Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Présentation des filtres de pare-feu pour commutateurs EX Series

Les filtres de pare-feu fournissent des règles qui définissent s’il faut autoriser, refuser ou transférer les paquets qui transitent par une interface sur un Juniper Networks EX Series Commutateur Ethernet d’une adresse source vers une adresse de destination. Vous configurez des filtres de pare-feu pour déterminer s’il faut autoriser, refuser ou transférer le trafic avant qu’il n’entre ou ne sorte d’un port, d’un VLAN ou d’une interface de couche 3 (routé) à laquelle le filtre de pare-feu est appliqué. Pour appliquer un filtre de pare-feu, vous devez d’abord le configurer, puis l’appliquer à un port, un VLAN ou une interface de couche 3.

Vous pouvez appliquer des filtres de pare-feu aux interfaces réseau, aux interfaces Ethernet agrégées (également appelées groupes d’agrégation de liens (LAG)), aux interfaces de bouclage, aux interfaces de gestion, aux interfaces Ethernet de gestion virtuelle (VME) et aux interfaces VLAN routées (RVI). Pour plus d’informations sur les commutateurs EX Series prenant en charge un filtre de pare-feu sur ces interfaces, reportez-vous à la section Présentation des fonctionnalités logicielles des commutateurs EX Series.

Un filtre de pare-feu d’entrée est un filtre appliqué aux paquets qui entrent dans un réseau. Un filtre de pare-feu de sortie est un filtre appliqué aux paquets qui quittent un réseau. Vous pouvez configurer des filtres de pare-feu pour soumettre les paquets au filtrage, au marquage de classe de service (CoS) (regroupement de types de trafic similaires et traitement de chaque type de trafic comme une classe avec sa propre priorité de niveau de service) et au contrôle du trafic (contrôle du débit maximal de trafic envoyé ou reçu sur une interface).

REMARQUE :

Les mécanismes de contrôle sur les ports réseau, les couches 2 et 3, ou les interfaces IRB ne contrôlent pas le trafic lié à l’hôte. Mais si vous voulez empêcher les attaques DDoS, vous pouvez créer un filtre de pare-feu sur le lo0 qui protège le moteur de routage.

Types de filtres de pare-feu

Les types de filtres de pare-feu suivants sont pris en charge pour les commutateurs EX Series :

  • Port (Layer 2) firewall filter (Port (Layer 2) firewall filter—Les filtres de pare-feu de port s’appliquent aux ports de commutateur de couche 2. Vous pouvez appliquer des filtres de pare-feu de port dans les sens entrant et sortant sur un port physique.

  • Filtre de pare-feu VLAN : les filtres de pare-feu VLAN fournissent un contrôle d’accès pour les paquets qui entrent dans un VLAN, sont pontés au sein d’un VLAN ou en sortent. Vous pouvez appliquer des filtres de pare-feu VLAN dans les sens entrants et sortants sur un VLAN. Les filtres de pare-feu VLAN sont appliqués à tous les paquets transférés vers ou depuis le VLAN.

  • Filtre de pare-feu de routeur (couche 3) : vous pouvez appliquer un filtre de pare-feu de routeur dans les directions d’entrée et de sortie sur les interfaces de couche 3 (routés) et les interfaces VLAN routés (RVI). Vous pouvez également appliquer un filtre de pare-feu de routeur dans le sens d’entrée sur l’interface de bouclage (lo0). Les filtres de pare-feu configurés sur les interfaces de bouclage sont appliqués uniquement aux paquets envoyés au processeur du moteur de routage pour un traitement ultérieur.

Vous pouvez appliquer des filtres de port, de VLAN ou de pare-feu de routeur au trafic IPv4 et IPv6 sur les commutateurs suivants :

  • Commutateur EX2200

  • Commutateur EX3300

  • Commutateur EX3200

  • Commutateur EX4200

  • Commutateur EX4300

  • Commutateur EX4400

  • Commutateur EX4500

  • Commutateur EX4550

  • Commutateur EX6200

  • Commutateur EX8200

Pour plus d’informations sur les filtres de pare-feu pris en charge sur différents commutateurs, reportez-vous à la section Prise en charge de la plate-forme pour les conditions de correspondance des filtres de pare-feu, les actions et les modificateurs d’action sur les commutateurs EX Series.

Composants du filtre de pare-feu

Dans un filtre de pare-feu, vous définissez d’abord le type d’adresse de famille (, inet, ou ), puis vous définissez un ou plusieurs termes qui spécifient les critères de filtrage (spécifiés en tant que termes avec des conditions de correspondance) et l’action (ethernet-switchingspécifiée en tant qu’actions ou inet6modificateurs d’action) à effectuer si une correspondance se produit.

Le nombre maximal de termes autorisés par filtre de pare-feu pour les commutateurs EX Series est de :

  • 512 pour les commutateurs EX2200

  • 1436 pour les commutateurs EX3300

    REMARQUE :

    Sur les commutateurs EX3300, si vous ajoutez et supprimez des filtres comportant un grand nombre de termes (de l’ordre de 1000 ou plus) au cours d’une même opération de validation, tous les filtres ne sont pas installés. Vous devez ajouter des filtres dans une opération de validation et supprimer des filtres dans une opération de validation distincte.

  • 7 042 pour les commutateurs EX3200 et EX4200, selon l’allocation dynamique de la mémoire ternaire adressable au contenu (TCAM) pour les filtres de pare-feu.

  • Sur les commutateurs EX4300, le nombre maximal de termes suivants est pris en charge pour le trafic entrant et sortant, pour les serveurs de fichiers de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

    • Pour le trafic entrant :

      • 3 500 termes pour les filtres de pare-feu configurés sur un port

      • 3500 termes pour les filtres de pare-feu configurés sur un VLAN

      • 7 000 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 3 500 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    • Pour les périphériques EX4300-MP, la prise en charge de l’entrée est la même que celle décrite ci-dessus, à l’exception de ce qui suit :

      • 3072 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

    • Pour le trafic sortant :

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    REMARQUE :

    Vous pouvez configurer le nombre maximal de termes uniquement lorsque vous configurez un type de filtre de pare-feu (filtre de pare-feu de port, de VLAN ou de routeur (couche 3)) sur le commutateur et lorsque le contrôle de tempête n’est activé sur aucune interface du commutateur.

  • Pour les commutateurs EX4400, le nombre maximal de termes suivants est pris en charge pour le trafic entrant et sortant, pour les filtres de pare-feu configurés sur un port, un VLAN et des interfaces de couche 3.

    • Pour le trafic entrant :

      • 2048 pour les filtres de pare-feu configurés sur un port.

      • 2048 pour les filtres de pare-feu configurés sur un VLAN.

      • 2048 pour les filtres de pare-feu configurés sur les interfaces de couche 3.

    • Pour le trafic sortant :

      • 1024 Termes désignant les filtres de pare-feu configurés sur un port.

      • 512 termes pour les filtres de pare-feu configurés sur un VLAN.

      • 1024 pour les filtres de pare-feu configurés sur les interfaces de couche 3.

  • 1200 pour les commutateurs EX4500 et EX4550

  • 1400 pour les commutateurs EX6200

  • 32 768 pour les commutateurs EX8200

REMARQUE :

L’allocation dynamique à la demande du TCAM en espace partagé dans les commutateurs EX8200 est obtenue en affectant des blocs d’espace libre aux filtres du pare-feu. Les filtres de pare-feu sont classés en deux pools différents. Les filtres de port et de VLAN sont regroupés (le seuil de mémoire de ce pool est de 22 Ko), tandis que les filtres de pare-feu de routeur sont regroupés séparément (le seuil de ce pool est de 32 Ko). L’affectation se fait en fonction du type de pool de filtres. Les blocs d’espace libre ne peuvent être partagés qu’entre les filtres de pare-feu appartenant au même type de pool de filtres. Un message d’erreur est généré lorsque vous essayez de configurer un filtre de pare-feu au-delà du seuil TCAM.

Chaque terme se compose des éléments suivants :

  • Conditions d’appariement : spécifiez les valeurs ou les champs que le paquet doit contenir. Vous pouvez définir différentes conditions de correspondance, notamment le champ d’adresse IP source, le champ d’adresse IP de destination, le champ de port source TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol), le champ de protocole IP, le type de paquet ICMP (Internet Control Message Protocol), les indicateurs TCP et les interfaces.

  • Action : spécifie ce qu’il faut faire si un paquet correspond aux conditions de correspondance. Les actions possibles consistent à accepter ou à rejeter le paquet, ou à l’envoyer à une interface de routage virtuelle spécifique. De plus, les paquets peuvent être comptés pour collecter des informations statistiques. Si aucune action n’est spécifiée pour une période, l’action par défaut consiste à accepter le paquet.

  • Modificateur d’action : spécifie une ou plusieurs actions pour le commutateur si un paquet correspond aux conditions de correspondance. Vous pouvez spécifier des modificateurs d’action tels que le nombre, la mise en miroir, la limite de débit et la classification des paquets.

Traitement du filtre de pare-feu

L’ordre des termes dans la configuration d’un filtre de pare-feu est important. Les paquets sont testés par rapport à chaque terme dans l’ordre dans lequel ils sont répertoriés dans la configuration du filtre de pare-feu. Pour plus d’informations sur la façon dont les filtres de pare-feu traitent les paquets, consultez Comprendre comment les filtres de pare-feu sont évalués.

Rubriques connexes