Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall (procedimento CLI)

Você configura filtros de firewall em switches da Série EX para controlar o tráfego que entra em portas no switch ou entra e sai de VLANs nas interfaces de rede e Camada 3 (roteada). Para configurar um filtro de firewall, você deve configurar o filtro e aplicá-lo a uma interface de porta, VLAN ou Camada 3.

Configuração de um filtro de firewall

Antes de aplicar um filtro de firewall a uma porta, interface VLAN ou Camada 3, é necessário configurar um filtro de firewall com os detalhes necessários, como tipo de família para o filtro de firewall, nome do filtro do firewall e condições de combinação. Uma condição de combinação na configuração do filtro de firewall pode conter vários termos que definem os critérios para a condição de combinação. Para cada termo, você deve especificar uma ação a ser executada se um pacote estiver de acordo com as condições do termo. Para obter informações sobre diferentes condições e ações de combinação, consulte Condições, ações e modificadores de ação do filtro de firewall para switches da série EX.

Para configurar um filtro de firewall:

  1. Configure o tipo de endereço da família para o filtro de firewall:
    • Para um filtro de firewall aplicado a uma porta ou VLAN, especifique o tipo de endereço da família para filtrar pacotes de Camada 2 (Ethernet) e pacotes de ethernet-switching Camada 3 (IP), por exemplo:

    • Para um filtro de firewall aplicado a uma interface de Camada 3 (roteada) :

      • Para filtrar pacotes IPv4, especifique o tipo de endereço da inet família, por exemplo:

      • Para filtrar pacotes IPv6, especifique o tipo de endereço da inet6 família, por exemplo:

      Nota:

      Você pode configurar filtros de firewall para tráfego IPv4 e IPv6 na mesma interface de Camada 3.

  2. Especifique o nome do filtro:

    O nome do filtro pode conter letras, números e hífens (-) e pode ter no máximo 64 caracteres. Cada nome do filtro deve ser exclusivo.

  3. Se você quiser aplicar um filtro de firewall a várias interfaces e nomear contadores de firewall individuais específicos de cada interface, configure a interface-specific opção:
  4. Especifique um nome de termo:

    O nome do termo pode conter letras, números e hífens (-) e pode ter no máximo 64 caracteres.

    Um filtro de firewall pode conter um ou mais termos. Cada nome de termo deve ser exclusivo dentro de um filtro.

    Nota:

    O número máximo de termos permitidos por filtro de firewall para switches da Série EX é:

    • 512 para switches EX2200 de segurança

    • 1.436 para switches EX3300 de segurança

      Nota:

      Nos switches EX3300, se você adicionar e excluir filtros com um grande número de termos (na ordem de 1.000 ou mais) na mesma operação de commit, nem todos os filtros estão instalados. Você deve adicionar filtros em uma operação de compromisso e excluir filtros em uma operação de commit separada.

    • 7.168 para switches EX3200 e EX4200

    • Nos EX4300 switches, a seguir estão o número de termos suportados para entrada e saída de tráfego, para filers de firewall configurados em uma porta, interface VLAN e Camada 3:

      • Para tráfego de entrada:

        • 3.500 termos para filtros de firewall configurados em uma porta

        • 3.500 termos para filtros de firewall configurados em uma VLAN

        • 7.000 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

        • 3.500 termos para filers de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      • Para tráfego de saída:

        • 512 termos para filtros de firewall configurados em uma porta

        • 256 termos para filtros de firewall configurados em uma VLAN

        • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

        • 512 termos para filers de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      Nota:

      Você pode configurar esses números máximos de termos somente quando configurar um tipo de filtro de firewall (filtro de firewall de porta, VLAN ou Roteador (Camada 3) no switch, e quando o controle de tempestade não estiver ativado em todas as interfaces do switch.

    • 1.200 para switches EX4500 e EX4550 de segurança

    • 1.400 para switches EX6200 de segurança

    • 32.768 para switches EX8200 de segurança

    Se você tentar configurar um filtro de firewall que exceda esses limites, o switch retornará uma mensagem de erro ao cometer a configuração.

  5. Em cada termo de filtro de firewall, especifique as condições de combinação a ser usadas para combinar componentes de um pacote.

    Para especificar condições de combinação para combinar em pacotes que contenham um endereço de origem e uma porta de origem específicos, por exemplo:

    Você pode especificar uma ou mais condições de combinação em uma única from declaração. Para que uma combinação ocorra, o pacote deve combinar todas as condições do termo.

    A from declaração é opcional, mas, se incluída em um termo, a from declaração não pode estar vazia. Se você omitir a from declaração, todos os pacotes serão considerados como uma combinação.

  6. Em cada termo de filtro de firewall, especifique a ação a ser tomada caso o pacote conda todas as condições desse termo.

    Você pode especificar um modificadores de ação e/ou ação:

    • Para especificar uma ação de filtro, por exemplo, para descartar pacotes que sejam de acordo com as condições do termo do filtro:

      Não é possível especificar mais do que uma ação por termo de filtro.

    • Para especificar um modificador de ação, por exemplo, para contar e classificar pacotes em uma classe de encaminhamento:

      Em uma then declaração, você pode especificar os seguintes modificadores de ação:

      • analyzer analyzer-name— Espelhar o tráfego de porta para uma porta de destino ou VLAN especificada conectada a um aplicativo analisador de protocolo. Um analyzer deve ser configurado no tipo de endereço da ethernet-switching família. Consulte a configuração do espelhamento de portas para analisar o tráfego (procedimento cli).

      • count counter-name— Conte o número de pacotes que passam por esse termo de filtro.

        Nota:

        Recomendamos que você configure um contador para cada termo em um filtro de firewall para que você possa monitorar o número de pacotes que se ajustem às condições especificadas em cada termo do filtro.

      • forwarding-class class— Classifique pacotes em uma classe de encaminhamento.

      • loss-priority priority— De definir a prioridade para soltar um pacote.

      • policer policer-name— Aplique limitação de taxa ao tráfego.

      • interface nome dainterface — Encaminhe o tráfego para a interface especificada, ignorando a análise de complicação.

      • log— Registre as informações do cabeamento do pacote no Mecanismo de Roteamento.

    Se você omitir a declaração ou não especificar uma ação, os pacotes que corresponderem a todas as then condições da declaração serão from aceitos. No entanto, você sempre deve configurar um modificador de ação e/ou ação explicitamente na then declaração. Você não pode incluir mais de uma ação, mas pode usar qualquer combinação de modificadores de ação. Para que um modificador de ação ou ação entre em vigor, todas as condições da from declaração devem combinar.

    Nota:

    O descarte implícito também é aplicável a um filtro de firewall aplicado à interface de lo0 loopback.

    Na Juniper Networks EX8200 Switches de ethernet, se uma ação implícita ou explícita estiver configurada em uma interface de loopback para tráfego IPv4, os pacotes de resolução de próximo hop serão aceitos e autorizados a passar pelo discard switch. No entanto, para o tráfego IPv6, você deve configurar uma regra explicitamente para permitir que os pacotes de resolução IPv6 do próximo hop passem pelo switch.

Configurando um termo especificamente para tráfego IPv4 ou IPv6

Para configurar um termo em uma configuração de filtro de firewall especificamente para tráfego IPv4:

  1. Verificar se ether-type ipv6 nenhum deles está especificado no termo na ip-version ipv6 configuração. Por padrão, uma configuração que não contém nem ether-type ipv6 em um termo se aplica ao tráfego ip-version ipv6 IPv4.
  2. (Opcional) Realize uma dessas tarefas:
    • Defina ether-type ipv4 em um termo na configuração.

    • Defina ip-version ipv4 em um termo na configuração.

    • Defina ether-type ipv4 ambos e em um termo na ip-version ipv4 configuração.

    • Verificar se nenhum deles está especificado em um termo na configuração, por padrão, uma configuração que não contenha nem em um termo se aplica ao tráfego ether-type ipv6 IPv4 se ela não ip-version ipv6ether-type ipv6ip-version ipv6 contenha ether-type ipv6 ou ip-version ipv6 .

  3. Garanta que outras condições de combinação no termo sejam válidas para o tráfego IPv4.

Para configurar um termo em uma configuração de filtro de firewall especificamente para tráfego IPv6:

  1. Realize uma dessas tarefas:

    • Defina ether-type ipv6 em um termo na configuração.

    • Defina ip-version ipv6 em um termo na configuração.

    • Defina ether-type ipv6 ambos e em um termo na ip-version ipv4 configuração.

      Nota:

      Por padrão, uma configuração que não contém nem ether-type ipv6 em um termo se aplica ao tráfego ip-version ipv6 IPv4.

  2. Garanta que outras condições de combinação no termo sejam válidas para o tráfego IPv6.

Nota:

Se o termo contiver qualquer uma das condições de combinação ou, sem nenhuma outra condição de combinação de IPv6 especificada, todo o tráfego ether-type ipv6ip-version ipv6 IPv6 será igualado.

Nota:

Para configurar um filtro de firewall para tráfego IPv4 e IPv6, é necessário incluir dois termos separados, um para tráfego IPv4 e o outro para tráfego IPv6.

Aplicar um filtro de firewall a uma porta em um switch

Você pode aplicar um filtro de firewall a uma porta em um switch para filtrar tráfego de entrada ou saída no switch. Ao configurar o filtro de firewall, você pode especificar quaisquer modificadores de condições, ação e ação de combinação especificados em Condições, Ações e Modificadores de Ação do Filtro de Firewall para Switches da Série EX. A ação especificada na condição de combinação indica a ação para os pacotes matched no tráfego de entrada ou saída.

Para aplicar um filtro de firewall a uma porta para filtrar tráfego de entrada ou saída:

Nota:

Para aplicar um filtro de firewall a uma interface de gerenciamento, consulte Aplicar um filtro de firewall a uma interface de gerenciamento em um switch

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Especifique o número da unidade e o tipo de endereço da família da interface:

    Para filtros de firewall aplicados às portas, o tipo de endereço da família deve ser ethernet-switching .

  3. Para aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma porta:

    Para aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma porta:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por porta, por direção.

Aplicar um filtro de firewall a uma interface de gerenciamento em um switch

Você pode configurar e aplicar um filtro de firewall em uma interface de gerenciamento para controlar o tráfego que entra ou sai da interface em um switch. Você pode usar serviços públicos como SSH ou Telnet para se conectar à interface de gerenciamento pela rede e, em seguida, usar protocolos de gerenciamento, como SNMP, para coletar dados estatísticos do switch. Semelhante à configuração de um filtro de firewall em outros tipos de interfaces, você pode configurar um filtro de firewall em uma interface de gerenciamento usando qualquer condição de combinação, ação e modificador de ação especificado em Condições, Ações e Modificadores de Ação do Firewall para Switches da Série EX, exceto pelas seguintes modificações de ação:

  • loss-priority

  • forwarding-class

Você pode aplicar um filtro de firewall à interface Ethernet de gerenciamento em qualquer switch da Série EX. Você também pode aplicar um filtro de firewall à interface virtual de ethernet de gerenciamento (VME) no EX4200 switch. Para obter mais informações sobre a interface de Ethernet de gerenciamento e a interface VME, consulte Visão geral das interfaces para switches.

Para aplicar um filtro de firewall na interface de gerenciamento para filtrar tráfego de entrada ou saída:

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Especifique o número da unidade e o tipo de endereço da família para a interface de gerenciamento:
    Nota:

    Para filtros de firewall que são aplicados a interfaces de gerenciamento, o tipo de endereço da família pode ser inet ou inet6 .

  3. Para aplicar um filtro de firewall para filtrar pacotes que entram em uma interface de gerenciamento:

    Para aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de gerenciamento:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por interface de gerenciamento, por direção.

Aplicar um filtro de firewall a uma VLAN em uma rede

Você pode aplicar um filtro de firewall a uma VLAN em uma rede para filtrar tráfego de entrada ou saída na rede. Para aplicar um filtro de firewall a uma VLAN, especifique o nome e a ID da VLAN e aplique o filtro de firewall ao VLAN. Ao configurar o filtro de firewall, você pode especificar quaisquer modificadores de condições, ação e ação de combinação especificados em Condições, Ações e Modificadores de Ação do Filtro de Firewall para Switches da Série EX. A ação especificada na condição de combinação indica a ação para os pacotes matched no tráfego de entrada ou saída.

Para aplicar um filtro de firewall a uma VLAN:

  1. Especifique o nome VLAN e a ID VLAN e forneça uma descrição significativa do filtro de firewall e do VLAN ao qual o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Aplique filtros de firewall para filtrar pacotes que estão entrando ou saindo da VLAN:
    • Para aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

      (No EX4300 switches) Para aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

    • Para aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

      (No EX4300 switches) Para aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por VLAN, por direção.

Aplicar um filtro de firewall a uma interface de Camada 3 (Roteada)

Você pode aplicar um filtro de firewall a uma interface de Camada 3 (roteada) para filtrar tráfego de entrada ou saída no switch. Ao configurar o filtro de firewall, você pode especificar quaisquer modificadores de condições, ação e ação de combinação especificados em Condições, Ações e Modificadores de Ação do Filtro de Firewall para Switches da Série EX. A ação especificada na condição de combinação indica a ação para os pacotes matched no tráfego de entrada ou saída.

Para aplicar um filtro de firewall a uma interface de Camada 3 em um switch:

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Especifique o número da unidade, o tipo de endereço da família e o endereço da interface:

    Para filtros de firewall aplicados às interfaces de Camada 3, o tipo de endereço da família deve ser (para tráfego inet IPv4) inet6 ou (para tráfego IPv6).

  3. Você pode aplicar filtros de firewall para filtrar pacotes que estão entrando ou saindo de uma interface de Camada 3 (roteada);
    • Para aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma interface de Camada 3:

    • Para aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de Camada 3:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por interface de Camada 3, por direção.