Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Comprendre les filtres de pare-feu multiples dans une configuration imbriquée

Le défi : Simplifiez l’administration des filtres de pare-feu à grande échelle

En règle générale, vous appliquez un seul filtre de pare-feu à une interface dans le sens de l’entrée ou de la sortie, ou les deux. Cependant, cette approche peut ne pas être pratique lorsque vous avez un routeur (ou un commutateur) configuré avec des nombreuses, voire des centaines d’interfaces. Dans un environnement de cette envergure, il est important de pouvoir modifier les termes de filtrage communs à plusieurs interfaces sans avoir à reconfigurer le filtre de chaque interface concernée.

En général, la solution consiste à appliquer une structure effectivement « chaînée » de plusieurs filtres de pare-feu sans état à une seule interface. Vous partitionnez vos termes de filtrage en plusieurs filtres de pare-feu configurés de manière à pouvoir appliquer un filtre unique à chaque interface de routeur (ou commutateur), mais également à appliquer des filtres communs à plusieurs interfaces de routeur (ou de commutateur) selon vos besoins. La structure de stratégies de Junos OS offre deux options pour gérer l’application de plusieurs filtres de pare-feu distincts à des interfaces de routeur (ou de commutateur) individuelles. Une option consiste à appliquer plusieurs filtres sous la forme d’une seule liste d’entrée ou de sortie. L’autre option consiste à référencer un filtre de pare-feu sans état à partir de la durée d’un autre filtre de pare-feu sans état.

Une solution : Configurer les références imbriquées aux filtres de pare-feu

Le moyen le plus structuré d’éviter de configurer des termes de filtrage en double communs à plusieurs filtres de pare-feu consiste à configurer plusieurs filtres de pare-feu afin que chaque filtre inclue les termes de filtrage partagés en référençant un filtre distinct qui contient les termes de filtrage communs. Junos OS utilise les termes de filtre (dans l’ordre dans lequel ils apparaissent dans la définition de filtre) pour évaluer les paquets qui transitent par l’interface. Si vous devez modifier des termes de filtrage partagés sur plusieurs interfaces, vous n’avez besoin de modifier qu’un seul filtre de pare-feu.

REMARQUE :

À l’instar de l’autre approche (application d’une liste de filtres de pare-feu), la configuration d’un filtre de pare-feu imbriqué combine plusieurs filtres de pare-feu dans une nouvelle définition de filtre de pare-feu.

Configuration des filtres de pare-feu imbriqués

La configuration d’un filtre de pare-feu imbriqué pour chaque interface de routeur (ou de commutateur) implique de séparer les règles de filtrage de paquets partagées des règles de filtrage de paquets spécifiques à l’interface, comme suit :

  • Pour chaque ensemble de règles de filtrage de paquets commun à plusieurs interfaces, configurez un filtre de pare-feu distinct qui contient les termes de filtrage partagés.

  • Pour chaque interface de routeur (ou de commutateur), configurez un filtre de pare-feu distinct qui contient :

    • Tous les termes de filtrage propres à cette interface.

    • Terme de filtrage supplémentaire qui inclut une filter référence au filtre de pare-feu contenant les termes de filtrage courants.

Application de filtres de pare-feu imbriqués à une interface de routeur ou de commutateur

L’application de filtres de pare-feu imbriqués n’est pas différente de l’application d’un filtre de pare-feu imbriqué. Pour chaque interface, vous pouvez inclure une input instruction ou (ou output les deux) dans la filter strophe afin de spécifier le filtre de pare-feu imbriqué approprié.

Lorsque vous appliquez des filtres de pare-feu imbriqués à une interface, les termes de filtrage partagés et les filtres de pare-feu spécifiques à l’interface sont appliqués par le biais d’un filtre de pare-feu imbriqué unique qui inclut d’autres filtres via l’instructionfilter dans un terme de filtrage distinct.

REMARQUE :

La vérification de validation et la validation n’échouent pas pour les filtres imbriqués non pris en charge. Les filtres imbriqués non pris en charge sont les combinaisons de filtres qui ne sont pas mentionnées dans la commande vty show jexpr dfw filter-types.

Rubriques connexes