Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro de firewall sem estado em um grupo de interface

Os filtros de firewall são essenciais para proteger uma rede e simplificar o gerenciamento de rede. No Junos OS, você pode configurar um filtro de firewall sem estado para controlar o trânsito de pacotes de dados pelo sistema e manipular pacotes conforme necessário. Aplicar um filtro de firewall sem estado em um grupo de interface ajuda a filtrar pacotes que transitam por cada interface no grupo de interface. Este exemplo mostra como configurar um filtro de firewall sem estado padrão para combinar pacotes marcados para um determinado grupo de interface.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Quaisquer dois roteadores ou switches da Juniper Networks que estejam conectados física ou logicamente entre si por meio de interfaces pertencentes a uma instância de roteamento

  • Versão do Junos OS 7.4 ou posterior

Visão geral

Você pode aplicar um filtro de firewall sem estado em um grupo de interface para aplicá-lo em todas as interfaces do grupo de interface. Isso ajuda você a gerenciar a filtragem de pacotes em várias interfaces simultaneamente.

Neste exemplo, você configura duas interfaces de roteador ou switch para pertencer ao grupo de interface. Você também configura um filtro de firewall sem estado com três termos. Em termo term1, o filtro corresponde a pacotes que foram marcados como recebidos nesse grupo de interface e contêm uma tag de protocolo ICMP. O filtro conta, registra e rejeita pacotes que correspondam às condições. A termo term2, o filtro corresponde a pacotes que contêm a tag de protocolo ICMP. O filtro conta, registra e aceita todos os pacotes compatíveis com a condição. A termo term3, o filtro conta todos os pacotes de trânsito.

Ao aplicar o filtro de firewall na instância de roteamento, você pode aplicar simultaneamente o mecanismo de filtragem em todas as interfaces do grupo de interface. Para que isso aconteça, todas as interfaces do grupo de interface devem pertencer a uma única instância de roteamento.

Nota:

Quando você aplica um filtro de firewall em uma interface de loopback, a interface filtra todos os pacotes destinados ao Mecanismo de Roteamento.

Figura 1: Configuração de um filtro de firewall sem estado em um grupo de interfaceConfiguração de um filtro de firewall sem estado em um grupo de interface

A configuração rápida da CLI mostra a configuração para todos os dispositivos em Figura 1. O procedimento passo a passo da seção descreve as etapas do Dispositivo R1.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Dispositivo R0

Dispositivo R1

Configure e aplique o filtro de firewall sem estado em um grupo de interface

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o filtro filter_if_group de firewall sem estado em um grupo de interface:

  1. Crie o filtro de firewall sem estado filter_if_group.

  2. Configure as interfaces e atribua duas interfaces ao grupo 1de interface.

  3. Configure o termo term1 para combinar pacotes recebidos em grupo 1 de interface e com o protocolo ICMP.

  4. Configure o termo term1 para contar, registrar e rejeitar todos os pacotes correspondentes.

  5. Configure o termo term2 para combinar pacotes com o protocolo ICMP.

  6. Configure o termo term2 para contar, registrar e aceitar todos os pacotes correspondentes.

  7. Configure o termo term3 para contar todos os pacotes de trânsito.

  8. Aplique o filtro de firewall no grupo de interface do roteador (ou switch) aplicando-o na instância de roteamento.

  9. Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.

Resultados

A partir do modo de configuração, confirme sua configuração emitindo o show interfacese show firewallshow forwarding-options os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando a configuração das interfaces

Propósito

Verifique se as interfaces estão configuradas corretamente.

Ação

Para exibir o estado das interfaces, use o comando do show interfaces terse modo operacional.

Dispositivo R0

Dispositivo R1

Significado

Todas as interfaces dos dispositivos R0 e R1 estão fisicamente conectadas e ativas. O grupo 1 de interface no dispositivo R1 consiste em duas interfaces, ou seja, ge-0/0/0.0 e ge-0/0/2.0.

Verificação da configuração do filtro de firewall sem estado

Propósito

Verifique se as condições de correspondência do filtro de firewall estão configuradas corretamente.

Ação

  • Para exibir os contadores de filtro de firewall, insira o comando do show firewall filter filter_if_group modo operacional.

  • Para exibir o log local de cabeçalhos de pacotes para pacotes avaliados pelo filtro de firewall, insira o comando do show firewall log modo operacional.

  • Para garantir que os filtros de firewall estejam ativos no grupo 1 de interface no dispositivo R1, use o comando de ping <address> modo operacional na CLI do dispositivo R0.

  • Para garantir que o filtro de firewall não seja aplicado em uma interface que não esteja em grupo 1de interface, use o comando de ping <address> modo operacional na CLI do dispositivo R0.

Significado

O filtro de firewall sem estado é aplicado a todas as interfaces do grupo 1de interface. O termo term1 condição de correspondência no filtro de firewall stateless conta, registra e rejeita pacotes que são recebidos ou enviados das interfaces em grupo 1 de interface e com um protocolo ICMP de origem. O termo term2 condição de correspondência corresponde a pacotes marcados com o protocolo ICMP e contagens, logs e aceita esses pacotes. O termo term3 condição de correspondência conta todos os pacotes de trânsito.