Points d’application filtre de pare-feu sans état

Une fois le filtre de pare-feu défini,vous devez l’appliquer à un point d’application. Ces points d’application incluent les interfaces logiques, les interfaces physiques, les interfaces de routage et les instances de routage.

Dans la plupart des cas, vous pouvez appliquer un filtre de pare-feu en tant que filtre d’entrée ou de sortie, ou les deux en même temps. Les filtres d’entrée prennent des mesures pour les paquets reçus sur l’interface spécifiée, tandis que les filtres de sortie prennent des mesures sur les paquets transmis par l’intermédiaire de l’interface spécifiée.

En général, vous appliquez un filtre avec plusieurs termes à une interface logiqueunique, au trafic entrant, au trafic sortant, ou les deux. Cependant, il peut être difficile de enchaîner plusieurs filtres de pare-feu (avec des termes simples ou multiples) et de les appliquer à une interface. Vous utilisez une liste d’entrées pour appliquer plusieurs filtres de pare-feu au trafic entrant sur une interface. Vous utilisez une liste de sortie pour appliquer plusieurs filtres de pare-feu au trafic sortant sur une interface. Vous pouvez inclure jusqu’à 16 filtres dans une liste d’entrées ou une liste de sortie.

Le nombre de filtres et de compteurs que vous pouvez définir n’est pas limité, mais il existe quelques considérations pratiques. De plus en plus de compteurs exigent des termes plus importants, et le traitement d’un grand nombre de termes peut prendre beaucoup de temps au cours d’une opération de validation. Cependant, les filtres de plus de 4 000 termes et compteurs ont été mis en œuvre avec succès.

Tableau 1 décrit chaque point sur lequel vous pouvez appliquer un filtre de pare-feu. Pour chaque point d’application, le tableau décrit les types de filtres de pare-feu pris en charge à ce stade, le niveau hiérarchique du routeur (ou du commutateur) auquel le filtre peut être appliqué, ainsi que toutes les limitations propres à la plate-forme.

Tableau 1 : Configuration des filtres de pare-feu sans état et résumé des applications
Type de filtre	Point d’application	Restrictions
Filtre de pare-feu sans état Configurez en incluant `filter filter-name` l’énoncé le niveau `[edit firewall]` hiérarchique: filter `filter-name`; Remarque : Si l’énoncé n’est pas inclus, le filtre de pare-feu `family` traite le trafic IPv4 par défaut.	Interface logique Appliquer au niveau `[edit interfaces interface-name unit unit-number family inet]` hiérarchique en incluant les ou les `input filter-nameoutput filter-name` instructions: filter { input `filter-name`; output `filter-name`; } Remarque : Un filtre configuré avec la famille de protocoles implicite ne peut pas être inclus dans une liste de filtres d’entrée ou `inet` dans une liste de filtres de sortie. Remarque : Sur T4000 FPC de type 5, un filtre fixé au point d’application de couche 2 (c’est-à-dire au niveau de l’interface logique) n’est pas en mesure de faire correspondre la classe de forwarding d’un paquet définie par un classificateur de couche 3 comme DSCP, DSCP V6 `inet-precedence` et `mpls-exp` .	Pris en charge sur les routeurs suivants: T Series routeurs de nouvelle T Series, M320 routeurs de nouvelle M320, M7i routeurs avec cfEB amélioré (CFEB-e) M10i routeurs de nouvelle version avec le CFEB-e Également pris en charge sur les concentrateurs de ports modulaires (MPC) suivants sur MX Series routeurs: MPC 10 Gigabit Ethernet MPC de 60 Gigabit Ethernet Deuing MPC de requêtes améliorées 60 Gigabit Ethernet MPC 100 Gigabit Ethernet Également pris en charge sur EX Series commutateurs
Filtre de pare-feu sans état Configurez au niveau de `[edit firewall family family-name]` la hiérarchie en incluant l’instruction suivante: filter `filter-name`; Il `family-name` peut s’utiliser dans l’une des familles de protocoles suivantes: `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	Famille de protocoles sur une interface logique Appliquez-les `[edit interfaces interface-name unit unit-number family family-name]` au niveau de la hiérarchie en incluant , ou les `inputinput-listoutputoutput-list` instructions: filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	La famille de `bridge` protocoles est prise en charge uniquement MX Series routeurs.
Filtre de pare-feu sans état	moteur de routage boucle de données
Filtre de service Configurez au niveau de `[edit firewall family (inet \| inet6)]` la hiérarchie en incluant l’instruction suivante: service-filter `service-filter-name`;	Famille `inet` ou sur une interface `inet6` logique Appliquez-les au niveau de la hiérarchie en utilisant l’instruction pour appliquer un filtre de service en tant que filtre d’entrée ou de sortie à `[edit interfaces interface-name unit unit-number family (inet \| inet6)]service-set` un ensemble de services: service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } Configurez un ensemble de services au niveau de la hiérarchie `[edit services]` en incluant l’instruction suivante: `service-set service-set-name`;	Prise en charge uniquement sur LES PIC de services adaptatifs (AS) et multiservices (MS).
Filtre après-service Configurez au niveau de `[edit firewall family (inet \| inet6)]` la hiérarchie en incluant l’instruction suivante: service-filter `service-filter-name`;	Famille `inet` ou sur une interface `inet6` logique Appliquez-le au niveau de la hiérarchie en incluant l’instruction d’appliquer un filtre `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` de service en tant que filtre `post-service-filter` d’entrée: service { input { post-service-filter `filter-name`; } }	Un filtre post-service est appliqué au trafic renvoyant à l’interface de services après traitement des services. Le filtre n’est appliqué que si un ensemble de services est configuré et sélectionné.
Filtre simple Configurez au niveau de `[edit firewall family inet]` la hiérarchie en incluant l’instruction suivante: simple-filter `filter-name`	Famille `inet` sur une interface logique Appliquez l’instruction suivante au niveau de la `[edit interfaces interface-name unit unit-number family inet]` hiérarchie: simple-filter `simple-filter-name`;	Les filtres simples peuvent uniquement être appliqués en tant que filtres d’entrée. Prise en charge sur les plates-formes suivantes uniquement: Cartes IP Gigabit Ethernet intelligent (IQ2) de mise en file d’M120, M320 routeurs T Series réseau. Concentrateurs de ports denses de file d’DPC (EQ) améliorés sur MX Series routeurs (EX Series commutateurs).
Filtre de contrôle du paquet inversé (RPF) Configuré au niveau de `[edit firewall family (inet \| inet6)]` la hiérarchie en incluant l’instruction suivante: filter `filter-name`;	Famille `inet` ou sur une interface `inet6` logique Appliquez l’instruction suivante au niveau de la `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hiérarchie: rpf-check fail-filter `filter-name` pour appliquer le filtre de pare-feu sans état comme filtre de contrôle RPF. rpf-check { fail-filter `filter-name`; mode loose; }	Prise en charge sur MX Series routeurs et EX Series commutateurs uniquement.