Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall (procedimento de CLI)

Você configura filtros de firewall nos switches da Série EX para controlar o tráfego que entra em portas no switch ou entra e sai de VLANs nas interfaces de rede e Camada 3 (roteada). Para configurar um filtro de firewall, você deve configurar o filtro e aplicá-lo em uma porta, VLAN ou interface de Camada 3.

Configuração de um filtro de firewall

Antes de aplicar um filtro de firewall a uma porta, VLAN ou interface de Camada 3, você deve configurar um filtro de firewall com os detalhes necessários, como tipo de família para o filtro de firewall, nome do filtro de firewall e condições de correspondência. Uma condição compatível na configuração do filtro de firewall pode conter vários termos que definem os critérios para a condição de correspondência. Para cada termo, você deve especificar uma ação a ser executada se um pacote corresponda às condições do termo. Para obter informações sobre diferentes condições e ações de correspondência, consulte condições de correspondência do filtro de firewall, ações e modificadores de ação para switches da Série EX.

Para configurar um filtro de firewall:

  1. Configure o tipo de endereço da família para o filtro de firewall:
    • Para um filtro de firewall aplicado a uma porta ou VLAN, especifique o tipo ethernet-switching de endereço familiar para filtrar pacotes de Camada 2 (Ethernet) e pacotes de Camada 3 (IP), por exemplo:

    • Para um filtro de firewall aplicado a uma interface de Camada 3 (roteada):

      • Para filtrar pacotes IPv4, especifique o tipo inetde endereço da família, por exemplo:

      • Para filtrar pacotes IPv6, especifique o tipo inet6de endereço da família, por exemplo:

      Nota:

      Você pode configurar filtros de firewall para tráfego IPv4 e IPv6 na mesma interface de Camada 3.

  2. Especifique o nome do filtro:

    O nome do filtro pode conter letras, números e hífens (-) e pode ter no máximo 64 caracteres. Cada nome do filtro deve ser único.

  3. Se você quiser aplicar um filtro de firewall em várias interfaces e nomear contadores de firewall individuais específicos de cada interface, configure a opção interface-specific :
  4. Especifique um nome de termo:

    O termo nome pode conter letras, números e hífens (-) e pode ter um máximo de 64 caracteres.

    Um filtro de firewall pode conter um ou mais termos. Cada termo deve ser exclusivo dentro de um filtro.

    Nota:

    O número máximo de termos permitidos por filtro de firewall para switches da Série EX é:

    • 512 para switches EX2200

    • 1.436 para switches EX3300

      Nota:

      Nos switches EX3300, se você adicionar e excluir filtros com um grande número de termos (na ordem de 1000 ou mais) na mesma operação de compromisso, nem todos os filtros estão instalados. Você deve adicionar filtros em uma operação de compromisso e excluir filtros em uma operação de compromisso separada.

    • 7.168 para switches EX3200 e EX4200

    • Nos switches EX4300, a seguir estão o número de termos suportados para tráfego de entrada e saída, para arquivos de firewall configurados em uma interface de porta, VLAN e Camada 3:

      • Para tráfego de entrada:

        • 3.500 termos para filtros de firewall configurados em uma porta

        • 3.500 termos para filtros de firewall configurados em uma VLAN

        • 7.000 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

        • 3.500 termos para arquivos de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      • Para tráfego de saída:

        • 512 termos para filtros de firewall configurados em uma porta

        • 256 termos para filtros de firewall configurados em uma VLAN

        • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

        • 512 termos para arquivos de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      Nota:

      Você só pode configurar esse número máximo de termos quando configurar um tipo de filtro de firewall (Porta, VLAN ou roteador (Camada 3) no switch, e quando o controle de tempestade não estiver habilitado em todas as interfaces do switch.

    • 1.200 para switches EX4500 e EX4550

    • 1.400 para switches EX6200

    • 32.768 para switches EX8200

    Se você tentar configurar um filtro de firewall que excede esses limites, o switch retorna uma mensagem de erro quando você comete a configuração.

  5. Para cada termo de filtro de firewall, especifique a(s) condição(s) de correspondência que você deseja incluir. O exemplo abaixo mostra como combinar pacotes de um determinado endereço IP e porta:

    Você pode especificar uma ou mais condições de correspondência em uma única from declaração. Para que uma correspondência ocorra, o pacote deve combinar com todas as condições do termo.

    A from declaração é opcional, mas, se incluída em um termo, a from declaração não pode estar vazia. Se você omitir a from declaração, todos os pacotes serão considerados compatíveis.

  6. Para cada termo de filtro de firewall, especifique a ação a ser tomada se o pacote atender a todas as condições nesse termo.

    Você pode especificar uma ação e/ou modificadores de ação:

    • Para especificar uma ação de filtro, por exemplo, para descartar pacotes que correspondam às condições do termo filtro:

      Você não pode especificar mais do que uma ação por termo de filtro.

    • Para especificar um modificador de ação, por exemplo, para contar e classificar pacotes em uma classe de encaminhamento:

      Em uma then declaração, você pode especificar os seguintes modificadores de ação:

      • analyzer analyzer-name— Espelhar o tráfego da porta para uma porta de destino ou VLAN especificada conectada a um aplicativo de analisador de protocolos. Uma analyzer deve ser configurada sob o tipo de endereço da ethernet-switching família. Veja a configuração do espelhamento da porta para analisar o tráfego (procedimento de CLI).

      • count counter-name— Conte o número de pacotes que passam por esse termo de filtro.

        Nota:

        Recomendamos que você configure um contador para cada termo em um filtro de firewall, para que você possa monitorar o número de pacotes que correspondam às condições especificadas em cada termo de filtro.

      • forwarding-class class— Classifique pacotes em uma aula de encaminhamento.

      • loss-priority priority— Defina a prioridade para a queda de um pacote.

      • policer policer-name— Aplicar limitação de taxa ao tráfego.

      • interface interface-name— Encaminhe o tráfego para a interface especificada, ignorando a aparência da comutação.

      • log— Registre as informações de cabeçalho do pacote no mecanismo de roteamento.

    Se você omitir a then declaração ou não especificar uma ação, serão aceitos pacotes que correspondam a todas as condições da from declaração. No entanto, você deve sempre configurar explicitamente uma ação e/ou modificador de ação na then declaração. Você não pode incluir mais do que uma ação, mas pode usar qualquer combinação de modificadores de ação. Para que uma ação ou modificador de ação entre em vigor, todas as condições da from declaração devem coincidir.

    Nota:

    O descarte implícito também é aplicável a um filtro de firewall aplicado à interface de loopback. lo0

    Nos switches de ethernet EX8200 da Juniper Networks, se uma ação implícita ou explícita discard for configurada em uma interface de loopback para tráfego IPv4, os pacotes de resolução do next hop são aceitos e autorizados a passar pelo switch. No entanto, para o tráfego IPv6, você deve configurar explicitamente uma regra para permitir que o próximo hop IPv6 resolva pacotes para passar pelo switch.

Configurando um termo especificamente para tráfego IPv4 ou IPv6

Para configurar um termo em uma configuração de filtro de firewall especificamente para tráfego IPv4:

  1. Verifique se nem nem ether-type ipv6ip-version ipv6 está especificado no termo na configuração. Por padrão, uma configuração que não contém nem ether-type ipv6ip-version ipv6 em um termo se aplica ao tráfego IPv4.
  2. (Opcional) Realize uma dessas tarefas:
    • Definir ether-type ipv4 em um termo na configuração.

    • Definir ip-version ipv4 em um termo na configuração.

    • Definir ambos ether-type ipv4 e ip-version ipv4 em um termo na configuração.

    • Verifique se nem ether-type ipv6 nem ip-version ipv6 é especificada em um termo na configuração — por padrão, uma configuração que não contém nem ether-type ipv6ip-version ipv6 em um termo se aplica ao tráfego IPv4 se ela não contém ether-type ipv6 ou ip-version ipv6.

  3. Garanta que outras condições de correspondência no termo sejam válidas para o tráfego IPv4.

Para configurar um termo em uma configuração de filtro de firewall especificamente para tráfego IPv6:

  1. Realize uma dessas tarefas:

    • Definir ether-type ipv6 em um termo na configuração.

    • Definir ip-version ipv6 em um termo na configuração.

    • Definir ambos ether-type ipv6 e ip-version ipv4 em um termo na configuração.

      Nota:

      Por padrão, uma configuração que não contém nem ether-type ipv6ip-version ipv6 em um termo se aplica ao tráfego IPv4.

  2. Garanta que outras condições de correspondência no termo sejam válidas para o tráfego IPv6.

Nota:

Se o termo contiver qualquer uma das condições ether-type ipv6 de correspondência ou ip-version ipv6, sem nenhuma outra condição de correspondência IPv6 especificada, todo o tráfego IPv6 é compatível.

Nota:

Para configurar um filtro de firewall para tráfego IPv4 e IPv6, você deve incluir dois termos separados, um para tráfego IPv4 e outro para tráfego IPv6.

Aplicar um filtro de firewall em uma porta em um switch

Você pode aplicar um filtro de firewall em uma porta em um switch para filtrar o tráfego de entrada ou saída no switch. Quando você configura o filtro de firewall, você pode especificar qualquer condição de correspondência, ação e modificadores de ação especificados em condições de correspondência do filtro de firewall, ações e modificadores de ação para switches da Série EX. A ação especificada na condição de correspondência indica a ação para os pacotes combinados no tráfego de entrada ou saída.

Aplicar um filtro de firewall em uma porta para filtrar o tráfego de entrada ou saída:

Nota:

Para aplicar um filtro de firewall em uma interface de gerenciamento, consulte Aplicar um filtro de firewall em uma interface de gerenciamento em um switch

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Especifique o número da unidade e o tipo de endereço familiar para a interface:

    Para filtros de firewall aplicados a portas, o tipo de endereço familiar deve ser ethernet-switching.

  3. Aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma porta:

    Aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma porta:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por porta, por direção.

Aplicar um filtro de firewall em uma interface de gerenciamento em um switch

Você pode configurar e aplicar um filtro de firewall a uma interface de gerenciamento para controlar o tráfego que está entrando ou saindo da interface em um switch. Você pode usar serviços públicos como SSH ou Telnet para se conectar à interface de gerenciamento na rede e, em seguida, usar protocolos de gerenciamento, como o SNMP, para coletar dados estatísticos do switch. Semelhante à configuração de um filtro de firewall em outros tipos de interfaces, você pode configurar um filtro de firewall em uma interface de gerenciamento usando qualquer condição de correspondência, ação e modificador de ação especificado em condições de jogo do filtro de firewall, ações e modificadores de ação para switches da Série EX, exceto para os seguintes modificadores de ação:

  • loss-priority

  • forwarding-class

Você pode aplicar um filtro de firewall na interface Ethernet de gerenciamento em qualquer switch da Série EX. Você também pode aplicar um filtro de firewall na interface Ethernet (VME) de gerenciamento virtual no switch EX4200. Para obter mais informações sobre a interface Ethernet de gerenciamento e a interface VME, consulte a visão geral das interfaces para switches.

Aplicar um filtro de firewall na interface de gerenciamento para filtrar o tráfego de entrada ou saída:

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Especifique o número da unidade e o tipo de endereço familiar para a interface de gerenciamento:
    Nota:

    Para filtros de firewall aplicados a interfaces de gerenciamento, o tipo de endereço familiar pode ser inet ou inet6.

  3. Aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma interface de gerenciamento:

    Aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de gerenciamento:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por interface de gerenciamento, por direção.

Aplicar um filtro de firewall a uma VLAN em uma rede

Você pode aplicar um filtro de firewall a uma VLAN em uma rede para filtrar o tráfego de entrada ou saída na rede. Para aplicar um filtro de firewall a um VLAN, especifique o nome e o ID da VLAN e aplique o filtro de firewall na VLAN. Quando você configura o filtro de firewall, você pode especificar qualquer condição de correspondência, ação e modificadores de ação especificados em condições de correspondência do filtro de firewall, ações e modificadores de ação para switches da Série EX. A ação especificada na condição de correspondência indica a ação para os pacotes combinados no tráfego de entrada ou saída.

Para aplicar um filtro de firewall a uma VLAN:

  1. Especifique o nome VLAN e o VLAN ID e forneça uma descrição significativa do filtro de firewall e da VLAN a que o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Aplique filtros de firewall para filtrar pacotes que estão entrando ou saindo da VLAN:
    • Aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

      (Nos switches EX4300) Aplicar um filtro de firewall para filtrar pacotes que estão entrando na VLAN:

    • Aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

      (Nos switches EX4300) Aplicar um filtro de firewall para filtrar pacotes que estão saindo da VLAN:

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por VLAN, por direção.

Aplicar um filtro de firewall em uma interface de camada 3 (roteada)

Você pode aplicar um filtro de firewall a uma interface de Camada 3 (roteada) para filtrar o tráfego de entrada ou saída no switch. Quando você configura o filtro de firewall, você pode especificar qualquer condição de correspondência, ação e modificadores de ação especificados em condições de correspondência do filtro de firewall, ações e modificadores de ação para switches da Série EX. A ação especificada na condição de correspondência indica a ação para os pacotes combinados no tráfego de entrada ou saída.

Aplicar um filtro de firewall a uma interface de Camada 3 em um switch:

  1. Especifique o nome da interface e forneça uma descrição significativa do filtro de firewall e da interface à qual o filtro é aplicado:
    Nota:

    Fornecer a descrição é opcional.

  2. Especifique o número da unidade, o tipo de endereço da família e o endereço para a interface:

    Para filtros de firewall aplicados às interfaces de Camada 3, o tipo de endereço familiar deve ser inet (para tráfego IPv4) ou inet6 (para tráfego IPv6).

  3. Você pode aplicar filtros de firewall para filtrar pacotes que estão entrando ou saindo de uma interface de Camada 3 (roteada):
    • Aplicar um filtro de firewall para filtrar pacotes que estão entrando em uma interface de Camada 3:

    • Aplicar um filtro de firewall para filtrar pacotes que estão saindo de uma interface de Camada 3:

    Nota:

    Quando você aplica um filtro em uma interface IRB associada a uma determinada VLAN, o filtro é executado em qualquer interface de Camada 3 com um VLAN ID correspondente. Isso ocorre porque o filtro combina em todas as interfaces de Camada 3 com a tag VLAN correspondente.

    Nota:

    Você não pode aplicar mais do que um filtro de firewall por interface de Camada 3, por direção.