Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comparação entre políticas de roteamento e filtros de firewall

Embora as políticas de roteamento e os filtros de firewall compartilhem uma arquitetura, suas finalidades, implementação e configuração são diferentes. Tabela 1 descreve seus propósitos. Tabela 2 compara os detalhes da implementação para políticas de roteamento e filtros de firewall, destacando as semelhanças e diferenças em sua configuração.

Tabela 1: Finalidade das políticas de roteamento e filtros de firewall

Políticas

Fonte

Finalidade da política

Políticas de roteamento

As informações de roteamento são geradas por pares de redes internas.

Controlar o tamanho e o conteúdo das tabelas de roteamento, quais rotas são anunciadas e quais rotas são consideradas as melhores para chegar a vários destinos.

Filtros de firewall

Os pacotes são gerados por dispositivos internos e externos pelos quais ataques hostis podem ser perpetrados.

Para proteger seu roteador e sua rede contra ataques hostis ou de tráfego de entrada excessivos que podem interromper o serviço de rede e controlar quais pacotes são encaminhados de quais interfaces de roteador.

Tabela 2: Diferenças de implementação entre políticas de roteamento e filtros de firewall

Arquitetura de políticas

Implementação de políticas de roteamento

Implementação de filtros de firewall

Pontos de controle

Controle as informações de roteamento colocadas na tabela de roteamento com uma política de roteamento de importação e anunciadas da tabela de roteamento com uma política de roteamento de exportação.

Controle pacotes que são aceitos em uma interface de roteador com um filtro de firewall de entrada e que são encaminhados de uma interface com um filtro de firewall de saída.

Tarefas de configuração:

  • Definir política

  • Aplicar política

Definir uma política que contenha termos, condições de correspondência e ações.

Aplicar uma ou mais políticas de exportação ou importação a um protocolo de roteamento. Você também pode aplicar uma expressão de política, que usa operadores lógicos Boolean com várias políticas de importação ou exportação.

Você também pode aplicar uma ou mais políticas de exportação à tabela de encaminhamento.

Definir uma política que contenha termos, condições de correspondência e ações.

Aplique um filtro de firewall de entrada ou saída em uma interface física ou grupo de interface física para filtrar pacotes de dados recebidos ou encaminhados para uma interface física (em plataformas de roteamento com um circuito integrado específico de aplicativo internet II [ASIC]).

Você também pode aplicar um filtro de firewall de entrada ou saída na interface de loopback da plataforma de roteamento, que é a interface para o Mecanismo de Roteamento (em todas as plataformas de roteamento). Isso permite filtrar pacotes locais recebidos ou encaminhados pelo Mecanismo de Roteamento.

Termos

Configure tantos termos quanto desejado. Definir um nome para cada termo.

Os termos são avaliados na ordem em que você os especifica.

A avaliação de uma política termina após um pacote corresponde aos critérios em um termo e a ação de política definida ou padrão de aceitar ou rejeitar é tomada. A rota não é avaliada em relação a termos subsequentes na mesma política ou políticas subsequentes.

Configure tantos termos quanto desejado. Definir um nome para cada termo.

Os termos são avaliados na ordem em que você os especifica.

A avaliação de um filtro de firewall termina após um pacote corresponde aos critérios em um termo e a ação definida ou padrão é tomada. O pacote não é avaliado em relação aos termos subsequentes no filtro de firewall.

Condições de correspondência

Especifique zero ou mais critérios que uma rota deve corresponder. Você pode especificar critérios com base na origem, destino ou propriedades de uma rota. Você também pode especificar as seguintes condições de correspondência, que exigem mais configuração:

  • Expressão de caminho do sistema autônomo (AS) — uma combinação de números AS e operadores de expressão regulares.

  • Comunidade — um grupo de destinos que compartilham uma propriedade comum.

  • Lista de prefixos — uma lista nomeada de prefixos.

  • Lista de rotas — uma lista de prefixos de destino.

  • Subroutine — uma política de roteamento que é chamada repetidamente de outras políticas de roteamento.

Especifique zero ou mais critérios que um pacote deve combinar. Você deve combinar vários campos no cabeçalho do pacote. Os campos são agrupados nas seguintes categorias:

  • Valores numéricos, como números de porta e protocolo.

  • Valores de prefixo, como origem de IP e prefixos de destino.

  • Valores de campo bit — sejam eles definidos bits específicos nos campos, como opções de IP, bandeiras de protocolo de controle de transmissão (TCP) e campos de fragmentação de IP. Você pode especificar os campos usando operadores lógicos Boolean.

Ações

Especifique uma ação zero ou uma para tomar se uma rota corresponde a todos os critérios. Você pode especificar as seguintes ações:

  • Aceite — Aceite a rota para a tabela de roteamento e propaga-a. Após essa ação ser tomada, a avaliação dos termos e políticas subsequentes termina.

  • Rejeitar — Não aceite a rota para a tabela de roteamento e não a profunda. Após essa ação ser tomada, a avaliação dos termos e políticas subsequentes termina.

Além das ações anteriores, você também pode especificar zero ou mais dos seguintes tipos de ações:

  • Próximo termo — Avalie o próximo termo na política de roteamento.

  • Próxima política — Avalie a próxima política de roteamento.

  • Ações que manipulam características associadas a uma rota conforme o protocolo de roteamento a coloca na tabela de roteamento ou as anunciam na tabela de roteamento.

  • Trace a ação, que registra as correspondências da rota.

Especifique uma ação zero ou uma para tomar se um pacote corresponde a todos os critérios. (Recomendamos que você configure sempre explicitamente uma ação.) Você pode especificar as seguintes ações:

  • Aceite — Aceite um pacote.

  • Descarte — Descarte um pacote silenciosamente, sem enviar uma mensagem de ICMP.

  • Rejeitar — Descarte um pacote e envie uma mensagem inalcançável de destino do ICMP.

  • Instância de roteamento — Especifique uma tabela de roteamento para a qual os pacotes são encaminhados.

  • Próximo termo — Avalie o próximo termo no filtro de firewall.

    Nota:

    No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

Além de zero ou das ações anteriores, você também pode especificar zero ou mais modificadores de ação. Você pode especificar os seguintes modificadores de ação:

  • Contagem — Adicione o pacote a uma contagem total.

  • Classe de encaminhamento — Defina a classe de encaminhamento de pacotes a um valor especificado de 0 a 3.

  • Associação de segurança IPsec — Usada com as condições de correspondência de endereço de origem e destino, especifique uma associação de segurança de IP (IPsec) para o pacote.

  • Log — Armazene as informações de cabeçalho de um pacote no mecanismo de roteamento.

  • Prioridade de perda — Definir a prioridade de perda de pacote (PLP) em um valor especificado, 0 ou 1.

  • Policer — Aplique procedimentos de limitação de taxa ao tráfego.

  • Amostra — Experimente o tráfego de pacotes.

  • Syslog — registre um alerta para o pacote.

Políticas e ações padrão

Se uma rota de entrada ou saída chegar e uma política relacionada à rota não estiver explicitamente configurada, a ação especificada pela política padrão para o protocolo de roteamento associado será tomada.

As seguintes ações padrão existem para políticas de roteamento:

  • Se uma política não especificar uma condição de correspondência, todas as rotas avaliadas em relação à correspondência da política.

  • Se ocorrer uma correspondência, mas a política não especificar uma ação de aceitação, rejeição, próximo prazo ou próxima política, ocorre uma das seguintes:

    • O próximo termo, se presente, é avaliado.

    • Se não houver outros termos, a próxima política será avaliada.

    • Se não houver outras políticas, a ação especificada pela política padrão será tomada.

  • Se uma correspondência não ocorrer com um termo em uma política e termos subsequentes na mesma política existir, o próximo termo será avaliado.

  • Se uma correspondência não ocorrer com quaisquer termos em uma política e políticas subsequentes existirem, a próxima política será avaliada.

  • Se uma correspondência não ocorrer até o final de uma política e nenhuma outra política existir, a ação de aceitação ou rejeição especificada pela política padrão é tomada.

Se um pacote de entrada ou saída chegar em uma interface e um filtro de firewall não estiver configurado para a interface, a política padrão será tomada (o pacote é aceito).

As seguintes ações padrão existem para filtros de firewall:

  • Se um filtro de firewall não especificar uma condição de correspondência, todos os pacotes serão considerados compatíveis.

  • Se ocorrer uma correspondência, mas o filtro de firewall não especificar uma ação, o pacote é aceito.

  • Se uma correspondência ocorrer, a ação definida ou padrão é tomada e a avaliação termina. Os termos subsequentes no filtro de firewall não são avaliados, a menos que a ação next term seja especificada.

    Nota:

    No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.

  • Se uma correspondência não ocorrer com um termo em um filtro de firewall e os termos subsequentes no mesmo filtro existirem, o próximo termo será avaliado.

  • Se uma correspondência não ocorrer até o final de um filtro de firewall, o pacote será descartado.