Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la planification des filtres de pare-feu

Avant de créer un filtre de pare-feu et de l’appliquer à une interface, déterminez ce que vous voulez que le filtre de pare-feu accomplisse et comment utiliser ses conditions de correspondance et ses actions pour atteindre vos objectifs. Vous devez comprendre comment les paquets sont mis en correspondance pour correspondre aux conditions, les actions par défaut et configurées du filtre de pare-feu, et le placement approprié du filtre de pare-feu.

Vous ne pouvez pas configurer et appliquer plus d’un filtre de pare-feu par port, VLAN ou interface de routeur, et par direction. Les limites suivantes s’appliquent au nombre de termes de filtre de pare-feu autorisés par filtre sur différents modèles de commutateurs :

  • Sur les commutateurs EX3300, le nombre de termes par filtre ne peut pas dépasser 1436.

  • Sur les commutateurs EX3200 et EX4200, le nombre de termes par filtre ne peut pas dépasser 7042.

  • Sur les commutateurs EX2300, le nombre maximal de termes suivants est pris en charge pour le trafic entrant et sortant, pour les filtres de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

    • Pour le trafic entrant :

      • 256 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • 256 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 256 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    • Pour le trafic sortant :

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 128 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    Sur les commutateurs EX3400, le nombre maximal de termes suivants est pris en charge pour le trafic entrant et sortant, pour les filtres de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

    • Pour le trafic entrant :

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 512 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    • Pour le trafic sortant :

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • 1024 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 1024 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

    Sur les commutateurs EX4300, le nombre maximal de termes suivants est pris en charge pour le trafic entrant et sortant, pour les serveurs de fichiers de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

    • Pour le trafic entrant :

      • 3 500 termes pour les filtres de pare-feu configurés sur un port

      • 3500 termes pour les filtres de pare-feu configurés sur un VLAN

      • 7 000 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 3 500 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      REMARQUE :

      La limite TCAM (Ternary Content Addressable Memory) pour le trafic entrant sur le commutateur EX4300 est de 256 entrées.

    • Pour le trafic sortant :

      • 512 termes pour les filtres de pare-feu configurés sur un port

      • 256 termes pour les filtres de pare-feu configurés sur un VLAN

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

      • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      REMARQUE :

      Vous pouvez configurer le nombre maximal de termes uniquement lorsque vous configurez un type de filtre de pare-feu (filtre de pare-feu de port, de VLAN ou de routeur (couche 3)) sur le commutateur et lorsque le contrôle de tempête n’est activé sur aucune interface du commutateur.

  • Sur les commutateurs EX4500 et EX4550, le nombre de termes par filtre ne peut pas dépasser 1200.

  • Sur les commutateurs EX6200, le nombre de termes par filtre ne peut pas dépasser 1400.

  • Sur les commutateurs EX8200, le nombre de termes par filtre ne peut pas dépasser 32 768.

De plus, essayez d’être prudent dans le nombre de termes (règles) que vous incluez dans chaque filtre de pare-feu, car un grand nombre de termes nécessite un temps de traitement plus long lors d’une validation et peut également rendre les tests et le dépannage des filtres de pare-feu plus difficiles. De même, l’application de filtres de pare-feu sur de nombreuses interfaces de commutateurs et de routeurs peut compliquer le test et le dépannage des règles de ces filtres.

Avant de configurer et d’appliquer des filtres de pare-feu, répondez aux questions suivantes pour chacun d’entre eux :

  1. À quoi sert le filtre de pare-feu ?

    Par exemple, vous pouvez utiliser un filtre de pare-feu pour limiter le trafic vers les adresses MAC source et de destination, des protocoles spécifiques ou certains débits de données, ou pour empêcher les attaques par déni de service (DoS).

  2. Quelles sont les conditions de match appropriées ?

    1. Déterminez les champs d’en-tête de paquet que le paquet doit contenir pour une correspondance. Les champs possibles sont les suivants :

      • Champs d’en-tête de couche 2 : adresses MAC source et de destination, balise dot1q, type Ethernet et VLAN

      • Champs d’en-tête de couche 3 : adresses IP source et de destination, protocoles et options IP (priorité IP, indicateurs de fragmentation IP, type de durée de vie)

      • Champs d’en-tête TCP : ports et indicateurs source et de destination

      • Champs d’en-tête ICMP : type et code de paquet

    2. Déterminez le port, le VLAN ou l’interface de routeur sur lequel le paquet a été reçu.

  3. Quelles sont les mesures appropriées à prendre si une correspondance se produit ?

    Les actions possibles à entreprendre en cas de correspondance sont l’acceptation, l’abandon et le transfert vers une instance de routage.

  4. Quels modificateurs d’action supplémentaires peuvent être nécessaires ?

    Déterminer si des actions supplémentaires sont nécessaires si un paquet correspond à une condition de correspondance ; Par exemple, vous pouvez spécifier un modificateur d’action pour compter, analyser ou contrôler les paquets.

  5. Sur quelle interface appliquer le filtre de pare-feu ?

    Commencez par suivre les instructions de base suivantes :

    • Si tous les paquets entrant dans un port doivent être soumis à un filtrage, utilisez des filtres de pare-feu.

    • Si tous les paquets pontés doivent être filtrés, utilisez des filtres de pare-feu VLAN.

    • Si tous les paquets acheminés doivent être filtrés, utilisez les filtres du pare-feu du routeur.

    Avant de choisir l’interface sur laquelle appliquer un filtre de pare-feu, comprenez comment cet emplacement peut avoir un impact sur le flux de trafic vers d’autres interfaces. En règle générale, appliquez un filtre de pare-feu qui filtre les adresses IP source et de destination, les protocoles IP ou les informations de protocole, telles que les types de messages ICMP et les numéros de port TCP et UDP, les plus proches des périphériques source. Toutefois, appliquez généralement un filtre de pare-feu qui filtre uniquement sur l’adresse IP source la plus proche des appareils de destination. Lorsqu’il est appliqué trop près de l’équipement source, un filtre de pare-feu qui filtre uniquement sur une adresse IP source peut potentiellement empêcher cet équipement source d’accéder à d’autres services disponibles sur le réseau.

    REMARQUE :

    Les filtres de pare-feu de sortie n’affectent pas le flux de paquets de contrôle générés localement à partir du moteur de routage.

  6. Dans quel sens appliquer le filtre de pare-feu ?

    Vous pouvez appliquer des filtres de pare-feu aux ports du commutateur pour filtrer les paquets qui entrent dans un port. Vous pouvez appliquer des filtres de pare-feu aux VLAN et aux interfaces de couche 3 (routés) pour filtrer les paquets qui entrent ou sortent d’un VLAN ou d’une interface routée. En règle générale, vous configurez des ensembles d’actions différents pour le trafic entrant dans une interface et pour le trafic sortant d’une interface.

Rubriques connexes