Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre comment les filtres de pare-feu sont évalués

Un filtre de pare-feu est constitué d’un ou de plusieurs termes, et l’ordre des termes à l’intérieur d’un filtre de pare-feu est important. Avant de configurer des filtres de pare-feu, vous devez comprendre comment évaluer les termes Juniper Networks EX Series Commutateurs Ethernet l’intérieur d’un filtre de pare-feu et comment les paquets sont évalués par rapport à ces termes.

Lorsqu’un filtre de pare-feu est constitué d’un seul terme, il est évalué comme suit :

  • Si le paquet répond à toutes les conditions, l’action de l’instruction then est effectuée.

  • Si le paquet correspond à toutes les conditions et qu’aucune action n’est spécifiée dans l’instruction, l’action thenaccept par défaut est effectuée.

Lorsqu’un filtre de pare-feu est composé de plusieurs termes, il est évalué de manière séquentielle :

  1. Le paquet est évalué par rapport aux conditions de l’instruction from au premier terme.

  2. Si le paquet répond à toutes les conditions du terme, l’action de l’instruction est effectuée et l’évaluation then se termine. Les termes suivants dans le filtre ne sont pas évalués.

  3. Si le paquet ne correspond pas à toutes les conditions du terme, il est évalué par rapport aux conditions de l’instruction from du second terme.

    Ce processus se poursuit jusqu’à ce que le paquet corresponde aux conditions de l’instruction from dans l’un des termes suivants ou qu’il n’y ait plus de termes dans le filtre.

  4. Si un paquet passe par tous les termes du filtre sans correspondance, il est ignoré.

Figure 1 montre comment un commutateur EX Series évalue les termes dans un filtre de pare-feu.

Figure 1 : Évaluation des termes à l’intérieur d’un filtre de pare-feuÉvaluation des termes à l’intérieur d’un filtre de pare-feu

Si un terme ne contient pas d’instruction, le paquet est considéré comme correspondant et l’action from dans l’énoncé then du terme est effectuée.

Si un terme ne contient pas d’instruction, ou si une action n’a pas été configurée dans l’instruction, et que le paquet correspond aux conditions de l’énoncé thenthenfrom du terme, le paquet est accepté.

Chaque filtre de pare-feu contient une instruction implicite deny à la fin du filtre, qui est équivalente au terme de filtre explicite suivant :

Par conséquent, si un paquet passe par tous les termes d’un filtre sans correspondre à aucune condition, il est ignoré. Si vous configurez un filtre de pare-feu qui n’a pas de termes, tous les paquets qui passent par le filtre sont ignorés.

Rubriques connexes