Diretrizes para configurar filtros de firewall

Hierarquia de declarações para configurar filtros de firewall

Para configurar um filtro de firewall padrão, você pode incluir as seguintes declarações. Para um filtro de firewall padrão IPv4, a family inet declaração é opcional. Para um filtro de firewall padrão IPv6, a family inet6 declaração é obrigatória.

Você pode incluir a configuração do firewall em um dos seguintes níveis de hierarquia:

• [edit]

• [edit logical-systems logical-system-name]

Nota:

Para filtragem de firewall stateless, você deve permitir o tráfego do túnel de saída através do filtro de firewall aplicado ao tráfego de entrada na interface que é a interface next-hop em direção ao destino do túnel. O filtro de firewall afeta apenas os pacotes que saem do roteador (ou switch) por meio do túnel.

Nota:

Nas plataformas ACX7100, os filtros de firewall VPLS estão configurados em family ethernet-switching baixo e não em baixo family VPLS. Os filtros de gerenciamento estão configurados na família inet ou inet6 na sintaxe desta forma:

Famílias de protocolo de filtro de firewall

Uma configuração de filtro de firewall é específica para uma família de protocolo específica. De acordo com a firewall declaração, inclua uma das seguintes declarações para especificar a família de protocolo para a qual você deseja filtrar o tráfego:

• family any— Filtrar tráfego independente de protocolo.

• family inet— Filtrar o tráfego da versão 4 do Protocolo de Internet (IPv4).

• family inet6— Filtrar o tráfego da versão 6 do Protocolo de Internet (IPv6).

• family mpls— Filtrar o tráfego MPLS.

• family vpls— Filtrar o tráfego de serviço de LAN privada virtual (VPLS).

• family ccc— Filtrar o tráfego de conexão cruzada (CCC) de circuito de Camada 2.

• family bridge— Filtrar o tráfego de ponte de Camada 2 apenas para roteadores de borda universais 3D da Série MX.

• family ethernet-switching— Filtrar o tráfego de Camada 2 (Ethernet).

A family family-name declaração é necessária apenas para especificar uma família de protocolo diferente do IPv4. Para configurar um filtro de firewall IPv4, você pode configurar o filtro no nível de [edit firewall] hierarquia sem incluir a family inet declaração, porque os níveis de [edit firewall] hierarquia são [edit firewall family inet] equivalentes.

Nota:

Para o filtro da família bridge, os ip-protocol critérios de correspondência são suportados apenas para IPv4 e não para IPv6. Isso é aplicável para placas de linha que oferecem suporte ao chipset Junos Trio, como as placas de linha MX 3D MPC.

Nomes e opções de filtro de firewall

De acordo com a family family-name declaração, você pode incluir filter filter-name declarações para criar e nomear filtros de firewall. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

No nível da [edit firewall family family-name filter filter-name] hierarquia, as seguintes declarações são opcionais:

• accounting-profile

• instance-shared (Roteadores da Série MX somente com Concentradores modulares de portas (MPCS)

• interface-specific

• physical-interface-filter

Termos do filtro de firewall

De acordo com a filter filter-name declaração, você pode incluir term term-name declarações para criar e filtrar nomes.

• Você deve configurar pelo menos um termo em um filtro de firewall.

• Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

• A ordem na qual você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de insert modo de configuração para reordenar os termos de um filtro de firewall.

No nível de [edit firewall family family-name filter filter-name term term-name] hierarquia, a filter filter-name declaração não é válida no mesmo termo que from ou then declarações. Quando incluída neste nível de hierarquia, a filter filter-name declaração é usada para aninhar filtros de firewall.

Condições de correspondência do filtro de firewall

As condições de correspondência do filtro de firewall são específicas para o tipo de tráfego que está sendo filtrado.

Com exceção do tráfego IPv4 ou IPv6 marcado por MPLS, você especifica as condições de correspondência do termo sob a from declaração. Para o tráfego IPv4 marcado pelo MPLS, você especifica as condições de correspondência específicas do endereço IPv4 sob a ip-version ipv4 declaração e as condições de correspondência específicas da porta IPv4 sob a protocol (tcp | udp) declaração.

Para o tráfego IPv6 marcado pelo MPLS, você especifica as condições de correspondência específicas do endereço IPv6 sob a ip-version ipv6 declaração e as condições de correspondência específicas da porta IPv6 sob a protocol (tcp | udp) declaração.

Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall.

Tabela 1: Condições de correspondência do filtro de firewall por família de protocolo

Tipo de tráfego	Nível de hierarquia em que as condições de correspondência são especificadas
Independente de protocolo	[edit firewall family any filter filter-name term term-name] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego independente de protocolo.
IPv4	[edit firewall family inet filter filter-name term term-name] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego IPv4.
IPv6	[edit firewall family inet6 filter filter-name term term-name] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego IPv6.
MPLS	[edit firewall family mpls filter filter-name term term-name] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego MPLS.
Endereços IPv4 em fluxos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.
Portas IPv4 em fluxos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.
Endereços IPv6 em fluxos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.
Portas IPv6 em fluxos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.
VPLS	[edit firewall family vpls filter filter-name term term-name] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego VPLS.
CCC de Camada 2	[edit firewall family ccc filter filter-name term term-name] Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego CCC de Camada 2.
Ponte de Camada 2 (Somente roteadores da Série MX e switches da Série EX)	[edit firewall family bridge filter filter-name term term-name] [edit firewall family ethernet-switching filter filter-name term term-name] (somente para switches da Série EX) Para obter a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego de ponte de Camada 2.

Se você especificar um endereço IPv6 em uma condição de correspondência (as , ou condições de correspondência), use a sintaxe para representações de texto descritas no RFC 4291, arquitetura de endereçamento IP Versão 6.source-addressdestination-addressaddress Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 suportados.

Ações de filtro de firewall

De acordo com a then declaração de um termo de filtro de firewall, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.

Tabela 2 resume os tipos de ações que você pode especificar em um termo de filtro de firewall.

Tabela 2: Categorias de ação do filtro de firewall

Tipo de ação	Descrição	Comentário
Terminação	Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador (ou switch) executa a ação especificada e nenhum termo adicional é usado para examinar o pacote. Você pode especificar apenas uma ação de encerramento em um termo de filtro de firewall. Se você tentar especificar mais de uma ação de encerramento dentro do termo filtro, a ação de encerramento mais recente substituirá a ação de terminação existente. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não terminantes em um único termo. Por exemplo, dentro de um termo, você pode especificar accept com count e syslog. Independentemente do número de termos que contenham ações de encerramento, uma vez que o sistema processa uma ação de encerramento em um prazo, o processamento de todo o filtro de firewall para.	Veja ações de encerramento do filtro de firewall.
Semterminação	Executa outras funções em um pacote (como incrementar um contador, registrar informações sobre o cabeçalho do pacote, amostrar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote.	Todas as ações não intermináveis incluem uma ação implícita de aceitação. Essa ação aceita é realizada se nenhuma outra ação de encerramento for configurada no mesmo termo. Veja ações sem geração de filtros de firewall.
Controle de fluxo	Apenas para filtros de firewall padrão, a ação next term direciona o roteador (ou switch) a realizar ações configuradas no pacote e, em vez de encerrar o filtro, use o próximo termo no filtro para avaliar o pacote. Se a ação next term for incluída, o pacote de correspondência será avaliado em relação ao próximo termo no filtro de firewall. Caso contrário, o pacote de correspondência não é avaliado em relação aos termos subsequentes no filtro de firewall. Por exemplo, quando você configura um termo com a ação countnão sufocante, a ação do termo muda de um implícito para um implícito discardaccept. A next term ação força a avaliação contínua do filtro de firewall.	Você não pode configurar a ação next term com uma ação terminante no mesmo termo do filtro. No entanto, você pode configurar a ação de próximo termo com outra ação não diferente no mesmo termo do filtro. Um máximo de 1024 next term ações são suportadas por configuração padrão de filtro de firewall. Se você configurar um filtro de firewall padrão que excede esse limite, a configuração do seu candidato resulta em um erro de comprometimento. Nota: No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.