Visão geral dos filtros clássicos

Tipos de filtro clássicos

Há suporte para os seguintes tipos de filtro clássico:

• Filtro de firewall de porta (Camada 2) — Os filtros de firewall de porta se aplicam às portas de switch de Camada 2. Você pode aplicar filtros de firewall de porta somente na direção de entrada em uma porta física.

• Filtro de firewall VLAN — os filtros de firewall VLAN fornecem controle de acesso para pacotes que entram em uma VLAN, são interligados dentro de uma VLAN e saem de uma VLAN. Você pode aplicar filtros de firewall VLAN nas direções de entrada e saída em uma VLAN. Os filtros de firewall VLAN são aplicados a todos os pacotes encaminhados ou encaminhados da VLAN.

• Filtro de firewall de roteador (Camada 3) — Você pode aplicar um filtro de firewall de roteador nas direções de entrada e saída em interfaces de Camada 3 (roteadas).

Componentes de filtro clássicos

Ao criar um filtro clássico, primeiro você define o tipo de endereço de família (inet ou inet6) e, em seguida, define um ou mais termos que especificam os critérios de filtragem e a ação a ser executada quando ocorre uma correspondência.

Cada termo, ou regra, consiste nos seguintes componentes:

• Condições de correspondência — Especifique valores ou campos que o pacote deve conter. Você pode definir várias condições de correspondência, incluindo:

  • Campo de endereço de origem IP

  • Campo de endereço de destino IP

  • Campo de porta de origem do protocolo de controle de transmissão (TCP) ou Protocolo de datagrama de usuário (UDP)

  • Campo de protocolo IP

  • Tipo de pacote ICMP (Internet Control Message Protocol)

  • Sinalizadores TCP

  • Interfaces

  Condições de correspondência (Junos OS Evolved) — Especifique os valores ou campos que o pacote deve conter. Você pode definir várias condições de correspondência, incluindo:

  • Lista de prefixos de destino

  • Lista de prefixos de origem

  • Classe de encaminhamento exceto

  • Endereço de destino

  • Porta de destino

  • Porta de origem

  • Protocolo

• Ações — Especifica o que fazer quando ocorre uma condição de correspondência. As ações possíveis são aceitar ou descartar um pacote. Além disso, os pacotes podem ser contados para coletar informações estatísticas. Se nenhuma ação for especificada para um termo, a ação padrão será aceitar o pacote.

  Actions (Junos OS Evolved) — accept, count, discard, enhanced-hierarchical-policer, forwarding-class, sample, skip (usado apenas para filtro de serviço para descartar os pacotes), service (usado apenas para filtro de serviço).

• Filtros de firewall de gerenciamento de assinantes — Especifica filtros estáticos que são aplicados a uma interface assinante dinamicamente (a partir do Junos OS Evolved Release 24.2R1, filtros adicionais, com suporte para dispositivos ACX7100-48L, ACX7332 e ACX7348)

• Classe de encaminhamento
• Prioridade de perda
• Comprimento do pacote
• DSCP
• Classe de tráfego

Processamento de filtro clássico

A ordem dos termos em um filtro clássico é importante. Os pacotes são testados em relação a cada termo na ordem em que os termos são listados na configuração do filtro do firewall. Quando um filtro de firewall contém vários termos, o roteador adota uma abordagem de cima para baixo e compara um pacote com o primeiro termo no filtro de firewall. Se o pacote corresponder ao primeiro termo, o roteador executará a ação definida por esse termo para aceitar ou rejeitar o pacote, e nenhum outro termo será avaliado. Se o roteador não encontrar uma correspondência entre o pacote e o primeiro termo, ele comparará o pacote com o próximo termo no filtro de firewall usando o mesmo processo de correspondência. Se não houver correspondência entre o pacote e o segundo termo, o roteador continuará a comparar o pacote com cada termo sucessivo definido no filtro do firewall até que uma correspondência seja encontrada. Se um pacote não corresponder a nenhum termo em um filtro de firewall, a ação padrão será descartar o pacote.

Você também pode especificar uma precedência (de 0 a 255) para filtros de entrada e saída em um perfil dinâmico para forçar o processamento de filtro em uma ordem específica. Definir um valor de precedência mais baixo para um filtro dá a ele uma precedência mais alta dentro do perfil dinâmico. Filtros com valores de precedência mais baixos são aplicados a interfaces antes de filtros com valores de precedência mais altos. Uma precedência de zero (o padrão) dá ao filtro a precedência mais alta. Se nenhuma precedência for especificada, o filtro receberá uma precedência de zero (precedência mais alta). Os filtros com precedência correspondente (zero ou não) são aplicados em ordem aleatória.

Diretrizes para criar e aplicar filtros clássicos para interfaces de assinantes

A configuração dinâmica de filtros de firewall é suportada. No entanto, você também pode continuar a criar filtros de firewall estáticos para interfaces como faz normalmente e, em seguida, aplicar dinamicamente esses filtros a interfaces criadas estaticamente usando perfis dinâmicos. Você também pode usar perfis dinâmicos para anexar filtros de entrada e saída por meio do RADIUS.

Ao criar e aplicar filtros, lembre-se do seguinte:

• Há suporte para a aplicação dinâmica apenas de filtros de entrada e saída.

• Os filtros devem ser específicos da interface.

• Você pode criar filtros e inet6 específicos da inet família.

• Você pode criar filtros específicos da unit interface no nível que se aplicam a qualquer tipo de família (inet ou inet6) configurado na interface.

• Você pode adicionar ou remover filtros IPv4 e IPv6 com a mesma ativação ou desativação de serviço.

• Você pode remover um tipo de filtro sem afetar o outro tipo de filtro. Por exemplo, você pode remover filtros IPv6 e deixar os filtros IPv4 atuais ativos.

• Você pode encadear até cinco filtros de entrada e quatro filtros de saída.

• Se você não configurar e aplicar um filtro, a interface usará a configuração padrão do filtro de grupo.

• Você não pode modificar ou excluir um filtro de firewall enquanto os assinantes na mesma interface lógica estiverem vinculados.