Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des filtres de pare-feu pour les commutateurs EX Series

Les filtres de pare-feu fournissent des règles qui définissent s’il est possible d’autoriser, refuser ou transférer des paquets transitant par une interface d’un commutateur Ethernet EX Series de Juniper Networks d’une adresse source à une adresse de destination. Vous configurez les filtres de pare-feu pour déterminer s’il faut autoriser, refuser ou transférer le trafic avant qu’il n’entre ou sorte d’une interface de port, de VLAN ou de couche 3 (routée) vers laquelle le filtre de pare-feu est appliqué. Pour appliquer un filtre de pare-feu, vous devez d’abord configurer le filtre, puis l’appliquer à un port, un VLAN ou une interface de couche 3.

Vous pouvez appliquer des filtres de pare-feu aux interfaces réseau, aux interfaces Ethernet agrégées (également connues sous le nom de groupes d’agrégation de liens (LAG), aux interfaces de bouclage, aux interfaces de gestion, aux interfaces Ethernet de gestion virtuelle (VME) et aux interfaces VLAN routés (RVIs). Pour plus d’informations sur les commutateurs EX Series qui prennent en charge un filtre de pare-feu sur ces interfaces, consultez la présentation des fonctionnalités logicielles des commutateurs EX Series.

Un filtre de pare-feu entrant est un filtre qui s’applique aux paquets entrant dans un réseau. Un filtre de pare-feu sortant est un filtre qui s’applique aux paquets qui quittent un réseau. Vous pouvez configurer des filtres de pare-feu pour soumettre les paquets au filtrage, au marquage de classe de service (CoS) (regroupement de types de trafic similaires et traitement de chaque type de trafic comme une classe avec son propre niveau de priorité de service) et au contrôle du trafic (contrôle du débit maximal de trafic envoyé ou reçu sur une interface).

Types de filtres de pare-feu

Les types de filtres de pare-feu suivants sont pris en charge pour les commutateurs EX Series :

  • Filtre de pare-feu de couche 2 : les filtres de pare-feu de port s’appliquent aux ports de commutation de couche 2. Vous pouvez appliquer des filtres de pare-feu de port dans les directions d’entrée et de sortie sur un port physique.

  • Filtre de pare-feu VLAN : les filtres de pare-feu VLAN fournissent un contrôle d’accès pour les paquets entrant dans un VLAN, pontés dans un VLAN ou quittant un VLAN. Vous pouvez appliquer des filtres de pare-feu VLAN dans les directions d’entrée et de sortie sur un VLAN. Les filtres de pare-feu VLAN sont appliqués à tous les paquets qui sont transféré vers ou transféré à partir du VLAN.

  • Filtre de pare-feu de routeur (couche 3) : vous pouvez appliquer un filtre de pare-feu de routeur dans les directions d’entrée et de sortie sur les interfaces de couche 3 (routées) et les interfaces VLAN routées (RVIs). Vous pouvez également appliquer un filtre de pare-feu de routeur dans la direction d’entrant de l’interface de bouclage (lo0loopback). Les filtres de pare-feu configurés sur les interfaces de bouclage sont appliqués uniquement aux paquets envoyés au processeur du moteur de routage pour un traitement ultérieur.

Vous pouvez appliquer des filtres de port, VLAN ou de pare-feu de routeur au trafic IPv4 et IPv6 sur ces commutateurs :

  • Commutateur EX2200

  • Commutateur EX3300

  • Commutateur EX3200

  • Commutateur EX4200

  • Commutateur EX4300

  • Commutateur EX4500

  • Commutateur EX4550

  • Commutateur EX6200

  • Commutateur EX8200

Pour plus d’informations sur les filtres de pare-feu pris en charge sur différents commutateurs, consultez La prise en charge de la plate-forme pour les conditions de correspondance des filtres de pare-feu, les actions et les modificateurs d’action sur les commutateurs EX Series.

Composants du filtre de pare-feu

Dans un filtre de pare-feu, vous définissez d’abord le type d’adresse de la famille (ethernet-switching, inetou inet6), puis vous définissez un ou plusieurs termes qui spécifient les critères de filtrage (spécifiés en tant que conditions de correspondance) et l’action (spécifiée comme actions ou modificateurs d’action) à entreprendre en cas de correspondance.

Le nombre maximum de termes autorisés par filtre de pare-feu pour les commutateurs EX Series est :

  • 512 pour commutateurs EX2200

  • 1436 pour commutateurs EX3300

    Remarque :

    Sur les commutateurs EX3300, si vous ajoutez et supprimez des filtres comportant un grand nombre de termes (de l’ordre de 1 000 ou plus) dans la même opération de validation, tous les filtres ne sont pas installés. Vous devez ajouter des filtres en une seule opération de validation et supprimer les filtres dans une opération de validation séparée.

  • 7 042 pour les commutateurs EX3200 et EX4200, attribués par l’allocation dynamique de mémoire TCAM (content addressable memory) ternaire pour les filtres de pare-feu.

  • Sur les commutateurs EX4300, le nombre maximum de termes suivants est pris en charge pour le trafic entrant et sortant, pour les fichiers de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

    • Pour le trafic entrant :

      • 3 500 termes pour les filtres de pare-feu configurés sur un port

      • 3 500 termes pour les filtres de pare-feu configurés sur un VLAN

      • 7 000 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 3 500 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    • Pour les équipements EX4300-MP, la prise en charge de l’entrant est la même que celle ci-dessus, à l’exception suivante :

      • Termes 3072 pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

    • Pour le trafic sortant :

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    Remarque :

    Vous pouvez configurer le nombre maximum de termes uniquement lorsque vous configurez un type de filtre de pare-feu (port, VLAN ou filtre de pare-feu de couche 3) sur le commutateur, et lorsque storm control n’est pas activé sur n’importe quelle interface du commutateur.

  • 1200 pour les commutateurs EX4500 et EX4550

  • 1400 pour commutateurs EX6200

  • 32 768 pour les commutateurs EX8200

Remarque :

L’allocation dynamique à la demande de l’espace partagé TCAM dans les commutateurs EX8200 est obtenue en affectant des blocs d’espace gratuits aux filtres de pare-feu. Les filtres de pare-feu sont catégorisés en deux pools différents. Les filtres de port et de VLAN sont regroupés (le seuil de mémoire de ce pool est de 22 K) tandis que les filtres de pare-feu du routeur sont mis en commun séparément (le seuil pour ce pool est de 32 K). L’attribution se fait en fonction du type de pool de filtres. Les blocs d’espace libre peuvent être partagés uniquement entre les filtres de pare-feu appartenant au même type de pool de filtres. Un message d’erreur est généré lorsque vous tentez de configurer un filtre de pare-feu au-delà du seuil TCAM.

Chaque terme se compose des composants suivants :

  • Conditions de correspondance : spécifiez les valeurs ou les champs que le paquet doit contenir. Vous pouvez définir diverses conditions de correspondance, notamment le champ d’adresse source IP, le champ d’adresse de destination IP, le protocole TCP (Transmission Control Protocol) ou le champ de port source UDP (User Datagram Protocol), le champ protocole IP, le type de paquet ICMP (Internet Control Message Protocol), les indicateurs TCP et les interfaces.

  • Action : spécifie ce qu’il faut faire si un paquet correspond aux conditions de correspondance. Les actions possibles sont d’accepter ou de rejeter le paquet ou d’envoyer le paquet vers une interface de routage virtuelle spécifique. En outre, les paquets peuvent être comptés pour collecter des informations statistiques. Si aucune action n’est spécifiée pour un terme, l’action par défaut est d’accepter le paquet.

  • Modifier l’action : spécifie une ou plusieurs actions pour le commutateur si un paquet correspond aux conditions de correspondance. Vous pouvez spécifier des modificateurs d’action tels que le nombre, la mise en miroir, la limite de débit et la classification des paquets.

Traitement des filtres de pare-feu

L’ordre des conditions d’une configuration de filtre de pare-feu est important. Les paquets sont testés par rapport à chaque terme dans l’ordre dans lequel les termes sont répertoriés dans la configuration du filtre de pare-feu. Pour savoir comment les filtres de pare-feu traitent les paquets, consultez Understanding How Firewall Filters Are Evaluated.