Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Composants de filtre de pare-feu sans état

Cette rubrique couvre les informations suivantes :

Famille de protocoles

Sous l’instruction firewall , vous pouvez spécifier la famille de protocoles pour laquelle vous souhaitez filtrer le trafic.

Tableau 1 Décrit les familles de protocoles de filtre de pare-feu .

Tableau 1 : Familles de protocoles de filtre de pare-feu

Type de trafic à filtrer

Instruction de configuration

Commentaires

Indépendant du protocole

family any

Toutes les familles de protocoles configurées sur une interface logique.

Protocole Internet version 4 (IPv4)

family inet

L’instruction family inet est facultative pour IPv4.

Protocole Internet version 6 (IPv6)

family inet6

  

MPLS

family mpls

  

IPv4 avec balise MPLS

family mpls

Prend en charge la correspondance sur les adresses IP et les ports, jusqu’à cinq étiquettes empilées MPLS.

IPv6 avec balise MPLS

family mpls

Prend en charge la correspondance sur les adresses IP et les ports, jusqu’à cinq étiquettes empilées MPLS.

Service de réseau local privé virtuel (VPLS)

family vpls

Connexion croisée de circuit de couche 2

family ccc

Pontage de couche 2

family bridge (pour les routeurs MX Series) et family ethernet-switching (pour les commutateurs EX Series)

Routeurs MX Series et commutateurs EX Series uniquement.

Type de filtre

Sous l’instruction family family-name , vous pouvez spécifier le type et le nom du filtre que vous souhaitez configurer.

Tableau 2 Décrit les types de filtres de pare-feu.

Tableau 2 : Types de filtres

Type de filtre

Instruction de configuration

Description
Filtre de pare-feu standard

filter filter-name

Filtre les types de trafic suivants :

  • Indépendant du protocole

  • IPv4 (en anglais)

  • Prise en charge IPv6

  • MPLS

  • IPv4 avec balise MPLS

  • IPv6 avec balise MPLS

  • VPLS

  • CCC de couche 2

  • Pontage de couche 2 (routeurs MX Series et commutateurs EX Series uniquement)
Filtre de service

service-filter service-filter-name

Définit le filtrage des paquets à appliquer aux entrées ou aux sorties avant qu’ils ne soient acceptés pour le traitement des services ou appliqués au trafic des services de retour une fois le traitement des services terminé.

Filtre les types de trafic suivants :

  • IPv4 (en anglais)

  • Prise en charge IPv6

Pris en charge au niveau des interfaces logiques configurées sur le matériel suivant uniquement :

  • Services adaptatifs (AS) PICs sur les routeurs M Series et T Series

  • PIC multiservices (MS) sur les routeurs M Series et T Series

  • DPC multiservices (MS) sur les routeurs MX Series (et les commutateurs EX Series)
Filtre simple

simple-filter simple-filter-name

Définit le filtrage des paquets à appliquer au trafic entrant uniquement.

Filtre le type de trafic suivant :

  • IPv4 (en anglais)

Pris en charge au niveau des interfaces logiques configurées sur le matériel suivant uniquement :

  • Les PIC Gigabit Ethernet Intelligent Queuing (IQ2) installés sur les routeurs M120, M320 ou T Series

  • Concentrateurs de ports denses en file d’attente (EQ DPC) améliorés installés sur les routeurs MX Series (et les commutateurs EX Series)

Termes

Sous l’instruction filter, ou simple-filter , service-filtervous devez configurer au moins un terme de filtre de pare-feu. Un terme est une structure nommée dans laquelle des conditions de correspondance et des actions sont définies. Dans un filtre de pare-feu, vous devez configurer un nom unique pour chaque terme.

Conseil :

Pour chaque famille de protocoles d’une interface, vous ne pouvez pas appliquer plus d’un filtre dans chaque direction. Si vous essayez d’appliquer des filtres supplémentaires pour la même famille de protocoles dans la même direction, le dernier filtre remplace le filtre précédent. Vous pouvez cependant appliquer des filtres de la même famille de protocoles au sens d’entrée et de sortie d’une même interface.

Tous les filtres de pare-feu sans état contiennent un ou plusieurs termes, et chaque terme se compose de deux composants : les conditions de correspondance et les actions. Les conditions de correspondance définissent les valeurs ou les champs que le paquet doit contenir pour être considéré comme une correspondance. Si un paquet est une correspondance, l’action correspondante est effectuée. Par défaut, un paquet qui ne correspond pas à un filtre de pare-feu est ignoré.

Si un paquet arrive sur une interface pour laquelle aucun filtre de pare-feu n’est appliqué au trafic entrant sur cette interface, le paquet est accepté par défaut.

REMARQUE :

Un filtre de pare-feu comportant un grand nombre de termes peut affecter négativement le temps de validation de la configuration et les performances du moteur de routage.

En outre, vous pouvez configurer un filtre de pare-feu sans état à l’intérieur de la durée d’un autre filtre. Cette méthode vous permet d’ajouter des termes communs à plusieurs filtres sans avoir à modifier toutes les définitions de filtres. Vous pouvez configurer un filtre avec les termes communs souhaités et configurer ce filtre en tant que terme dans d’autres filtres. Par conséquent, pour apporter une modification à ces termes communs, vous devez modifier un seul filtre contenant les termes communs, au lieu de plusieurs filtres.

Match Conditions

Un terme de filtre de pare-feu doit contenir au moins un critère de filtrage de paquets, appelé condition de correspondance, pour spécifier le champ ou la valeur qu’un paquet doit contenir afin d’être considéré comme correspondant au terme de filtre de pare-feu. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme. Si un paquet correspond à un terme de filtre de pare-feu, le routeur (ou le commutateur) effectue l’action configurée sur le paquet.

Si un terme de filtre de pare-feu contient plusieurs conditions de correspondance, un paquet doit répondre à toutes les conditions de correspondance pour être considéré comme une correspondance pour le terme de filtre de pare-feu.

Si une condition de correspondance unique est configurée avec plusieurs valeurs, telle qu’une plage de valeurs, un paquet ne doit correspondre qu’à une seule des valeurs pour être considéré comme une correspondance pour le terme de filtre du pare-feu.

L’étendue des conditions de correspondance que vous pouvez spécifier dans un terme de filtre de pare-feu dépend de la famille de protocoles sous laquelle le filtre de pare-feu est configuré. Vous pouvez définir différentes conditions de correspondance, notamment le champ d’adresse IP source, le champ d’adresse IP de destination, le champ de port source TCP ou UDP, le champ de protocole IP, le type de paquet ICMP (Internet Control Message Protocol), les options IP, les indicateurs TCP, l’interface logique ou physique entrante et l’interface logique ou physique sortante. Il s’agit de conditions de correspondance prédéfinies ou fixes.

Sur MX Series routeurs Universal Edge 3D avec MPC ou MIC, il est possible de créer des conditions de correspondance flexibles pour les familles de protocoles IPv4, IPv6, pont de couche 2, CCC et VPLS. Ces conditions de correspondance flexibles permettent à l’utilisateur de spécifier l’emplacement de départ, le décalage des octets, la longueur de la correspondance et d’autres paramètres dans le paquet.

Chaque famille de protocoles prend en charge un ensemble différent de conditions de correspondance, et certaines conditions de correspondance ne sont prises en charge que sur certains périphériques de routage. Par exemple, un certain nombre de conditions de correspondance pour le trafic VPLS sont prises en charge uniquement sur les routeurs Universal Edge 3D MX Series.

Dans l’instruction d’un terme de filtre de pare-feu, vous spécifiez les caractéristiques que le paquet doit avoir pour que l’action de l’instruction from suivante then soit exécutée. Les caractéristiques sont appelées conditions de correspondance. Le paquet doit correspondre à toutes les conditions de l’instruction pour que l’action soit exécutée, ce qui signifie également que l’ordre des conditions de l’instruction fromfrom n’a pas d’importance.

Si une condition de correspondance individuelle peut spécifier une liste de valeurs (telles que plusieurs adresses source et de destination) ou une plage de valeurs numériques, une correspondance se produit si l’une des valeurs correspond au paquet.

Si un terme de filtre ne spécifie pas de conditions de correspondance, il accepte tous les paquets et les actions spécifiées dans l’instruction du then terme sont facultatives.

REMARQUE :

Certaines des conditions de correspondance de plage numérique et de champ binaire vous permettent de spécifier un synonyme de texte. Pour une liste complète des synonymes :

  • Si vous utilisez l’interface J-Web, sélectionnez le synonyme dans la liste appropriée.

  • Si vous utilisez l’interface de ligne de commande, tapez un point d’interrogation (?) après l’instruction from .

Actions

Les actions spécifiées dans un terme de filtre de pare-feu définissent les actions à effectuer pour tout paquet qui correspond aux conditions spécifiées dans le terme.

Les actions configurées au sein d’un terme unique sont toutes effectuées sur le trafic qui correspond aux conditions configurées.

bonnes pratiques :

Nous vous recommandons vivement de configurer explicitement une ou plusieurs actions par terme de filtre de pare-feu. Tout paquet qui correspond à toutes les conditions du terme est automatiquement accepté, sauf si le terme spécifie d’autres actions ou des actions supplémentaires.

Les actions de filtrage du pare-feu se répartissent dans les catégories suivantes :

Actions de terminaison de filtre

Une action d’arrêt de filtre interrompt toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur (ou commutateur) effectue l’action spécifiée et aucun terme supplémentaire n’est examiné.

Actions non résiliables

Les actions non arrêtantes sont utilisées pour exécuter d’autres fonctions sur un paquet, telles que l’incrémentation d’un compteur, la journalisation d’informations sur l’en-tête du paquet, l’échantillonnage des données du paquet ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journal système.

La présence d’une action non terminante, telle que , ou , sans action d’arrêt explicite, telle que count, ou rejectsyslog, logdiscardentraîne une action d’arrêt par défaut de accept.accept Si vous ne souhaitez pas que l’action de filtre de pare-feu s’arrête, utilisez l’action après l’action next term sans arrêt.

REMARQUE :

Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié en tant qu’action mais sans aucune condition de correspondance configurée n’est pas pris en charge.

Dans cet exemple, le terme 2 n’est jamais évalué, car le terme 1 a l’action de résiliation implicite par défaut accept .

Dans cet exemple, le terme 2 est évalué, car le terme 1 a l’action de contrôle de flux explicite next term .

Action de contrôle de flux

Pour les filtres de pare-feu sans état standard uniquement, l’action next term permet au routeur (ou au commutateur) d’effectuer des actions configurées sur le paquet, puis d’évaluer le terme suivant dans le filtre, plutôt que d’arrêter le filtre.

Un maximum de 1024 next term actions sont prises en charge par configuration de filtre de pare-feu sans état standard. Si vous configurez un filtre standard qui dépasse cette limite, votre configuration candidate entraîne une erreur de validation.

Rubriques connexes