Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall (procedimento CLI)

Você configura filtros de firewall em switches da Série EX para controlar o tráfego que entra em portas no switch ou entra e sai de VLANs nas interfaces de rede e Camada 3 (roteada). Para configurar um filtro de firewall, você deve configurar o filtro e depois aplicá-lo a uma porta, VLAN ou interface de Camada 3.

Configuração de um filtro de firewall

Antes de aplicar um filtro de firewall a uma porta, VLAN ou interface de Camada 3, você deve configurar um filtro de firewall com os detalhes necessários, como tipo de família para o filtro de firewall, nome do filtro de firewall e condições de correspondência. Uma condição de correspondência na configuração do filtro de firewall pode conter vários termos que definem os critérios para a condição da correspondência. Para cada termo, você deve especificar uma ação a ser realizada se um pacote corresponde às condições do termo. Para obter informações sobre diferentes condições e ações de correspondência, veja condições, ações e modificadores de ação do filtro de firewall para switches da Série EX.

Para configurar um filtro de firewall:

  1. Configure o tipo de endereço da família para o filtro de firewall:
    • Para um filtro de firewall aplicado a uma porta ou VLAN, especifique o tipo ethernet-switching de endereço da família para filtrar pacotes de Camada 2 (Ethernet) e pacotes de Camada 3 (IP), por exemplo:

    • Para um filtro de firewall que é aplicado a uma interface de Camada 3 (roteada):

      • Para filtrar pacotes IPv4, especifique o tipo inetde endereço da família, por exemplo:

      • Para filtrar pacotes IPv6, especifique o tipo inet6de endereço da família, por exemplo:

      Nota:

      Você pode configurar filtros de firewall para tráfego IPv4 e IPv6 na mesma interface de Camada 3.

  2. Especifique o nome do filtro:

    O nome do filtro pode conter letras, números e hífens (-) e pode ter no máximo 64 caracteres. Cada nome do filtro deve ser único.

  3. Se você quiser aplicar um filtro de firewall em várias interfaces e nomear contadores de firewall individuais específicos para cada interface, configure a opção interface-specific :
  4. Especifique um nome de termo:

    O termo nome pode conter letras, números e hífens (-) e pode ter no máximo 64 caracteres.

    Um filtro de firewall pode conter um ou mais termos. O nome de cada termo deve ser exclusivo em um filtro.

    Nota:

    O número máximo de termos permitidos por filtro de firewall para switches da Série EX é:

    • 512 para switches EX2200

    • 1.436 para switches EX3300

      Nota:

      Nos switches EX3300, se você adicionar e excluir filtros com um grande número de termos (na ordem de 1000 ou mais) na mesma operação de confirmação, nem todos os filtros estão instalados. Você deve adicionar filtros em uma operação de confirmação e excluir filtros em uma operação de confirmação separada.

    • 7.168 para switches EX3200 e EX4200

    • Nos switches EX4300, a seguir estão o número de termos suportados para tráfego de entrada e saída, para arquivos de firewall configurados em uma porta, VLAN e interface de Camada 3:

      • Para tráfego de entrada:

        • 3.500 termos para filtros de firewall configurados em uma porta

        • 3.500 termos para filtros de firewall configurados em uma VLAN

        • 7.000 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

        • 3.500 termos para arquivos de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      • Para tráfego de saída:

        • 512 termos para filtros de firewall configurados em uma porta

        • 256 termos para filtros de firewall configurados em uma VLAN

        • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

        • 512 termos para arquivos de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      Nota:

      Você só pode configurar esse número máximo de termos quando configura um tipo de filtro de firewall (filtro de firewall de porta, VLAN ou roteador (Camada 3) no switch, e quando o controle de tempestade não estiver habilitado em todas as interfaces do switch.

    • 1.200 para switches EX4500 e EX4550

    • 1.400 para switches EX6200

    • 32.768 para switches EX8200

    Se você tentar configurar um filtro de firewall que exceda esses limites, o switch retorna uma mensagem de erro quando você confirma a configuração.

  5. Para cada termo de filtro de firewall, especifique a(s) condição(s) de correspondência que você deseja incluir. O exemplo abaixo mostra como combinar pacotes de um determinado endereço IP e porta:

    Você pode especificar uma ou mais condições de correspondência em uma única from declaração. Para que a correspondência ocorra, o pacote deve corresponder a todas as condições do termo.

    A from declaração é opcional, mas se incluída em um termo, a from declaração não pode estar vazia. Se você omitir a from declaração, todos os pacotes serão considerados compatíveis.

  6. Para cada termo de filtro de firewall, especifique a ação a ser tomada se o pacote corresponde a todas as condições nesse termo.

    Você pode especificar uma ação e/ou modificadores de ação:

    • Para especificar uma ação de filtro, por exemplo, descartar pacotes que correspondam às condições do termo filtro:

      Você pode especificar não mais do que uma ação por termo de filtro.

    • Para especificar um modificador de ação, por exemplo, para contar e classificar pacotes em uma classe de encaminhamento:

      Em uma then declaração, você pode especificar os seguintes modificadores de ação:

      • analyzer analyzer-name— Espelhar o tráfego de porta em uma porta de destino ou VLAN específica conectada a um aplicativo de analisador de protocolo. Uma analyzer deve ser configurada sob o tipo de endereço da ethernet-switching família. Veja configuração do espelhamento de portas para analisar o tráfego (procedimento CLI).

      • count counter-name— Conte o número de pacotes que passam por esse termo de filtro.

        Nota:

        Recomendamos que você configure um contador para cada termo em um filtro de firewall, para que possa monitorar o número de pacotes que correspondam às condições especificadas em cada termo do filtro.

      • forwarding-class class— Classifique pacotes em uma aula de encaminhamento.

      • loss-priority priority— Definir a prioridade para soltar um pacote.

      • policer policer-name— Aplicar limitação de taxa ao tráfego.

      • interface interface-name— Encaminhe o tráfego para a interface especificada, ignorando a aparência da comutação.

      • log— Registre as informações de cabeçalho do pacote no mecanismo de roteamento.

    Se você omitir a then declaração ou não especificar uma ação, serão aceitos pacotes que correspondam a todas as condições da from declaração. No entanto, você deve sempre configurar explicitamente um modificador de ação e/ou ação na then declaração. Você pode incluir não mais do que uma ação, mas pode usar qualquer combinação de modificadores de ação. Para que uma ação ou modificador de ação entre em vigor, todas as condições da from declaração devem corresponder.

    Nota:

    O descarte implícito também é aplicável a um filtro de firewall aplicado à interface de loopback. lo0

    Nos switches de ethernet EX8200 da Juniper Networks, se uma ação implícita ou explícita discard for configurada em uma interface de loopback para tráfego IPv4, os pacotes de resolução de próximo salto são aceitos e podem passar pelo switch. No entanto, para o tráfego IPv6, você deve configurar explicitamente uma regra para permitir que o próximo salto IPv6 resolva pacotes para passar pelo switch.

Configurando um termo especificamente para tráfego IPv4 ou IPv6

Para configurar um termo em uma configuração de filtro de firewall especificamente para tráfego IPv4:

  1. Verifique se nem ether-type ipv6 nem ip-version ipv6 está especificado no termo na configuração. Por padrão, uma configuração que não contém nem ether-type ipv6ip-version ipv6 em um termo se aplica ao tráfego IPv4.
  2. (Opcional) Realize uma dessas tarefas:
    • Definir ether-type ipv4 em um termo na configuração.

    • Definir ip-version ipv4 em um termo na configuração.

    • Definir ambos ether-type ipv4 e ip-version ipv4 em um termo na configuração.

    • Verifique se nem ether-type ipv6ip-version ipv6 é especificado em um termo na configuração — por padrão, uma configuração que não contém nem ether-type ipv6ip-version ipv6 em um termo se aplica ao tráfego IPv4 se não conter ether-type ipv6 ou ip-version ipv6.

  3. Certifique-se de que outras condições de correspondência no termo são válidas para o tráfego IPv4.

Para configurar um termo em uma configuração de filtro de firewall especificamente para tráfego IPv6:

  1. Realize uma dessas tarefas:

    • Definir ether-type ipv6 em um termo na configuração.

    • Definir ip-version ipv6 em um termo na configuração.

    • Definir ambos ether-type ipv6 e ip-version ipv4 em um termo na configuração.

      Nota:

      Por padrão, uma configuração que não contém nem ether-type ipv6ip-version ipv6 em um termo se aplica ao tráfego IPv4.

  2. Certifique-se de que outras condições de correspondência no termo são válidas para o tráfego IPv6.

Nota:

Se o termo contém qualquer uma das condições ether-type ipv6 de correspondência ou ip-version ipv6, sem nenhuma outra condição de correspondência IPv6 especificada, todo o tráfego IPv6 é compatível.

Nota:

Para configurar um filtro de firewall para tráfego IPv4 e IPv6, você deve incluir dois termos separados, um para tráfego IPv4 e outro para tráfego IPv6.

Aplicar um filtro de firewall em uma porta em um switch

Você pode aplicar um filtro de firewall em uma porta em um switch para filtrar o tráfego de entrada ou saída no switch. Ao configurar o filtro de firewall, você pode especificar qualquer condição de correspondência, ação e modificadores de ação especificados em condições, ações e modificadores de ação do filtro de firewall para switches da Série EX. A ação especificada na condição de correspondência indica a ação para os pacotes combinados no tráfego de entrada ou saída.

Aplicar um filtro de firewall em uma porta para filtrar o tráfego de entrada ou saída:

Nota:

Para aplicar um filtro de firewall em uma interface de gerenciamento, veja Aplicar um filtro de firewall em uma interface de gerenciamento em um switch

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Desde que a descrição seja opcional.

  2. Especifique o número da unidade e o tipo de endereço familiar para a interface:

    Para os filtros de firewall que são aplicados às portas, o tipo de endereço da família deve ser ethernet-switching.

  3. Para aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma porta:

    Para aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma porta:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por porta, por direção.

Aplicar um filtro de firewall em uma interface de gerenciamento em um switch

Você pode configurar e aplicar um filtro de firewall em uma interface de gerenciamento para controlar o tráfego que está entrando ou saindo da interface em um switch. Você pode usar serviços públicos como SSH ou Telnet para se conectar à interface de gerenciamento na rede e, em seguida, usar protocolos de gerenciamento, como o SNMP, para coletar dados estatísticos do switch. Semelhante à configuração de um filtro de firewall em outros tipos de interfaces, você pode configurar um filtro de firewall em uma interface de gerenciamento usando qualquer condição de correspondência, ação e modificador de ação especificado em condições de jogo do filtro de firewall, ações e modificadores de ação para switches da Série EX, exceto para os seguintes modificadores de ação:

  • loss-priority

  • forwarding-class

Você pode aplicar um filtro de firewall na interface Ethernet de gerenciamento em qualquer switch da Série EX. Você também pode aplicar um filtro de firewall na interface Ethernet de gerenciamento virtual (VME) no switch EX4200. Para obter mais informações sobre a interface Ethernet de gerenciamento e a interface VME, veja a visão geral das interfaces para switches.

Para aplicar um filtro de firewall na interface de gerenciamento para filtrar o tráfego de entrada ou saída:

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Desde que a descrição seja opcional.

  2. Especifique o número da unidade e o tipo de endereço familiar para a interface de gerenciamento:
    Nota:

    Para filtros de firewall que são aplicados a interfaces de gerenciamento, o tipo de endereço da família pode ser inet ou inet6.

  3. Aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma interface de gerenciamento:

    Aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de gerenciamento:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por interface de gerenciamento, por direção.

Aplicar um filtro de firewall a uma VLAN em uma rede

Você pode aplicar um filtro de firewall a uma VLAN em uma rede para filtrar o tráfego de entrada ou saída na rede. Para aplicar um filtro de firewall a uma VLAN, especifique o nome e O ID da VLAN e, em seguida, aplique o filtro de firewall na VLAN. Ao configurar o filtro de firewall, você pode especificar qualquer condição de correspondência, ação e modificadores de ação especificados em condições, ações e modificadores de ação do filtro de firewall para switches da Série EX. A ação especificada na condição de correspondência indica a ação para os pacotes combinados no tráfego de entrada ou saída.

Para aplicar um filtro de firewall a uma VLAN:

  1. Especifique o nome VLAN e o VLAN ID e forneça uma descrição significativa do filtro de firewall e da VLAN a que o filtro é aplicado:
    Nota:

    Desde que a descrição seja opcional.

  2. Aplique filtros de firewall para filtrar pacotes que estejam entrando ou saindo da VLAN:
    • Aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

      (Nos switches EX4300) Aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

    • Para aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

      (Nos switches EX4300) Para aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por VLAN, por direção.

Aplicando um filtro de firewall em uma interface de camada 3 (roteada)

Você pode aplicar um filtro de firewall em uma interface de Camada 3 (roteada) para filtrar o tráfego de entrada ou saída no switch. Ao configurar o filtro de firewall, você pode especificar qualquer condição de correspondência, ação e modificadores de ação especificados em condições, ações e modificadores de ação do filtro de firewall para switches da Série EX. A ação especificada na condição de correspondência indica a ação para os pacotes combinados no tráfego de entrada ou saída.

Para aplicar um filtro de firewall a uma interface de Camada 3 em um switch:

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Desde que a descrição seja opcional.

  2. Especifique o número da unidade, o tipo de endereço da família e o endereço para a interface:

    Para os filtros de firewall aplicados às interfaces de Camada 3, o tipo de endereço da família deve ser inet (para tráfego IPv4) ou inet6 (para tráfego IPv6).

  3. Você pode aplicar filtros de firewall para filtrar pacotes que estão entrando ou saindo de uma interface de Camada 3 (roteada):
    • Para aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma interface de Camada 3:

    • Para aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de Camada 3:

    Nota:

    Quando você aplica um filtro em uma interface IRB associada a uma determinada VLAN, o filtro é executado em qualquer interface de Camada 3 com um ID VLAN correspondente. Isso porque o filtro é compatível em todas as interfaces de Camada 3 com a tag VLAN correspondente.

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por interface de Camada 3, por direção.