Comprendre comment les filtres de pare-feu testent le protocole d’un paquet
Lors de l’examen des conditions d’appariement, Juniper Networks Système d'exploitation Junos (Junos OS) pour Juniper Networks EX Series Commutateurs Ethernet teste uniquement le champ spécifié. Le logiciel ne teste pas implicitement l’en-tête IP pour déterminer si un paquet est un paquet IP. Par conséquent, dans certains cas, vous devez spécifier protocol des conditions de correspondance de champ en conjonction avec d’autres conditions de correspondance pour vous assurer que les filtres effectuent les correspondances attendues.
Si vous spécifiez une condition de correspondance de protocole ou une correspondance de type ICMP ou du champ indicateurs TCP, il n’y a pas de correspondance de protocole implicite. Pour les conditions de correspondance suivantes, vous devez spécifier explicitement la condition de correspondance de protocole dans le même terme :
destination-port: spécifiez la correspondance protocol tcp ou protocol udp.
source-port: spécifiez la correspondance protocol tcp ou protocol udp.
Si vous ne spécifiez pas le protocole lors de l’utilisation des champs précédents, concevez vos filtres avec soin pour vous assurer qu’ils effectuent les correspondances attendues. Par exemple, si vous spécifiez une correspondance de , le commutateur fait correspondre de manière déterministe tous les paquets dont la valeur est dans le champ de deux octets qui se trouve à deux octets au-delà de la fin de destination-port ssh22 l’en-tête IP, sans jamais vérifier le champ de protocole IP.