Configuração de filtros de firewall (procedimento CLI)

• Para um filtro de firewall aplicado a uma porta ou VLAN, especifique o tipo de endereço da família para filtrar pacotes de Camada 2 (Ethernet) e pacotes de Camada 3 (IP), por exemplo:ethernet-switching

• Para um filtro de firewall que é aplicado a uma interface de Camada 3 (roteada):

  • Para filtrar pacotes IPv4, especifique o tipo de endereço da família, por exemplo:inet

  • Para filtrar pacotes IPv6, especifique o tipo de endereço da família, por exemplo:inet6

  Nota:

  Você pode configurar filtros de firewall para tráfego IPv4 e IPv6 na mesma interface de Camada 3.

O nome do filtro pode conter letras, números e hífens (-) e pode ter no máximo 64 caracteres. Cada nome do filtro deve ser único.

O termo nome pode conter letras, números e hífens (-) e pode ter no máximo 64 caracteres.

Um filtro de firewall pode conter um ou mais termos. O nome de cada termo deve ser exclusivo em um filtro.

Nota:

O número máximo de termos permitidos por filtro de firewall para switches da Série EX é:

• 512 para switches EX2200

• 1.436 para switches EX3300

  Nota:

  Nos switches EX3300, se você adicionar e excluir filtros com um grande número de termos (na ordem de 1000 ou mais) na mesma operação de confirmação, nem todos os filtros estão instalados. Você deve adicionar filtros em uma operação de confirmação e excluir filtros em uma operação de confirmação separada.

• 7.168 para switches EX3200 e EX4200

• Nos switches EX4300, a seguir estão o número de termos suportados para tráfego de entrada e saída, para arquivos de firewall configurados em uma porta, VLAN e interface de Camada 3:

  • Para tráfego de entrada:

    • 3.500 termos para filtros de firewall configurados em uma porta

    • 3.500 termos para filtros de firewall configurados em uma VLAN

    • 7.000 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

    • 3.500 termos para arquivos de firewall configurados em interfaces de Camada 3 para tráfego IPv6

  • Para tráfego de saída:

    • 512 termos para filtros de firewall configurados em uma porta

    • 256 termos para filtros de firewall configurados em uma VLAN

    • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

    • 512 termos para arquivos de firewall configurados em interfaces de Camada 3 para tráfego IPv6

  Nota:

  Você só pode configurar esse número máximo de termos quando configura um tipo de filtro de firewall (filtro de firewall de porta, VLAN ou roteador (Camada 3) no switch, e quando o controle de tempestade não estiver habilitado em todas as interfaces do switch.

• 1.200 para switches EX4500 e EX4550

• 1.400 para switches EX6200

• 32.768 para switches EX8200

Se você tentar configurar um filtro de firewall que exceda esses limites, o switch retorna uma mensagem de erro quando você confirma a configuração.

Você pode especificar uma ou mais condições de correspondência em uma única declaração.from Para que a correspondência ocorra, o pacote deve corresponder a todas as condições do termo.

A declaração é opcional, mas se incluída em um termo, a declaração não pode estar vazia.fromfrom Se você omitir a declaração, todos os pacotes serão considerados compatíveis.from

Você pode especificar uma ação e/ou modificadores de ação:

• Para especificar uma ação de filtro, por exemplo, descartar pacotes que correspondam às condições do termo filtro:

  Você pode especificar não mais do que uma ação por termo de filtro.

• Para especificar um modificador de ação, por exemplo, para contar e classificar pacotes em uma classe de encaminhamento:

  Em uma declaração, você pode especificar os seguintes modificadores de ação:then

  • analyzer analyzer-name— Espelhar o tráfego de porta em uma porta de destino ou VLAN específica conectada a um aplicativo de analisador de protocolo. Uma deve ser configurada sob o tipo de endereço da família.analyzerethernet-switching Veja configuração do espelhamento de portas para analisar o tráfego (procedimento CLI).Configuração do espelhamento de portas para analisar o tráfego (procedimento CLI)

  • count counter-name— Conte o número de pacotes que passam por esse termo de filtro.

    Nota:

    Recomendamos que você configure um contador para cada termo em um filtro de firewall, para que possa monitorar o número de pacotes que correspondam às condições especificadas em cada termo do filtro.

  • forwarding-class class— Classifique pacotes em uma aula de encaminhamento.

  • loss-priority priority— Definir a prioridade para soltar um pacote.

  • policer policer-name— Aplicar limitação de taxa ao tráfego.

  • interface interface-name— Encaminhe o tráfego para a interface especificada, ignorando a aparência da comutação.

  • log— Registre as informações de cabeçalho do pacote no mecanismo de roteamento.

Se você omitir a declaração ou não especificar uma ação, serão aceitos pacotes que correspondam a todas as condições da declaração.thenfrom No entanto, você deve sempre configurar explicitamente um modificador de ação e/ou ação na declaração.then Você pode incluir não mais do que uma ação, mas pode usar qualquer combinação de modificadores de ação. Para que uma ação ou modificador de ação entre em vigor, todas as condições da declaração devem corresponder.from

Nota:

O descarte implícito também é aplicável a um filtro de firewall aplicado à interface de loopback. lo0

Nos switches de ethernet EX8200 da Juniper Networks, se uma ação implícita ou explícita for configurada em uma interface de loopback para tráfego IPv4, os pacotes de resolução de próximo salto são aceitos e podem passar pelo switch.discard No entanto, para o tráfego IPv6, você deve configurar explicitamente uma regra para permitir que o próximo salto IPv6 resolva pacotes para passar pelo switch.

• Definir em um termo na configuração.ether-type ipv4

• Definir em um termo na configuração.ip-version ipv4

• Definir ambos e em um termo na configuração.ether-type ipv4ip-version ipv4

• Verifique se nem é especificado em um termo na configuração — por padrão, uma configuração que não contém nem em um termo se aplica ao tráfego IPv4 se não conter ou .ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6

Para os filtros de firewall que são aplicados às portas, o tipo de endereço da família deve ser .ethernet-switching

Para aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma porta:

Nota:

Você não pode aplicar mais do que um filtro de firewall por porta, por direção.

Aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de gerenciamento:

Nota:

Você não pode aplicar mais do que um filtro de firewall por interface de gerenciamento, por direção.

• Aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

  (Nos switches EX4300) Aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

• Para aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

  (Nos switches EX4300) Para aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

Nota:

Você não pode aplicar mais do que um filtro de firewall por VLAN, por direção.

Para os filtros de firewall aplicados às interfaces de Camada 3, o tipo de endereço da família deve ser (para tráfego IPv4) ou (para tráfego IPv6).inetinet6

• Para aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma interface de Camada 3:

• Para aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de Camada 3:

Nota:

Quando você aplica um filtro em uma interface IRB associada a uma determinada VLAN, o filtro é executado em qualquer interface de Camada 3 com um ID VLAN correspondente. Isso porque o filtro é compatível em todas as interfaces de Camada 3 com a tag VLAN correspondente.

Nota:

Você não pode aplicar mais do que um filtro de firewall por interface de Camada 3, por direção.