Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral dos filtros clássicos

O recurso dinâmico de firewall oferece suporte a filtros clássicos, que são filtros estáticos que são aplicados a uma interface dinamicamente. Eles são compilados no momento do compromisso e, em seguida, quando um serviço é ativado, um clone específico da interface do filtro é criado e anexado a uma interface lógica. Esse aplicativo dinâmico é realizado associando filtros de entrada ou saída a um perfil dinâmico.

Essa visão geral abrange:

Tipos de filtro clássicos

Os seguintes tipos de filtro clássicos são suportados:

  • Filtro de firewall de porta (Camada 2) — Os filtros de firewall de porta aplicam-se às portas de switch de Camada 2. Você pode aplicar filtros de firewall de porta apenas na direção de entrada em uma porta física.

  • Filtro de firewall VLAN — os filtros de firewall VLAN fornecem controle de acesso para pacotes que entram em uma VLAN, são conectados em uma VLAN e deixam uma VLAN. Você pode aplicar filtros de firewall VLAN em direções de entrada e saída em uma VLAN. Os filtros de firewall VLAN são aplicados a todos os pacotes que são encaminhados ou encaminhados a partir da VLAN.

  • Filtro de firewall de roteador (Camada 3) — Você pode aplicar um filtro de firewall de roteador em direções de entrada e saída em interfaces de Camada 3 (roteada).

Componentes clássicos do filtro

Ao criar um filtro clássico, você primeiro define o tipo de endereço da família (inet ou inet6) e então você define um ou mais termos que especificam os critérios de filtragem e a ação a ser tomada quando uma correspondência ocorre.

Cada termo, ou regra, consiste nos seguintes componentes:

  • Condições de correspondência — especifica valores ou campos que o pacote deve conter. Você pode definir várias condições de correspondência, incluindo:

    • Campo de endereços de origem IP

    • Campo de endereços de destino IP

    • Campo de porta de origem do protocolo de controle de transmissão (TCP) ou protocolo de datagrama do usuário (UDP)

    • Campo de protocolo IP

    • Tipo de pacote do Protocolo de Mensagem de Controle de Internet (ICMP)

    • Bandeiras de TCP

    • Interfaces

  • Ações — especifica o que fazer quando uma condição de correspondência ocorre. Ações possíveis são aceitar ou descartar um pacote. Além disso, os pacotes podem ser contados para coletar informações estatísticas. Se nenhuma ação for especificada para um termo, a ação padrão é aceitar o pacote.

Processamento clássico de filtros

A ordem dos termos dentro de um filtro clássico é importante. Os pacotes são testados em cada termo na ordem em que os termos estão listados na configuração do filtro de firewall. Quando um filtro de firewall contém vários termos, o roteador adota uma abordagem de cima para baixo e compara um pacote com o primeiro termo no filtro de firewall. Se o pacote corresponde ao primeiro termo, o roteador executa a ação definida por esse termo para aceitar ou rejeitar o pacote, e nenhum outro termos é avaliado. Se o roteador não encontrar uma correspondência entre o pacote e o primeiro termo, ele então compara o pacote com o próximo termo no filtro de firewall usando o mesmo processo de correspondência. Se não ocorrer correspondência entre o pacote e o segundo termo, o roteador continua a comparar o pacote com cada termo sucessivo definido no filtro de firewall até que uma correspondência seja encontrada. Se um pacote não corresponder a nenhum termos em um filtro de firewall, a ação padrão é descartar o pacote.

Você também pode especificar uma precedência (de 0 a 255) para filtros de entrada e saída dentro de um perfil dinâmico para forçar o processamento de filtros em uma determinada ordem. Definir um valor de precedência mais baixo para um filtro lhe dá uma precedência maior dentro do perfil dinâmico. Filtros com valores de precedência mais baixos são aplicados a interfaces antes dos filtros com valores de precedência mais altos. Uma precedência de zero (o padrão) dá ao filtro a mais alta precedência. Se nenhuma precedência for especificada, o filtro recebe uma precedência de zero (maior precedência). Os filtros com precedência correspondente (zero ou não) são aplicados em ordem aleatória.

Nota:

Os filtros dinâmicos não processam pacotes de saída provenientes do mecanismo de roteamento. Para filtrar pacotes de saída que são originados do mecanismo de roteamento, você pode criar filtros de saída estáticos para cada interface.

Diretrizes para criar e aplicar filtros clássicos para interfaces de assinantes

A configuração dinâmica dos filtros de firewall é suportada. No entanto, você também pode continuar a criar filtros de firewall estáticos para interfaces como normalmente, e então aplicar dinamicamente esses filtros para criar interfaces estaticamente usando perfis dinâmicos. Você também pode usar perfis dinâmicos para anexar filtros de entrada e saída pelo RADIUS.

Ao criar e aplicar filtros, lembre-se do seguinte:

  • A aplicação dinâmica de apenas filtros de entrada e saída é suportada.

  • Os filtros devem ser específicos da interface.

  • Você pode criar filtros e inet6 específicos inet da família.

  • Você pode criar filtros específicos da interface no unit nível aplicável a qualquer tipo de família (inet ou inet6) configurado na interface.

  • Você pode adicionar ou remover os filtros IPv4 e IPv6 com a mesma ativação ou desativação de serviços.

  • Você pode remover um tipo de filtro sem afetar o outro tipo de filtro. Por exemplo, você pode remover os filtros IPv6 e deixar os filtros IPv4 atuais ativos.

  • Você pode acorrentar até cinco filtros de entrada e quatro filtros de saída juntos.

  • Se você não configurar e aplicar um filtro, a interface usa a configuração padrão do filtro de grupo.

  • Você não pode modificar ou excluir um filtro de firewall enquanto os assinantes na mesma interface lógica estão vinculados.

Documentação relacionada