Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Points d’application filtre de pare-feu sans état

Une fois le filtre de pare-feu défini,vous devez l’appliquer à un point d’application. Ces points d’application incluent les interfaces logiques, les interfaces physiques, les interfaces de routage et les instances de routage.

Dans la plupart des cas, vous pouvez appliquer un filtre de pare-feu en tant que filtre d’entrée ou de sortie, ou les deux en même temps. Les filtres d’entrée prennent des mesures pour les paquets reçus sur l’interface spécifiée, tandis que les filtres de sortie prennent des mesures sur les paquets transmis par l’intermédiaire de l’interface spécifiée.

En général, vous appliquez un filtre avec plusieurs termes à une interface logiqueunique, au trafic entrant, au trafic sortant, ou les deux. Cependant, il peut être difficile de enchaîner plusieurs filtres de pare-feu (avec des termes simples ou multiples) et de les appliquer à une interface. Vous utilisez une liste d’entrées pour appliquer plusieurs filtres de pare-feu au trafic entrant sur une interface. Vous utilisez une liste de sortie pour appliquer plusieurs filtres de pare-feu au trafic sortant sur une interface. Vous pouvez inclure jusqu’à 16 filtres dans une liste d’entrées ou une liste de sortie.

Le nombre de filtres et de compteurs que vous pouvez définir n’est pas limité, mais il existe quelques considérations pratiques. De plus en plus de compteurs exigent des termes plus importants, et le traitement d’un grand nombre de termes peut prendre beaucoup de temps au cours d’une opération de validation. Cependant, les filtres de plus de 4 000 termes et compteurs ont été mis en œuvre avec succès.

Tableau 1 décrit chaque point sur lequel vous pouvez appliquer un filtre de pare-feu. Pour chaque point d’application, le tableau décrit les types de filtres de pare-feu pris en charge à ce stade, le niveau hiérarchique du routeur (ou du commutateur) auquel le filtre peut être appliqué, ainsi que toutes les limitations propres à la plate-forme.

Tableau 1 : Configuration des filtres de pare-feu sans état et résumé des applications

Type de filtre

Point d’application

Restrictions

Filtre de pare-feu sans état

Configurez en incluant filter filter-name l’énoncé le niveau [edit firewall] hiérarchique:

filter filter-name;
Remarque :

Si l’énoncé n’est pas inclus, le filtre de pare-feu family traite le trafic IPv4 par défaut.

Interface logique

Appliquer au niveau [edit interfaces interface-name unit unit-number family inet] hiérarchique en incluant les ou les input filter-nameoutput filter-name instructions:

filter {
    input filter-name;
    output filter-name;
}
Remarque :

Un filtre configuré avec la famille de protocoles implicite ne peut pas être inclus dans une liste de filtres d’entrée ou inet dans une liste de filtres de sortie.

Remarque :

Sur T4000 FPC de type 5, un filtre fixé au point d’application de couche 2 (c’est-à-dire au niveau de l’interface logique) n’est pas en mesure de faire correspondre la classe de forwarding d’un paquet définie par un classificateur de couche 3 comme DSCP, DSCP V6 inet-precedence et mpls-exp .

Pris en charge sur les routeurs suivants:

  • T Series routeurs de nouvelle T Series,

  • M320 routeurs de nouvelle M320,

  • M7i routeurs avec cfEB amélioré (CFEB-e)

  • M10i routeurs de nouvelle version avec le CFEB-e

Également pris en charge sur les concentrateurs de ports modulaires (MPC) suivants sur MX Series routeurs:

  • MPC 10 Gigabit Ethernet

  • MPC de 60 Gigabit Ethernet Deuing

  • MPC de requêtes améliorées 60 Gigabit Ethernet

  • MPC 100 Gigabit Ethernet

  • Également pris en charge sur EX Series commutateurs

Filtre de pare-feu sans état

Configurez au niveau de [edit firewall family family-name] la hiérarchie en incluant l’instruction suivante:

filter filter-name;

Il family-name peut s’utiliser dans l’une des familles de protocoles suivantes:

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Famille de protocoles sur une interface logique

Appliquez-les [edit interfaces interface-name unit unit-number family family-name] au niveau de la hiérarchie en incluant , ou les inputinput-listoutputoutput-list instructions:

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

La famille de bridge protocoles est prise en charge uniquement MX Series routeurs.

Filtre de pare-feu sans état

moteur de routage boucle de données

 

Filtre de service

Configurez au niveau de [edit firewall family (inet | inet6)] la hiérarchie en incluant l’instruction suivante:

service-filter service-filter-name;

Famille inet ou sur une interface inet6 logique

Appliquez-les au niveau de la hiérarchie en utilisant l’instruction pour appliquer un filtre de service en tant que filtre d’entrée ou de sortie à [edit interfaces interface-name unit unit-number family (inet | inet6)]service-set un ensemble de services:

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
} 

Configurez un ensemble de services au niveau de la hiérarchie [edit services] en incluant l’instruction suivante:

 service-set service-set-name;

Prise en charge uniquement sur LES PIC de services adaptatifs (AS) et multiservices (MS).

Filtre après-service

Configurez au niveau de [edit firewall family (inet | inet6)] la hiérarchie en incluant l’instruction suivante:

service-filter service-filter-name;

Famille inet ou sur une interface inet6 logique

Appliquez-le au niveau de la hiérarchie en incluant l’instruction d’appliquer un filtre [edit interfaces interface-name unit unit-number family (inet | inet6)] de service en tant que filtre post-service-filter d’entrée:

service {
    input {
        post-service-filter filter-name;
    }
}

Un filtre post-service est appliqué au trafic renvoyant à l’interface de services après traitement des services. Le filtre n’est appliqué que si un ensemble de services est configuré et sélectionné.

Filtre simple

Configurez au niveau de [edit firewall family inet] la hiérarchie en incluant l’instruction suivante:

simple-filter filter-name

Famille inet sur une interface logique

Appliquez l’instruction suivante au niveau de la [edit interfaces interface-name unit unit-number family inet] hiérarchie:

simple-filter simple-filter-name;

Les filtres simples peuvent uniquement être appliqués en tant que filtres d’entrée.

Prise en charge sur les plates-formes suivantes uniquement:

  • Cartes IP Gigabit Ethernet intelligent (IQ2) de mise en file d’M120, M320 routeurs T Series réseau.

  • Concentrateurs de ports denses de file d’DPC (EQ) améliorés sur MX Series routeurs (EX Series commutateurs).

Filtre de contrôle du paquet inversé (RPF)

Configuré au niveau de [edit firewall family (inet | inet6)] la hiérarchie en incluant l’instruction suivante:

filter filter-name; 

Famille inet ou sur une interface inet6 logique

Appliquez l’instruction suivante au niveau de la [edit interfaces interface-name unit unit-number family (inet | inet6)] hiérarchie:

rpf-check fail-filter filter-name

pour appliquer le filtre de pare-feu sans état comme filtre de contrôle RPF.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Prise en charge sur MX Series routeurs et EX Series commutateurs uniquement.