Comprendre comment les filtres de pare-feu sont évalués
Un filtre de pare-feu est constitué d’un ou de plusieurs termes, et l’ordre des termes à l’intérieur d’un filtre de pare-feu est important. Avant de configurer des filtres de pare-feu, vous devez comprendre comment évaluer les termes Juniper Networks EX Series Commutateurs Ethernet l’intérieur d’un filtre de pare-feu et comment les paquets sont évalués par rapport à ces termes.
Lorsqu’un filtre de pare-feu est constitué d’un seul terme, il est évalué comme suit :
Si le paquet répond à toutes les conditions, l’action de l’instruction
then
est effectuée.Si le paquet correspond à toutes les conditions et qu’aucune action n’est spécifiée dans l’instruction, l’action
then
accept par défaut est effectuée.
Lorsqu’un filtre de pare-feu est composé de plusieurs termes, il est évalué de manière séquentielle :
Le paquet est évalué par rapport aux conditions de l’instruction
from
au premier terme.Si le paquet répond à toutes les conditions du terme, l’action de l’instruction est effectuée et l’évaluation
then
se termine. Les termes suivants dans le filtre ne sont pas évalués.Si le paquet ne correspond pas à toutes les conditions du terme, il est évalué par rapport aux conditions de l’instruction
from
du second terme.Ce processus se poursuit jusqu’à ce que le paquet corresponde aux conditions de l’instruction
from
dans l’un des termes suivants ou qu’il n’y ait plus de termes dans le filtre.Si un paquet passe par tous les termes du filtre sans correspondance, il est ignoré.
Figure 1 montre comment un commutateur EX Series évalue les termes dans un filtre de pare-feu.
Si un terme ne contient pas d’instruction, le paquet est considéré comme correspondant et l’action from
dans l’énoncé then
du terme est effectuée.
Si un terme ne contient pas d’instruction, ou si une action n’a pas été configurée dans l’instruction, et que le paquet correspond aux conditions de l’énoncé then
then
from
du terme, le paquet est accepté.
Chaque filtre de pare-feu contient une instruction implicite deny
à la fin du filtre, qui est équivalente au terme de filtre explicite suivant :
term implicit-rule { then discard; }
Par conséquent, si un paquet passe par tous les termes d’un filtre sans correspondre à aucune condition, il est ignoré. Si vous configurez un filtre de pare-feu qui n’a pas de termes, tous les paquets qui passent par le filtre sont ignorés.