [edit firewall]
hierarquia sem incluir a family inet
declaração, porque os níveis de [edit firewall]
hierarquia são [edit firewall family inet]
equivalentes.
Para o filtro da família bridge, os ip-protocol critérios de correspondência são suportados apenas para IPv4 e não para IPv6. Isso é aplicável para placas de linha que oferecem suporte ao chipset Junos Trio, como as placas de linha MX 3D MPC.
Nomes e opções de filtro de firewall
De acordo com a family family-name
declaração, você pode incluir filter filter-name
declarações para criar e nomear filtros de firewall. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
No nível da [edit firewall family family-name filter filter-name]
hierarquia, as seguintes declarações são opcionais:
accounting-profile
instance-shared
(Roteadores da Série MX somente com Concentradores modulares de portas (MPCS)interface-specific
physical-interface-filter
Termos do filtro de firewall
De acordo com a filter filter-name
declaração, você pode incluir term term-name
declarações para criar e filtrar nomes.
Você deve configurar pelo menos um termo em um filtro de firewall.
Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
A ordem na qual você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de
insert
modo de configuração para reordenar os termos de um filtro de firewall.
No nível de [edit firewall family family-name filter filter-name term term-name]
hierarquia, a filter filter-name
declaração não é válida no mesmo termo que from
ou then
declarações. Quando incluída neste nível de hierarquia, a filter filter-name
declaração é usada para aninhar filtros de firewall.
Condições de correspondência do filtro de firewall
As condições de correspondência do filtro de firewall são específicas para o tipo de tráfego que está sendo filtrado.
Com exceção do tráfego IPv4 ou IPv6 marcado por MPLS, você especifica as condições de correspondência do termo sob a from
declaração. Para o tráfego IPv4 marcado pelo MPLS, você especifica as condições de correspondência específicas do endereço IPv4 sob a ip-version ipv4
declaração e as condições de correspondência específicas da porta IPv4 sob a protocol (tcp | udp)
declaração.
Para o tráfego IPv6 marcado pelo MPLS, você especifica as condições de correspondência específicas do endereço IPv6 sob a ip-version ipv6
declaração e as condições de correspondência específicas da porta IPv6 sob a protocol (tcp | udp)
declaração.
Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall.
Tipo de tráfego |
Nível de hierarquia em que as condições de correspondência são especificadas |
---|---|
Independente de protocolo |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego independente de protocolo. |
IPv4 |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego IPv4. |
IPv6 |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego IPv6. |
MPLS |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego MPLS. |
Endereços IPv4 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS. |
Portas IPv4 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS. |
Endereços IPv6 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS. |
Portas IPv6 em fluxos MPLS |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS. |
VPLS |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego VPLS. |
CCC de Camada 2 |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego CCC de Camada 2. |
Ponte de Camada 2 (Somente roteadores da Série MX e switches da Série EX) |
Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego de ponte de Camada 2. |
Se você especificar um endereço IPv6 em uma condição de correspondência (as , ou condições de correspondência), use a sintaxe para representações de texto descritas no RFC 4291, arquitetura de endereçamento IP Versão 6.source-address
destination-address
address
Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 suportados.
Ações de filtro de firewall
De acordo com a then
declaração de um termo de filtro de firewall, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.
Tabela 2 resume os tipos de ações que você pode especificar em um termo de filtro de firewall.
Tipo de ação |
Descrição |
Comentário |
---|---|---|
Terminação |
Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador (ou switch) executa a ação especificada e nenhum termo adicional é usado para examinar o pacote. Você pode especificar apenas uma ação de encerramento em um termo de filtro de firewall. Se você tentar especificar mais de uma ação de encerramento dentro do termo filtro, a ação de encerramento mais recente substituirá a ação de terminação existente. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar |
|
Semterminação |
Executa outras funções em um pacote (como incrementar um contador, registrar informações sobre o cabeçalho do pacote, amostrar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote. |
Todas as ações não intermináveis incluem uma ação implícita de aceitação. Essa ação aceita é realizada se nenhuma outra ação de encerramento for configurada no mesmo termo. |
Controle de fluxo |
Apenas para filtros de firewall padrão, a ação Por exemplo, quando você configura um termo com a ação |
Você não pode configurar a ação Um máximo de 1024 Nota:
No Junos OS Evolved, |