Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Comprendre les filtres de pare-feu multiples appliqués sous forme de liste

Cette rubrique couvre les informations suivantes :

Le défi : Simplifiez l’administration des filtres de pare-feu à grande échelle

En règle générale, vous appliquez un seul filtre de pare-feu à une interface dans le sens de l’entrée ou de la sortie, ou les deux. Toutefois, cette approche peut ne pas s’avérer pratique lorsque vous disposez d’un appareil configuré avec de nombreuses interfaces. Dans les environnements de grande taille, vous souhaitez pouvoir modifier les termes de filtrage communs à plusieurs interfaces sans avoir à reconfigurer le filtre de chaque interface affectée.

En général, la solution consiste à appliquer une structure effectivement « chaînée » de plusieurs filtres de pare-feu à une seule interface. Vous partitionnez vos termes de filtrage en plusieurs filtres de pare-feu qui effectuent chacun une tâche de filtrage. Vous pouvez ensuite choisir les tâches de filtrage que vous souhaitez effectuer pour une interface donnée et appliquer les tâches de filtrage à cette interface. De cette façon, vous ne gérez la configuration d’une tâche de filtrage que dans un seul filtre de pare-feu.

L’infrastructure de stratégies Junos OS offre deux options pour gérer l’application de plusieurs filtres de pare-feu distincts à des interfaces de routeur individuelles. Une option consiste à appliquer plusieurs filtres sous la forme d’une seule liste d’entrée ou de sortie. L’autre option consiste à référencer un filtre de pare-feu à partir du terme d’un autre filtre de pare-feu. Cette option n’est pas prise en charge sur le routeur PTX10003.

Une solution : Appliquer des listes de filtres de pare-feu

Le moyen le plus simple d’éviter de configurer des termes de filtrage en double communs à plusieurs filtres de pare-feu consiste à configurer plusieurs filtres de pare-feu, puis à appliquer une liste personnalisée de filtres à chaque interface. Junos OS utilise les filtres, dans l’ordre dans lequel ils apparaissent dans la liste, pour évaluer les paquets qui transitent par l’interface. Si vous devez modifier des termes de filtrage partagés sur plusieurs interfaces, vous n’avez besoin de modifier qu’un seul filtre de pare-feu qui contient ces termes.

Configuration de plusieurs filtres pour les listes de filtres

Pour configurer des filtres de pare-feu à appliquer dans des listes uniques pour chaque interface de routeur, il faut séparer les règles de filtrage de paquets partagées des règles de filtrage de paquets spécifiques à l’interface, comme suit :

  • Unique filters: pour chaque ensemble de règles de filtrage de paquets propres à une interface spécifique, configurez un filtre de pare-feu distinct qui contient uniquement les termes de filtrage de cette interface.

  • Shared filters: pour chaque ensemble de règles de filtrage de paquets commun à deux interfaces ou plus, envisagez de configurer un filtre de pare-feu distinct contenant les termes de filtrage partagés.

    Conseil :

    Lorsqu’ils planifient l’application d’un grand nombre de filtres de pare-feu à l’aide de listes de filtres, les administrateurs organisent souvent les filtres partagés en fonction de critères de filtrage, de services auxquels les clients sont abonnés ou d’objectifs des interfaces.

Application de listes de filtres à une interface de routeur

Pour appliquer une liste de filtres de pare-feu à une interface, il faut sélectionner les filtres qui répondent aux exigences de filtrage des paquets de cette interface. Pour chaque interface, vous pouvez inclure une input-list instruction ou (ou output-list les deux) dans la filter strophe pour spécifier les filtres appropriés dans l’ordre dans lequel ils doivent être utilisés :

  • Incluez tous les filtres qui contiennent des termes de filtrage communs pertinents pour l’interface.

  • Incluez le filtre qui contient uniquement les termes de filtrage propres à l’interface.

Noms spécifiques à l’interface pour les listes de filtres

Étant donné qu’une liste de filtres est configurée sous une interface, le filtre concaténé résultant est spécifique à l’interface.

REMARQUE :

Lorsqu’une liste de filtres est configurée sous une interface, le filtre concaténé résultant est spécifique à l’interface, que les filtres de pare-feu de la liste de filtres soient configurés comme spécifiques à l’interface ou non. De plus, l’instanciation de filtres de pare-feu spécifiques à l’interface crée non seulement des instances distinctes de tous les compteurs de filtres de pare-feu, mais également des instances distinctes de toutes les actions du mécanisme de contrôle. Tous les mécanismes de contrôle appliqués par le biais d’une action spécifiée dans la configuration du filtre de pare-feu sont appliqués séparément à chaque interface du groupe d’interfaces.

Le nom généré par le système d’un filtre spécifique à l’interface se compose du nom complet de l’interface suivi de '' pour une liste de filtres d’entrée ou ''-o pour une liste de filtres de-i sortie.

  • Input filter list name—Par exemple, si vous utilisez l’instruction input-list pour appliquer une chaîne de filtres à une interface logique ge-1/3/0.0, Junos OS utilise le nom suivant pour le filtre :

  • Output filter list name—Par exemple, si vous utilisez l’instruction output-list pour appliquer une chaîne de filtres à l’interface fe-0/1/2.0logique , Junos OS utilise le nom suivant pour le filtre :

REMARQUE :

Pour Junos OS Evolved, les noms des filtres sont différents. Par exemple, si les filtres sont liés à la famille inet, les filtres sont nommés ge-1/3/0/0-inet-i et fe-0/1/2.0-inet-o.

Vous pouvez utiliser le nom spécifique à l’interface d’une liste de filtres lorsque vous entrez une commande en mode opérationnel Junos OS qui spécifie un nom de filtre de pare-feu.

Comment les listes de filtres évaluent les paquets lorsque le terme correspondant inclut des actions de fin ou de terme suivant

L’équipement évalue un paquet par rapport aux filtres d’une liste de manière séquentielle, en commençant par le premier filtre de la liste jusqu’à ce qu’une action de fin se produise ou que le paquet soit implicitement rejeté.

Tableau 1 Décrit comment une liste de filtres de pare-feu évalue un paquet selon que le terme correspondant spécifie ou non une action de terminaison et l’action next term . Il ne s’agit next term ni d’une action de fin ni d’une action non terminante, mais d’une action de contrôle de flux .

Tableau 1 : Comportement de la liste des filtres de pare-feu

Actions de filtre de pare-feu incluses dans le terme correspondant

Description terminologique

Comportement de filtrage des paquets

Terminaison

Prochain trimestre

Oui

La durée correspondante inclut une action de résiliation (telle que discard), mais pas l’action next term

L’appareil exécute l’action de terminaison. Aucun terme suivant dans le filtre ni aucun filtre suivant dans la liste n’est utilisé pour évaluer le paquet.

Oui

La durée correspondante inclut l’action, mais elle n’inclut pas les next term actions de résiliation.

L’équipement exécute toutes les actions qui ne sont pas d’arrêt, puis il évalue le paquet par rapport au terme suivant dans le filtre ou au filtre suivant dans la liste.

REMARQUE :

Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié en tant qu’action mais sans aucune condition de correspondance configurée n’est pas pris en charge.

La durée correspondante n’inclut ni l’action ni les next term actions de résiliation.

L’équipement exécute toutes les actions qui ne sont pas d’arrêt, puis accepte implicitement le paquet. Étant donné qu’il s’agit d’une accept action de fin, aucun terme suivant dans le filtre ni aucun filtre suivant dans la liste ne sont utilisés pour évaluer le paquet.

Pour plus d’informations sur la résiliation d’actions, reportez-vous à la section Actions de terminaison du filtre de pare-feu.

REMARQUE :

Vous ne pouvez pas configurer l’action next term avec une action de fin dans le même terme de filtre de pare-feu.

Comment les listes de filtres évaluent les paquets lorsqu’elles incluent des filtres indépendants du protocole et des filtres de pare-feu IP

Sur une interface unique associée simultanément à un filtre de pare-feu indépendant du protocole () et à un filtre de pare-feu spécifique au protocole (family anyfamily inet ou family inet6), le filtre de pare-feu indépendant du protocole s’exécute en premier.

L’action de fin du premier filtre détermine si le second filtre évalue également le paquet :

  • Si le premier filtre se termine par l’exécution de l’actionaccept, le second filtre n’évalue pas le paquet.

  • Si le premier filtre se termine sans qu’aucun terme ne corresponde au paquet (une action implicite discard ), le second filtre évalue également le paquet.

  • Si le premier filtre se termine par l’exécution d’une action explicite discard , le second filtre n’évalue pas le paquet.

Le routeur PTX10003 ne prend pas en charge une combinaison de filtres indépendants du protocole et d’autres filtres dans les listes de filtres.

Rubriques connexes