Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Évaluation des filtres de pare-feu

Un filtre de pare-feu se compose d’un ou de plusieurs termes, et l’ordre des termes dans un filtre de pare-feu est important. Avant de configurer les filtres de pare-feu, vous devez comprendre comment Juniper Networks EX Series Commutateurs Ethernet termes d’un filtre de pare-feu et comment les paquets sont évalués par rapport aux conditions.

Lorsqu’un filtre de pare-feu se compose d’un terme unique, le filtre est évalué comme suit:

  • Si le paquet correspond à toutes les conditions, l’action dans then l’énoncé est prise.

  • Si le paquet correspond à toutes les conditions et qu’aucune action n’est indiquée dans then l’instruction, l’action par accept défaut est prise.

Lorsqu’un filtre de pare-feu se compose de plusieurs termes, le filtre de pare-feu est évalué de façon séquentielle:

  1. Le paquet est évalué selon les conditions de from l’énoncé dans la première durée.

  2. Si le paquet correspond à toutes les conditions du terme, l’action dans then l’énoncé est prise et l’évaluation se termine. Les modalités suivantes dans le filtre ne sont pas évaluées.

  3. Si le paquet ne correspond pas à toutes les conditions du terme, le paquet est évalué selon les conditions de l’énoncé from au deuxième terme.

    Ce processus se poursuit jusqu’à ce que le paquet soit en correspondance avec les conditions de l’énoncé dans l’une des modalités suivantes ou qu’il n’en reste from plus dans le filtre.

  4. Si un paquet passe par toutes les modalités du filtre sans correspondance, le paquet est écarté.

Figure 1 montre comment un commutateur EX Series évalue les conditions dans un filtre de pare-feu.

Figure 1 : Évaluation des conditions dans un filtre de pare-feuÉvaluation des conditions dans un filtre de pare-feu

Si une expression ne contient pas d’instruction, le paquet est considéré comme correspondre et l’action contenue dans from l’énoncé de ce terme est then prise.

Si un terme ne contient pas d’instruction, ou si une action n’a pas été configurée dans l’énoncé et que le paquet correspond aux conditions de l’énoncé de ce terme, le paquet est thenthenfrom accepté.

Chaque filtre de pare-feu contient une instruction implicite à la fin du filtre, qui est équivalente au terme deny de filtre explicite suivant:

Par conséquent, si un paquet passe par toutes les modalités dans un filtre sans correspondant à aucune condition, le paquet est éliminé. Si vous configurez un filtre de pare-feu sans termes, tous les paquets qui passent par ce filtre sont éliminés.