Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du filtre de pare-feu sans état

Contrôle du flux de paquets

Pour déterminer quels paquets sont autorisés à transiter par le système et pour appliquer des actions spéciales aux paquets si nécessaire, vous pouvez configurer des filtres de pare-feu sans état. Un pare-feu sans état spécifie une séquence d’une ou plusieurs règles de filtrage de paquets, appelées termes de filtrage. Un terme de filtre spécifie les conditions de correspondance à utiliser pour déterminer une correspondance et les actions à effectuer sur un paquet correspondant. Un filtre de pare-feu sans état vous permet de manipuler n’importe quel paquet d’une famille de protocoles particulière, y compris les paquets fragmentés, en fonction de l’évaluation des champs d’en-tête de couche 3 et de couche 4. En général, vous appliquez un filtre de pare-feu sans état à une ou plusieurs interfaces qui ont été configurées avec des fonctionnalités de famille de protocoles. Vous pouvez appliquer un filtre de pare-feu sans état à une interface entrante, à une interface de sortie ou aux deux.

Contrôle du flux de paquets de données

Pour contrôler le flux de paquets de données transitant par l’équipement lors de leur transfert d’une source vers une destination, vous pouvez appliquer des filtres de pare-feu sans état à l’entrée ou à la sortie des interfaces physiques du routeur ou du commutateur.

Pour appliquer une bande passante et une taille de rafale maximales spécifiées pour le trafic envoyé ou reçu sur une interface, vous pouvez configurer des mécanismes de contrôle. Les mécanismes de contrôle sont un type spécialisé de filtre de pare-feu sans état et un composant principal de la classe de service (CoS) Junos OS.

Contrôle local du flux de paquets

Pour contrôler le flux de paquets locaux entre les interfaces physiques et le moteur de routage, vous pouvez appliquer des filtres de pare-feu sans état à l’entrée ou à la sortie de l’interface de bouclage. L’interface de bouclage (lo0) est l’interface du moteur de routage et ne transporte aucun paquet de données.

Contrôle du flux de paquets local Junos OS Evolved

Dans Junos OS Evolved, vous pouvez avoir deux filtres différents : un pour le trafic de contrôle du réseau (trafic de bouclage) et un pour le trafic de gestion. Avec deux filtres, vous avez plus de flexibilité. Par exemple, vous pouvez configurer un filtre plus strict sur le trafic de l’interface de gestion que sur le trafic de contrôle du réseau.

Le filtrage de gestion utilise des filtres du moteur de routage basés sur netfilters, une infrastructure fournie par le noyau Linux. Par conséquent, seules certaines correspondances et actions sont prises en charge. Reportez-vous à Filtres de pare-feu du moteur de routage pour en savoir plus.

REMARQUE :

Vous devez explicitement ajouter le filtre sur l’interface de gestion car pour Junos OS Evolved, le filtre lo ne s’applique plus sur le trafic de gestion, comme c’est le cas pour Junos OS.

Filtres de pare-feu avec et sans état

Un filtre de pare-feu sans état, également appelé liste de contrôle d’accès (ACL), n’inspecte pas le trafic avec état. Au lieu de cela, il évalue le contenu des paquets de manière statique et ne suit pas l’état des connexions réseau. En revanche, un filtre de pare-feu dynamique utilise les informations d’état de connexion dérivées d’autres applications et des communications passées dans le flux de données pour prendre des décisions de contrôle dynamiques.

Le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic décrit les filtres de pare-feu sans état.

Objectif des filtres de pare-feu sans état

L’objectif de base d’un filtre de pare-feu sans état est de renforcer la sécurité grâce au filtrage des paquets. Le filtrage des paquets vous permet d’inspecter les composants des paquets entrants ou sortants, puis d’effectuer les actions que vous spécifiez sur les paquets qui correspondent aux critères que vous spécifiez. Un filtre de pare-feu sans état sert généralement à protéger les processus et les ressources du moteur de routage contre les paquets malveillants ou non approuvés.