Points d’application de filtrage de pare-feu sans état

Après avoir défini le filtre de pare-feu, vous devez l’appliquer à un point d’application. Ces points d’application comprennent des interfaces logiques, des interfaces physiques, des interfaces de routage et des instances de routage.

Dans la plupart des cas, vous pouvez appliquer un filtre de pare-feu en tant que filtre d’entrée ou de sortie , ou les deux en même temps. Les filtres d’entrée agissent sur les paquets reçus sur l’interface spécifiée, tandis que les filtres de sortie agissent sur les paquets transmis par l’interface spécifiée.

Vous appliquez généralement un filtre avec plusieurs termes à une interface logique unique, au trafic entrant, au trafic sortant, ou les deux. Cependant, il peut arriver que vous souhaitiez enchaîner plusieurs filtres de pare-feu (avec un ou plusieurs termes) et les appliquer à une interface. Vous utilisez une liste d’entrées pour appliquer plusieurs filtres de pare-feu au trafic entrant sur une interface. Vous utilisez une liste de sorties pour appliquer plusieurs filtres de pare-feu au trafic sortant sur une interface. Vous pouvez inclure jusqu’à 16 filtres dans une liste d’entrées ou de sorties.

Il n’y a pas de limite au nombre de filtres et de compteurs que vous pouvez définir, mais il existe quelques considérations pratiques. Plus de compteurs nécessitent plus de termes, et un grand nombre de termes peuvent prendre beaucoup de temps à traiter pendant une opération de validation. Cependant, les filtres avec plus de 4 000 termes et compteurs ont été implémentés avec succès.

Tableau 1 décrit chaque point auquel vous pouvez appliquer un filtre de pare-feu. Pour chaque point d’application, le tableau décrit les types de filtres de pare-feu pris en charge à ce point, le niveau hiérarchique de routeur (ou de commutateur) auquel le filtre peut être appliqué, ainsi que toutes les limitations spécifiques à la plate-forme.

Tableau 1 : Configuration du filtre de pare-feu sans état et résumé de l’application
Type de filtre	Point d’application	Restrictions
Filtre de pare-feu sans état Configurez en incluant l’énoncé `filter filter-name` au niveau de la `[edit firewall]` hiérarchie : filter `filter-name`; REMARQUE : Si vous n’incluez pas l’instruction `family` , le filtre de pare-feu traite le trafic IPv4 par défaut.	Interface logique Appliquez au niveau de la `[edit interfaces interface-name unit unit-number family inet]` hiérarchie en incluant les `input filter-name` ou `output filter-name` des déclarations : filter { input `filter-name`; output `filter-name`; } REMARQUE : Un filtre configuré avec la famille de protocoles implicite `inet` ne peut pas être inclus dans une liste de filtres d’entrée ou de sortie. REMARQUE : Sur les SPC de type 5 T4000, un filtre attaché au point d’application de couche 2 (c’est-à-dire au niveau de l’interface logique) ne peut pas correspondre avec la classe de transfert d’un paquet définie par un classificateur de couche 3 tel que DSCP, DSCP V6 et `inet-precedencempls-exp`.	Compatible avec les routeurs suivants : Routeurs T Series routeurs M320 M7i routeurs avec le CFEB amélioré (CFEB-e) M10i routeurs avec le CFEB-e amélioré Également compatible avec les concentrateurs de ports modulaires (MPC) suivants sur les routeurs MX Series : MPC 10 Gigabit Ethernet MPC de file d’attente 60 Gigabit Ethernet MPC de file d’attente améliorée 60 Gigabit Ethernet MPC 100 Gigabit Ethernet Également pris en charge sur les commutateurs EX Series
Filtre de pare-feu sans état Configurez au niveau de la `[edit firewall family family-name]` hiérarchie en incluant l’instruction suivante : filter `filter-name`; Il `family-name` peut s’agir de l’une des familles de protocoles suivantes : `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	Famille de protocoles sur une interface logique Appliquez au niveau de la `[edit interfaces interface-name unit unit-number family family-name]` hiérarchie, y compris les `input`, `input-list`, `output`ou `output-list` les déclarations : filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	La famille de `bridge` protocoles n’est prise en charge que sur les routeurs MX Series.
Filtre de pare-feu sans état	Interface de bouclage du moteur de routage
Filtre de service Configurez au niveau de la `[edit firewall family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : service-filter `service-filter-name`;	Famille `inet` ou `inet6` sur une interface logique Appliquez au niveau hiérarchique en `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` utilisant l’instruction `service-set` pour appliquer un filtre de service en tant que filtre d’entrée ou de sortie à un ensemble de services : service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } Configurez un ensemble de services au niveau de la `[edit services]` hiérarchie en incluant l’instruction suivante : `service-set service-set-name`;	Compatible uniquement avec adaptive services (AS) et multiservices (MS).
Filtre post-service Configurez au niveau de la `[edit firewall family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : service-filter `service-filter-name`;	Famille `inet` ou `inet6` sur une interface logique Appliquez au niveau de la `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hiérarchie en incluant l’instruction d’appliquer `post-service-filter` un filtre de service en tant que filtre d’entrée : service { input { post-service-filter `filter-name`; } }	Un filtre post-service est appliqué au trafic revenant à l’interface de services après le traitement du service. Le filtre n’est appliqué que si un ensemble de services est configuré et sélectionné.
Filtre simple Configurez au niveau de la `[edit firewall family inet]` hiérarchie en incluant l’instruction suivante : simple-filter `filter-name`	Famille `inet` sur une interface logique Appliquez au niveau de la `[edit interfaces interface-name unit unit-number family inet]` hiérarchie en incluant l’instruction suivante : simple-filter `simple-filter-name`;	Les filtres simples ne peuvent être appliqués qu’en tant que filtres d’entrée. Pris en charge uniquement sur les plates-formes suivantes : PIC de mise en file d’attente intelligente Gigabit Ethernet (IQ2) sur les routeurs M120, M320 et T Series. Concentrateurs de ports denses de file d’attente (EQ DPC) améliorés sur les routeurs MX Series (et les commutateurs EX Series).
Filtre de vérification RPF (Reverse Packet Forwarding) Configuré au niveau de la `[edit firewall family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : filter `filter-name`;	Famille `inet` ou `inet6` sur une interface logique Appliquez au niveau de la `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : rpf-check fail-filter `filter-name` pour appliquer le filtre de pare-feu sans état en tant que filtre de vérification RPF. rpf-check { fail-filter `filter-name`; mode loose; }	Compatible avec les routeurs MX Series et les commutateurs EX Series uniquement.