Composants de filtre de pare-feu sans état
Cette rubrique couvre les informations suivantes :
Famille de protocoles
Sous l’instruction firewall
, vous pouvez spécifier la famille de protocoles pour laquelle vous souhaitez filtrer le trafic.
Tableau 1 Décrit les familles de protocoles de filtre de pare-feu .
Type de trafic à filtrer |
Instruction de configuration |
Commentaires |
---|---|---|
Indépendant du protocole |
|
Toutes les familles de protocoles configurées sur une interface logique. |
Protocole Internet version 4 (IPv4) |
|
L’instruction |
Protocole Internet version 6 (IPv6) |
|
|
MPLS |
|
|
IPv4 avec balise MPLS |
|
Prend en charge la correspondance sur les adresses IP et les ports, jusqu’à cinq étiquettes empilées MPLS. |
IPv6 avec balise MPLS |
|
Prend en charge la correspondance sur les adresses IP et les ports, jusqu’à cinq étiquettes empilées MPLS. |
Service de réseau local privé virtuel (VPLS) |
|
|
Connexion croisée de circuit de couche 2 |
|
|
Pontage de couche 2 |
|
Routeurs MX Series et commutateurs EX Series uniquement. |
Type de filtre
Sous l’instruction family family-name
, vous pouvez spécifier le type et le nom du filtre que vous souhaitez configurer.
Tableau 2 Décrit les types de filtres de pare-feu.
Type de filtre |
Instruction de configuration |
Description |
---|---|---|
Filtre de pare-feu standard |
|
Filtre les types de trafic suivants :
|
Filtre de service |
|
Définit le filtrage des paquets à appliquer aux entrées ou aux sorties avant qu’ils ne soient acceptés pour le traitement des services ou appliqués au trafic des services de retour une fois le traitement des services terminé. Filtre les types de trafic suivants :
Pris en charge au niveau des interfaces logiques configurées sur le matériel suivant uniquement :
|
Filtre simple |
|
Définit le filtrage des paquets à appliquer au trafic entrant uniquement. Filtre le type de trafic suivant :
Pris en charge au niveau des interfaces logiques configurées sur le matériel suivant uniquement :
|
Termes
Sous l’instruction filter
, ou simple-filter
, service-filter
vous devez configurer au moins un terme de filtre de pare-feu. Un terme est une structure nommée dans laquelle des conditions de correspondance et des actions sont définies. Dans un filtre de pare-feu, vous devez configurer un nom unique pour chaque terme.
Pour chaque famille de protocoles d’une interface, vous ne pouvez pas appliquer plus d’un filtre dans chaque direction. Si vous essayez d’appliquer des filtres supplémentaires pour la même famille de protocoles dans la même direction, le dernier filtre remplace le filtre précédent. Vous pouvez cependant appliquer des filtres de la même famille de protocoles au sens d’entrée et de sortie d’une même interface.
Tous les filtres de pare-feu sans état contiennent un ou plusieurs termes, et chaque terme se compose de deux composants : les conditions de correspondance et les actions. Les conditions de correspondance définissent les valeurs ou les champs que le paquet doit contenir pour être considéré comme une correspondance. Si un paquet est une correspondance, l’action correspondante est effectuée. Par défaut, un paquet qui ne correspond pas à un filtre de pare-feu est ignoré.
Si un paquet arrive sur une interface pour laquelle aucun filtre de pare-feu n’est appliqué au trafic entrant sur cette interface, le paquet est accepté par défaut.
Un filtre de pare-feu comportant un grand nombre de termes peut affecter négativement le temps de validation de la configuration et les performances du moteur de routage.
En outre, vous pouvez configurer un filtre de pare-feu sans état à l’intérieur de la durée d’un autre filtre. Cette méthode vous permet d’ajouter des termes communs à plusieurs filtres sans avoir à modifier toutes les définitions de filtres. Vous pouvez configurer un filtre avec les termes communs souhaités et configurer ce filtre en tant que terme dans d’autres filtres. Par conséquent, pour apporter une modification à ces termes communs, vous devez modifier un seul filtre contenant les termes communs, au lieu de plusieurs filtres.
Match Conditions
Un terme de filtre de pare-feu doit contenir au moins un critère de filtrage de paquets, appelé condition de correspondance, pour spécifier le champ ou la valeur qu’un paquet doit contenir afin d’être considéré comme correspondant au terme de filtre de pare-feu. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme. Si un paquet correspond à un terme de filtre de pare-feu, le routeur (ou le commutateur) effectue l’action configurée sur le paquet.
Si un terme de filtre de pare-feu contient plusieurs conditions de correspondance, un paquet doit répondre à toutes les conditions de correspondance pour être considéré comme une correspondance pour le terme de filtre de pare-feu.
Si une condition de correspondance unique est configurée avec plusieurs valeurs, telle qu’une plage de valeurs, un paquet ne doit correspondre qu’à une seule des valeurs pour être considéré comme une correspondance pour le terme de filtre du pare-feu.
L’étendue des conditions de correspondance que vous pouvez spécifier dans un terme de filtre de pare-feu dépend de la famille de protocoles sous laquelle le filtre de pare-feu est configuré. Vous pouvez définir différentes conditions de correspondance, notamment le champ d’adresse IP source, le champ d’adresse IP de destination, le champ de port source TCP ou UDP, le champ de protocole IP, le type de paquet ICMP (Internet Control Message Protocol), les options IP, les indicateurs TCP, l’interface logique ou physique entrante et l’interface logique ou physique sortante. Il s’agit de conditions de correspondance prédéfinies ou fixes.
Sur MX Series routeurs Universal Edge 3D avec MPC ou MIC, il est possible de créer des conditions de correspondance flexibles pour les familles de protocoles IPv4, IPv6, pont de couche 2, CCC et VPLS. Ces conditions de correspondance flexibles permettent à l’utilisateur de spécifier l’emplacement de départ, le décalage des octets, la longueur de la correspondance et d’autres paramètres dans le paquet.
Chaque famille de protocoles prend en charge un ensemble différent de conditions de correspondance, et certaines conditions de correspondance ne sont prises en charge que sur certains périphériques de routage. Par exemple, un certain nombre de conditions de correspondance pour le trafic VPLS sont prises en charge uniquement sur les routeurs Universal Edge 3D MX Series.
Dans l’instruction d’un terme de filtre de pare-feu, vous spécifiez les caractéristiques que le paquet doit avoir pour que l’action de l’instruction from
suivante then
soit exécutée. Les caractéristiques sont appelées conditions de correspondance. Le paquet doit correspondre à toutes les conditions de l’instruction pour que l’action soit exécutée, ce qui signifie également que l’ordre des conditions de l’instruction from
from
n’a pas d’importance.
Si une condition de correspondance individuelle peut spécifier une liste de valeurs (telles que plusieurs adresses source et de destination) ou une plage de valeurs numériques, une correspondance se produit si l’une des valeurs correspond au paquet.
Si un terme de filtre ne spécifie pas de conditions de correspondance, il accepte tous les paquets et les actions spécifiées dans l’instruction du then
terme sont facultatives.
Certaines des conditions de correspondance de plage numérique et de champ binaire vous permettent de spécifier un synonyme de texte. Pour une liste complète des synonymes :
Si vous utilisez l’interface J-Web, sélectionnez le synonyme dans la liste appropriée.
Si vous utilisez l’interface de ligne de commande, tapez un point d’interrogation (
?
) après l’instructionfrom
.
Actions
Les actions spécifiées dans un terme de filtre de pare-feu définissent les actions à effectuer pour tout paquet qui correspond aux conditions spécifiées dans le terme.
Les actions configurées au sein d’un terme unique sont toutes effectuées sur le trafic qui correspond aux conditions configurées.
Nous vous recommandons vivement de configurer explicitement une ou plusieurs actions par terme de filtre de pare-feu. Tout paquet qui correspond à toutes les conditions du terme est automatiquement accepté, sauf si le terme spécifie d’autres actions ou des actions supplémentaires.
Les actions de filtrage du pare-feu se répartissent dans les catégories suivantes :
Actions de terminaison de filtre
Une action d’arrêt de filtre interrompt toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur (ou commutateur) effectue l’action spécifiée et aucun terme supplémentaire n’est examiné.
Actions non résiliables
Les actions non arrêtantes sont utilisées pour exécuter d’autres fonctions sur un paquet, telles que l’incrémentation d’un compteur, la journalisation d’informations sur l’en-tête du paquet, l’échantillonnage des données du paquet ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journal système.
La présence d’une action non terminante, telle que , ou , sans action d’arrêt explicite, telle que count
, ou reject
syslog
, log
discard
entraîne une action d’arrêt par défaut de accept
.accept
Si vous ne souhaitez pas que l’action de filtre de pare-feu s’arrête, utilisez l’action après l’action next term
sans arrêt.
Sur Junos OS Evolved, next term
ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term
est spécifié en tant qu’action mais sans aucune condition de correspondance configurée n’est pas pris en charge.
Dans cet exemple, le terme 2 n’est jamais évalué, car le terme 1 a l’action de résiliation implicite par défaut accept
.
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; <accept> #By default if not specified } } term 2 { then { reject; } }
Dans cet exemple, le terme 2 est évalué, car le terme 1 a l’action de contrôle de flux explicite next term
.
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; next term; } } term 2 { then { reject; } }
Action de contrôle de flux
Pour les filtres de pare-feu sans état standard uniquement, l’action next term
permet au routeur (ou au commutateur) d’effectuer des actions configurées sur le paquet, puis d’évaluer le terme suivant dans le filtre, plutôt que d’arrêter le filtre.
Un maximum de 1024 next term
actions sont prises en charge par configuration de filtre de pare-feu sans état standard. Si vous configurez un filtre standard qui dépasse cette limite, votre configuration candidate entraîne une erreur de validation.