Présentation des filtres et des polices simples

Vous pouvez configurer des filtres et des stratégies simples pour gérer le trafic surabscrit dans les pare-feu SRX1400, SRX3400, SRX3600, SRX5600 et SRX5800. Dans Junos OS, les polices peuvent être configurées dans la hiérarchie des filtres de pare-feu . (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.)

Note:

Pour les pare-feu SRX5600 et SRX5800, le simple filtrage ou les actions de contrôle ne peuvent être appliqués qu’aux interfaces logiques résidant dans une gamme SRX5000 Flex IOC (FIOC) car seul un FIOC de la gamme SRX5000 prend en charge les fonctionnalités de filtrage et de contrôle simples des pare-feu SRX5600 et SRX5800.

La fonctionnalité de filtrage simple comprend les éléments suivants :

• Classification des paquets en fonction des stratégies configurées

• Prendre les mesures appropriées en fonction des résultats de la classification

Dans Junos OS, les mécanismes de contrôle du trafic entrant peuvent limiter le taux de trafic entrant. Les principales raisons d’utiliser le contrôle du trafic sont :

• Pour appliquer les taux de trafic afin de se conformer à l’accord de niveau de service (SLA)

• Pour protéger les sauts suivants, comme protéger le point central et le SPU d’être submergé par un trafic excédentaire comme les attaques DOS

• Pour les pare-feu de ligne SRX5000 avec FIOC, l’utilisation de mécanismes de contrôle du trafic entrant peut éviter que le point central et le SPU ne soient submergés par le trafic, par exemple lors d’une attaque DDoS.

À l’aide des résultats de la classification des paquets et du contrôle du trafic, un policer peut effectuer l’une des actions suivantes pour un paquet : transférer un paquet conforme (vert) ou abandonner un paquet non conforme (jaune). Les agents de contrôle rejettent toujours un paquet rouge non-conformant. La mesure du trafic prend en charge l’algorithme du marqueur tricolore à deux débits (TCM). (Voir RFC 2698, un marqueur à deux débits trois couleurs.)