Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diretrizes para configurar filtros de firewall

Este tópico abrange as seguintes informações:

Hierarquia de declarações para configurar filtros de firewall

Para configurar um filtro de firewall padrão, você pode incluir as seguintes declarações. Para um filtro de firewall padrão IPv4, a family inet declaração é opcional. Para um filtro de firewall padrão IPv6, a family inet6 declaração é obrigatória.

Você pode incluir a configuração do firewall em um dos seguintes níveis de hierarquia:

  • [edit]

  • [edit logical-systems logical-system-name]

Nota:

Para filtragem de firewall stateless, você deve permitir o tráfego de túnel de saída através do filtro de firewall aplicado ao tráfego de entrada na interface que é a interface de next-hop em direção ao destino do túnel. O filtro de firewall afeta apenas os pacotes que saem do roteador (ou switch) por meio do túnel.

Famílias de protocolo de filtro de firewall

Uma configuração de filtro de firewall é específica para uma determinada família de protocolos. De acordo com a firewall declaração, inclua uma das seguintes declarações para especificar a família de protocolo para a qual você deseja filtrar o tráfego:

  • family any— Filtrar o tráfego independente do protocolo.

  • family inet— Filtrar o tráfego da versão 4 do Protocolo de Internet (IPv4).

  • family inet6— Filtrar o tráfego da versão 6 do Protocolo de Internet (IPv6).

  • family mpls— filtrar o tráfego MPLS.

  • family vpls— Filtrar o tráfego de serviços de LAN privadas virtuais (VPLS).

  • family ccc— Filtrar o tráfego de conexão cruzada (CCC) de circuito de Camada 2.

  • family bridge— Filtrar o tráfego de ponte de Camada 2 apenas para roteadores de borda universais 3D da Série MX.

  • family ethernet-switching— Filtrar o tráfego de Camada 2 (Ethernet).

A family family-name declaração é necessária apenas para especificar uma família de protocolo diferente do IPv4. Para configurar um filtro de firewall IPv4, você pode configurar o filtro no nível de [edit firewall] hierarquia sem incluir a family inet declaração, porque os níveis de [edit firewall] hierarquia são [edit firewall family inet] equivalentes.

Nota:

Para o filtro da família bridge, os critérios de correspondência de protocolo ip são compatíveis apenas com IPv4 e não para IPv6. Isso é aplicável para placas de linha que oferecem suporte ao chipset Junos Trio, como as placas de linha MX 3D MPC.

Nomes e opções de filtro de firewall

family family-name Na declaração, você pode incluir filter filter-name declarações para criar e nomear filtros de firewall. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

No nível de [edit firewall family family-name filter filter-name] hierarquia, as seguintes declarações são opcionais:

  • accounting-profile

  • instance-shared (Roteadores da Série MX apenas com Concentradores modulares de portas (MPCS)

  • interface-specific

  • physical-interface-filter

Termos do filtro de firewall

De acordo com a filter filter-name declaração, você pode incluir term term-name declarações para criar e filtrar nomes.

  • Você deve configurar pelo menos um termo em um filtro de firewall.

  • Você deve especificar um nome único para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

  • A ordem na qual você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de insert modo de configuração para reordenar os termos de um filtro de firewall.

No nível de [edit firewall family family-name filter filter-name term term-name] hierarquia, a filter filter-name declaração não é válida no mesmo termo que from ou then declarações. Quando incluída neste nível de hierarquia, a filter filter-name declaração é usada para aninhar filtros de firewall.

Condições de correspondência do filtro de firewall

As condições de correspondência do filtro de firewall são específicas do tipo de tráfego que está sendo filtrado.

Com exceção do tráfego IPv4 ou IPv6 marcado por MPLS, você especifica as condições de correspondência do termo sob a from declaração. Para o tráfego IPv4 marcado por MPLS, você especifica as condições de correspondência específicas do endereço IPv4 sob a ip-version ipv4 declaração e as condições de correspondência específicas da porta IPv4 sob a protocol (tcp | udp) declaração.

Para tráfego IPv6 marcado por MPLS, você especifica as condições de correspondência específicas do endereço IPv6 sob a ip-version ipv6 declaração e as condições de correspondência específicas da porta IPv6 sob a protocol (tcp | udp) declaração.

Tabela 1 descreve os tipos de tráfego para os quais você pode configurar filtros de firewall.

Tabela 1: Condições de correspondência do filtro de firewall por família de protocolo

Tipo de tráfego

Nível de hierarquia em que as condições de correspondência são especificadas

Independente de protocolo

[edit firewall family any filter filter-name term term-name]

Para a lista completa das condições de correspondência, consulte as condições de correspondência do filtro de firewall para tráfego independente de protocolos.

IPv4

[edit firewall family inet filter filter-name term term-name]

Para a lista completa das condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego IPv4.

IPv6

[edit firewall family inet6 filter filter-name term term-name]

Para a lista completa de condições de correspondência, consulte as condições de correspondência do filtro de firewall para tráfego IPv6.

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para a lista completa das condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego MPLS.

Endereços IPv4 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

Para a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.

Portas IPv4 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

Para a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.

Endereços IPv6 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

Para a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.

Portas IPv6 em fluxos MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

Para a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para o tráfego IPv4 ou IPv6 marcado por MPLS.

VPLS

[edit firewall family vpls filter filter-name term term-name]

Para a lista completa das condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego VPLS.

CCC de Camada 2

[edit firewall family ccc filter filter-name term term-name]

Para a lista completa das condições de correspondência, consulte as condições de correspondência do filtro de firewall para o tráfego de CCC de Camada 2.

Ponte de Camada 2

(Somente roteadores da Série MX e switches da Série EX)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (apenas para switches da Série EX)

Para a lista completa de condições de correspondência, consulte condições de correspondência do filtro de firewall para tráfego de ponte de Camada 2.

Se você especificar um endereço IPv6 em uma condição de correspondência (as, ou condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, arquitetura de endereçamento IP Versão 6.source-addressdestination-addressaddress Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 compatíveis.

Ações de filtro de firewall

De acordo com a then declaração de um termo de filtro de firewall, você pode especificar as ações a serem tomadas em um pacote que corresponda ao termo.

Tabela 2 resume os tipos de ações que você pode especificar em um termo de filtro de firewall.

Tabela 2: Categorias de ação do filtro de firewall

Tipo de ação

Descrição

Comentário

Terminação

Interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador (ou switch) executa a ação especificada, e nenhum termo adicional é usado para examinar o pacote.

Você só pode especificar uma ação terminante em um termo de filtro de firewall. Você pode, no entanto, especificar uma ação terminante com uma ou mais ações não sufocantes em um único termo. Por exemplo, dentro de um termo, você pode especificar accept com count e syslog. Independentemente do número de termos que contenham ações terminativas, uma vez que o sistema processa uma ação terminante em um prazo, o processamento de todo o filtro de firewall interrompe.

Veja as ações de encerramento do filtro de firewall.

Sem mineração

Executa outras funções em um pacote (como incrementar um contador, registrar informações sobre o cabeçalho do pacote, amostrar os dados do pacote ou enviar informações a um host remoto usando a funcionalidade de log do sistema), mas quaisquer termos adicionais são usados para examinar o pacote.

Todas as ações não intermináveis incluem uma ação implícita de aceitação. Essa ação aceita é realizada se nenhuma outra ação terminante for configurada no mesmo termo.

Veja ações sem geração de filtros de firewall.

Controle de fluxo

Apenas para filtros de firewall padrão, a ação next term direciona o roteador (ou switch) para realizar ações configuradas no pacote e, em vez de encerrar o filtro, use o próximo termo no filtro para avaliar o pacote. Se a ação next term for incluída, o pacote de correspondência é avaliado em relação ao próximo termo no filtro de firewall. Caso contrário, o pacote de correspondência não é avaliado em relação aos termos subsequentes no filtro de firewall.

Por exemplo, quando você configura um termo com a ação countnão sufocante, a ação do termo muda de um implícito discard para um implícito accept. A next term ação força a avaliação contínua do filtro de firewall.

Você não pode configurar a ação next term com uma ação terminante no mesmo termo do filtro. No entanto, você pode configurar a ação do próximo termo com outra ação não sufocante no mesmo termo do filtro.

Um máximo de 1.024 next term ações são suportadas por configuração de filtro de firewall padrão. Se você configurar um filtro de firewall padrão que exceda esse limite, a configuração do candidato resulta em um erro de confirmação.

Nota:

No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.