Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Points d’application de filtrage de pare-feu sans état

Après avoir défini le filtre de pare-feu, vous devez l’appliquer à un point d’application. Ces points d’application comprennent des interfaces logiques, des interfaces physiques, des interfaces de routage et des instances de routage.

Dans la plupart des cas, vous pouvez appliquer un filtre de pare-feu en tant que filtre d’entrée ou de sortie , ou les deux en même temps. Les filtres d’entrée agissent sur les paquets reçus sur l’interface spécifiée, tandis que les filtres de sortie agissent sur les paquets transmis par l’interface spécifiée.

Vous appliquez généralement un filtre avec plusieurs termes à une interface logique unique, au trafic entrant, au trafic sortant, ou les deux. Cependant, il peut arriver que vous souhaitiez enchaîner plusieurs filtres de pare-feu (avec un ou plusieurs termes) et les appliquer à une interface. Vous utilisez une liste d’entrées pour appliquer plusieurs filtres de pare-feu au trafic entrant sur une interface. Vous utilisez une liste de sorties pour appliquer plusieurs filtres de pare-feu au trafic sortant sur une interface. Vous pouvez inclure jusqu’à 16 filtres dans une liste d’entrées ou de sorties.

Il n’y a pas de limite au nombre de filtres et de compteurs que vous pouvez définir, mais il existe quelques considérations pratiques. Plus de compteurs nécessitent plus de termes, et un grand nombre de termes peuvent prendre beaucoup de temps à traiter pendant une opération de validation. Cependant, les filtres avec plus de 4 000 termes et compteurs ont été implémentés avec succès.

Tableau 1 décrit chaque point auquel vous pouvez appliquer un filtre de pare-feu. Pour chaque point d’application, le tableau décrit les types de filtres de pare-feu pris en charge à ce point, le niveau hiérarchique de routeur (ou de commutateur) auquel le filtre peut être appliqué, ainsi que toutes les limitations spécifiques à la plate-forme.

Tableau 1 : Configuration du filtre de pare-feu sans état et résumé de l’application

Type de filtre

Point d’application

Restrictions

Filtre de pare-feu sans état

Configurez en incluant l’énoncé filter filter-name au niveau de la [edit firewall] hiérarchie :

filter filter-name;
REMARQUE :

Si vous n’incluez pas l’instruction family , le filtre de pare-feu traite le trafic IPv4 par défaut.

Interface logique

Appliquez au niveau de la [edit interfaces interface-name unit unit-number family inet] hiérarchie en incluant les input filter-name ou output filter-name des déclarations :

filter {
    input filter-name;
    output filter-name;
}
REMARQUE :

Un filtre configuré avec la famille de protocoles implicite inet ne peut pas être inclus dans une liste de filtres d’entrée ou de sortie.

REMARQUE :

Sur les SPC de type 5 T4000, un filtre attaché au point d’application de couche 2 (c’est-à-dire au niveau de l’interface logique) ne peut pas correspondre avec la classe de transfert d’un paquet définie par un classificateur de couche 3 tel que DSCP, DSCP V6 et inet-precedencempls-exp.

Compatible avec les routeurs suivants :

  • Routeurs T Series

  • routeurs M320

  • M7i routeurs avec le CFEB amélioré (CFEB-e)

  • M10i routeurs avec le CFEB-e amélioré

Également compatible avec les concentrateurs de ports modulaires (MPC) suivants sur les routeurs MX Series :

  • MPC 10 Gigabit Ethernet

  • MPC de file d’attente 60 Gigabit Ethernet

  • MPC de file d’attente améliorée 60 Gigabit Ethernet

  • MPC 100 Gigabit Ethernet

  • Également pris en charge sur les commutateurs EX Series

Filtre de pare-feu sans état

Configurez au niveau de la [edit firewall family family-name] hiérarchie en incluant l’instruction suivante :

filter filter-name;

Il family-name peut s’agir de l’une des familles de protocoles suivantes :

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Famille de protocoles sur une interface logique

Appliquez au niveau de la [edit interfaces interface-name unit unit-number family family-name] hiérarchie, y compris les input, input-list, outputou output-list les déclarations :

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

La famille de bridge protocoles n’est prise en charge que sur les routeurs MX Series.

Filtre de pare-feu sans état

Interface de bouclage du moteur de routage

 

Filtre de service

Configurez au niveau de la [edit firewall family (inet | inet6)] hiérarchie en incluant l’instruction suivante :

service-filter service-filter-name;

Famille inet ou inet6 sur une interface logique

Appliquez au niveau hiérarchique en [edit interfaces interface-name unit unit-number family (inet | inet6)] utilisant l’instruction service-set pour appliquer un filtre de service en tant que filtre d’entrée ou de sortie à un ensemble de services :

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
} 

Configurez un ensemble de services au niveau de la [edit services] hiérarchie en incluant l’instruction suivante :

 service-set service-set-name;

Compatible uniquement avec adaptive services (AS) et multiservices (MS).

Filtre post-service

Configurez au niveau de la [edit firewall family (inet | inet6)] hiérarchie en incluant l’instruction suivante :

service-filter service-filter-name;

Famille inet ou inet6 sur une interface logique

Appliquez au niveau de la [edit interfaces interface-name unit unit-number family (inet | inet6)] hiérarchie en incluant l’instruction d’appliquer post-service-filter un filtre de service en tant que filtre d’entrée :

service {
    input {
        post-service-filter filter-name;
    }
}

Un filtre post-service est appliqué au trafic revenant à l’interface de services après le traitement du service. Le filtre n’est appliqué que si un ensemble de services est configuré et sélectionné.

Filtre simple

Configurez au niveau de la [edit firewall family inet] hiérarchie en incluant l’instruction suivante :

simple-filter filter-name

Famille inet sur une interface logique

Appliquez au niveau de la [edit interfaces interface-name unit unit-number family inet] hiérarchie en incluant l’instruction suivante :

simple-filter simple-filter-name;

Les filtres simples ne peuvent être appliqués qu’en tant que filtres d’entrée.

Pris en charge uniquement sur les plates-formes suivantes :

  • PIC de mise en file d’attente intelligente Gigabit Ethernet (IQ2) sur les routeurs M120, M320 et T Series.

  • Concentrateurs de ports denses de file d’attente (EQ DPC) améliorés sur les routeurs MX Series (et les commutateurs EX Series).

Filtre de vérification RPF (Reverse Packet Forwarding)

Configuré au niveau de la [edit firewall family (inet | inet6)] hiérarchie en incluant l’instruction suivante :

filter filter-name; 

Famille inet ou inet6 sur une interface logique

Appliquez au niveau de la [edit interfaces interface-name unit unit-number family (inet | inet6)] hiérarchie en incluant l’instruction suivante :

rpf-check fail-filter filter-name

pour appliquer le filtre de pare-feu sans état en tant que filtre de vérification RPF.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Compatible avec les routeurs MX Series et les commutateurs EX Series uniquement.