Définition d’un filtre de pare-feu sur les routeurs M, MX et T Series pour sélectionner le trafic pour une surveillance active des flux
La première étape de la surveillance active des flux consiste à configurer les conditions de correspondance pour un trafic acceptable ou mis en quarantaine. Les actions de correspondance courantes pour la surveillance active des flux comprennent l’échantillon, la comptabilisation de rejet, le port-miroir et l’acceptation. Pour configurer, incluez les instructions d’action souhaitées et un compteur dans l’instruction then dans un filtre de pare-feu et appliquez le filtre à une interface.
Dans l’échantillonnage, le routeur examine une partie du trafic et envoie des rapports sur cet échantillon au serveur de surveillance des flux. Le trafic de comptabilité de rejet est compté et surveillé, mais pas transféré hors du routeur. Le trafic en miroir des ports est copié et envoyé vers une autre interface. Le trafic accepté est transféré à la destination prévue.
La plupart de ces combinaisons de correspondances sont valables. Cependant, vous pouvez soit mettre en miroir des ports ou échantillonner avec le même trafic en même temps, mais ne pas effectuer plus d’une action simultanément sur les mêmes paquets.
[edit]
firewall {
family inet {
filter active_filter {
term quarantined_traffic {
from {
source-address {
10.36.1.2/32;
}
}
then {
count quarantined-counter;
sample;
discard accounting;
}
}
term copy_and_forward_the_rest {
then {
port-mirror;
accept;
}
}
}
}
}