Pare-feu sans état Filtrer les points d’application

Une fois que vous avez défini le filtre de pare-feu, vous devez l’appliquer à un point d’application. Ces points d’application comprennent les interfaces logiques, les interfaces physiques, les interfaces de routage et les instances de routage.

Dans la plupart des cas, vous pouvez appliquer un filtre de pare-feu en tant que filtre d’entrée ou de sortie , ou les deux en même temps. Les filtres d’entrée agissent sur les paquets reçus sur l’interface spécifiée, tandis que les filtres de sortie agissent sur les paquets qui sont transmis via l’interface spécifiée.

En général, vous appliquez un filtre avec plusieurs termes à une seule interface logique, au trafic entrant, au trafic sortant ou aux deux. Toutefois, il peut arriver que vous souhaitiez enchaîner plusieurs filtres de pare-feu (avec un ou plusieurs termes) et les appliquer à une interface. Une liste d’entrée permet d’appliquer plusieurs filtres de pare-feu au trafic entrant sur une interface. Une liste en sortie permet d’appliquer plusieurs filtres de pare-feu au trafic sortant sur une interface. Vous pouvez inclure jusqu’à 16 filtres dans une liste d’entrée ou une liste de sortie.

Il n’y a pas de limite au nombre de filtres et de compteurs que vous pouvez définir, mais il y a quelques considérations pratiques. Un plus grand nombre de compteurs nécessite plus de termes, et un grand nombre de termes peut prendre beaucoup de temps à traiter lors d’une opération de validation. Cependant, des filtres avec plus de 4000 termes et compteurs ont été implémentés avec succès.

Tableau 1 Décrit chaque point auquel vous pouvez appliquer un filtre de pare-feu. Pour chaque point d’application, le tableau décrit les types de filtres de pare-feu pris en charge à ce moment-là, le niveau hiérarchique du routeur (ou du commutateur) auquel le filtre peut être appliqué, ainsi que les éventuelles limitations spécifiques à la plate-forme.

Tableau 1 : Résumé de la configuration et de l’application du filtre de pare-feu sans état
Type de filtre	Point d’application	Restrictions
Filtre de pare-feu sans état Configurez en incluant l’instruction `filter filter-name` le niveau hiérarchique `[edit firewall]` : filter `filter-name`; REMARQUE : Si vous n’incluez pas l’instruction `family` , le filtre de pare-feu traite le trafic IPv4 par défaut.	Interface logique Appliquer au niveau de la `[edit interfaces interface-name unit unit-number family inet]` hiérarchie en incluant les `input filter-name` instructions ou `output filter-name` : filter { input `filter-name`; output `filter-name`; } REMARQUE : Un filtre configuré avec la famille de protocoles implicite `inet` ne peut pas être inclus dans une liste de filtres d’entrée ou de sortie. REMARQUE : Sur les FPC T4000 de type 5, un filtre attaché au point d’application de couche 2 (c’est-à-dire au niveau de l’interface logique) ne peut pas correspondre à la classe de transfert d’un paquet définie par un classificateur de couche 3 tel que DSCP, DSCP V6 `inet-precedence`et `mpls-exp`.	Pris en charge sur les routeurs suivants : Routeurs T Series Routeurs M320 Routeurs M7i avec le modèle CFEB amélioré (CFEB-e) Routeurs M10i dotés du modèle CFEB-e amélioré Également pris en charge sur les concentrateurs de ports modulaires (MPC) suivants sur les routeurs MX Series : MPC Ethernet 10 Gigabit MPC de file d’attente Ethernet 60 Gigabit MPC de file d’attente amélioré 60 Gigabit Ethernet MPC Ethernet 100 Gigabit Également pris en charge sur les commutateurs EX Series
Filtre de pare-feu sans état Configurez au niveau de la `[edit firewall family family-name]` hiérarchie en incluant l’instruction suivante : filter `filter-name`; Il `family-name` peut s’agir de l’une des familles de protocoles suivantes : `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	Famille de protocoles sur une interface logique Appliquer au niveau de la `[edit interfaces interface-name unit unit-number family family-name]` hiérarchie en incluant les `input`instructions , , `input-listoutput`ou `output-list` : filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	La famille de `bridge` protocoles est prise en charge uniquement sur les routeurs MX Series.
Filtre de pare-feu sans état	Interface de bouclage du moteur de routage
Filtre de service Configurez au niveau de la `[edit firewall family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : service-filter `service-filter-name`;	Famille `inet` ou `inet6` sur une interface logique Appliquer au niveau de la hiérarchie à l’aide de l’instruction pour appliquer un filtre de service en tant que filtre d’entrée ou de sortie à un ensemble de `[edit interfaces interface-name unit unit-number family (inet \| inet6)]service-set` services : service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } Configurez un ensemble de services au niveau de la `[edit services]` hiérarchie en incluant l’instruction suivante : `service-set service-set-name`;	Pris en charge uniquement sur les PIC Adaptive Services (AS) et Multiservices (MS).
Filtre post-service Configurez au niveau de la `[edit firewall family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : service-filter `service-filter-name`;	Famille `inet` ou `inet6` sur une interface logique Appliquer au niveau de la `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hiérarchie en incluant l’instruction `post-service-filter` pour appliquer un filtre de service en tant que filtre d’entrée : service { input { post-service-filter `filter-name`; } }	Un filtre postservice est appliqué au trafic qui retourne à l’interface des services après le traitement du service. Le filtre n’est appliqué que si un ensemble de services est configuré et sélectionné.
Filtre simple Configurez au niveau de la `[edit firewall family inet]` hiérarchie en incluant l’instruction suivante : simple-filter `filter-name`	Famille `inet` sur une interface logique Appliquez au niveau de la `[edit interfaces interface-name unit unit-number family inet]` hiérarchie en incluant l’instruction suivante : simple-filter `simple-filter-name`;	Les filtres simples ne peuvent être appliqués qu’en tant que filtres d’entrée. Uniquement pris en charge sur les plates-formes suivantes : Les PIC de file d’attente intelligente Gigabit Ethernet (IQ2) sur les routeurs M120, M320 et T Series. Concentrateurs de ports denses en file d’attente (EQ DPC) améliorés sur les routeurs MX Series (et les commutateurs EX Series).
Filtre de vérification RPF (Reverse Packet Forwarding) Configuré au niveau de la `[edit firewall family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : filter `filter-name`;	Famille `inet` ou `inet6` sur une interface logique Appliquez au niveau de la `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` hiérarchie en incluant l’instruction suivante : rpf-check fail-filter `filter-name` pour appliquer le filtre de pare-feu sans état en tant que filtre de vérification RPF. rpf-check { fail-filter `filter-name`; mode loose; }	Pris en charge sur les routeurs MX Series et les commutateurs EX Series uniquement.