Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compréhension de la planification des filtres de pare-feu

Avant de créer un filtre de pare-feu et de l’appliquer à une interface, déterminez ce que vous souhaitez que ce filtre de pare-feu réalise et comment utiliser ses conditions et actions de correspondance pour atteindre vos objectifs. Vous devez comprendre comment les paquets sont assortis pour s’assortir aux conditions, les actions par défaut et configurées du filtre de pare-feu et la position appropriée du filtre de pare-feu.

Vous pouvez configurer et appliquer pas plus d’un filtre de pare-feu par port, VLAN ou interface de routeur, par direction. Les limites suivantes s’appliquent au nombre de termes de filtre de pare-feu autorisés par filtre sur différents modèles de commutateurs:

  • Pour EX3300, le nombre de termes par filtre ne peut pas dépasser 1 436.

  • Sur les commutateurs EX3200 et EX4200, le nombre de termes par filtre ne peut pas dépasser 7042.

  • Sur EX2300, le nombre maximal de termes suivants est pris en charge pour le trafic d’entrée et de sortie, pour les filtres de pare-feu configurés sur un port, un VLAN et une interface de couche 3:

    • Pour le trafic d’entrée:

      • 256 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • 256 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 256 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    • Pour le trafic de sortie:

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 128 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    Sur les EX3400, le nombre maximal de termes suivants est pris en charge pour le trafic d’entrée et de sortie, pour les filtres de pare-feu configurés sur un port, un VLAN et une interface de couche 3:

    • Pour le trafic d’entrée:

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 512 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    • Pour le trafic de sortie:

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • Conditions de 1024 pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • Conditions de 1024 pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    Sur EX4300 commutateurs, le nombre maximal de termes suivants est pris en charge pour le trafic d’entrée et de sortie, pour les serveurs de pare-feu configurés sur un port, un VLAN et une interface de couche 3:

    • Pour le trafic d’entrée:

      • 3 500 termes pour les filtres de pare-feu configurés sur un port

      • 3 500 termes pour les filtres de pare-feu configurés sur un VLAN

      • 7 000 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 3 500 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      Remarque :

      La limite TCAM (ternary content addressable memory) du trafic d’entrée du commutateur d’EX4300 est de 256 entrées.

    • Pour le trafic de sortie:

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      Remarque :

      Vous pouvez configurer le nombre maximal de termes uniquement lorsque vous configurez un type de filtre de pare-feu (port, VLAN ou filtre de pare-feu de couche 3) sur le commutateur, et lorsque le storm control n’est activé sur aucune interface du commutateur.

  • Pour EX4500 commutateurs EX4550, le nombre de termes par filtre ne peut pas dépasser 1 200.

  • Sur EX6200 commutateurs, le nombre de termes par filtre ne peut pas dépasser 1 400.

  • Pour EX8200, le nombre de termes par filtre ne peut pas dépasser 32 768.

En outre, essayez d’être différentes au niveau du nombre de termes (règles) que vous insérez dans chaque filtre de pare-feu, car un grand nombre de termes nécessitent un temps de traitement plus long pendant un validation et peuvent également rendre plus difficile le test de filtre de pare-feu et le dépannage. De même, l’application de filtres de pare-feu sur de nombreuses interfaces de commutateurs et de routeurs peut rendre difficiles les tests et le dépannage des règles de ces filtres.

Avant de configurer et d’appliquer des filtres de pare-feu, répondez aux questions suivantes pour chacun de ces filtres de pare-feu:

  1. Quel est l’objectif du filtre de pare-feu?

    Par exemple, vous pouvez utiliser un filtre de pare-feu pour limiter le trafic vers les adresses MAC de source et de destination, des protocoles spécifiques ou certains taux de données, ou pour empêcher les déni de service (DoS).

  2. Quelles sont les conditions de correspondance appropriées?

    1. Déterminez les champs d’en-tête du paquet que le paquet doit contenir pour une correspondance. Les champs possibles incluent:

      • Champs d’en-tête de couche 2: adresses MAC source et de destination, balise dot1q, type Ethernet et VLAN

      • Champs d’en-tête de couche 3: adresses IP source et de destination, protocoles et options IP (préséance IP, indicateurs de fragmentation IP, type TTL)

      • Champs d’en-tête TCP: ports et indicateurs source et de destination

      • Champs d’en-tête ICMP: type et code des paquets

    2. Déterminez le port, le VLAN ou l’interface du routeur sur lequel le paquet a été reçu.

  3. Quelles actions prendre en cas de correspondance?

    Les actions à prendre en cas de correspondance sont acceptées, écartées et transmis à une instance de routage.

  4. Quelles actions supplémentaires peuvent être requises?

    Déterminer si des actions supplémentaires sont requises si un paquet correspond à une condition de correspondance ; par exemple, vous pouvez spécifier un modifier l’action pour compter, analyser ou policer les paquets.

  5. Sur quelle interface le filtre de pare-feu doit-il être appliqué?

    Commencez par les directives de base suivantes:

    • Si tous les paquets entrant dans un port doivent être exposés au filtrage, alors utilisez des filtres de pare-feu de port.

    • Si tous les paquets pontés ont besoin d’être filtrés, alors utilisez des filtres de pare-feu VLAN.

    • Si tous les paquets acheminés ont besoin d’être filtrés, utilisez des filtres de pare-feu.

    Avant de choisir l’interface sur laquelle appliquer un filtre de pare-feu, comprenez l’impact de ce positionnement sur le flux de trafic sur les autres interfaces. En général, appliquez un filtre de pare-feu qui filtre les adresses IP source et de destination, les protocoles IP ou les informations de protocole, tels que les types de messages ICMP et les numéros de ports TCP et UDP, au plus près des équipements source. Cependant, appliquez généralement un filtre de pare-feu qui filtre uniquement sur l’adresse IP source la plus proche des équipements de destination. Lorsqu’il est appliqué trop près de l’équipement source, un filtre de pare-feu filtre uniquement sur une adresse IP source pourrait empêcher l’équipement source d’accéder à d’autres services disponibles sur le réseau.

    Remarque :

    Les filtres de pare-feu de sortie n’affectent pas le flux des paquets de contrôle générés localement à partir du moteur de routage.

  6. Dans quelle direction le filtre de pare-feu doit-il être appliqué?

    Vous pouvez appliquer des filtres de pare-feu aux ports du commutateur pour filtrer les paquets qui pénètrent dans un port. Vous pouvez appliquer des filtres de pare-feu aux réseaux VLAN, et des interfaces de couche 3 (routed) pour filtrer les paquets entrants ou sortants d’un VLAN ou d’une interface acheminée. En règle générale, vous configurez différents ensembles d’actions pour le trafic entrant dans une interface que pour le trafic sortant d’une interface.