Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du filtre de pare-feu sans état

Contrôle du flux de paquets

Pour déterminer quels paquets sont autorisés à transiter par le système et pour appliquer des actions spéciales aux paquets si nécessaire, vous pouvez configurer des filtres de pare-feu sans état. Un pare-feu sans état spécifie une séquence d’une ou plusieurs règles de filtrage de paquets, appelées termes de filtrage. Un terme de filtre spécifie les conditions de correspondance à utiliser pour déterminer une correspondance et les actions à effectuer sur un paquet correspondant. Un filtre de pare-feu sans état vous permet de manipuler n’importe quel paquet d’une famille de protocoles particulière, y compris les paquets fragmentés, en fonction de l’évaluation des champs d’en-tête de couche 3 et de couche 4. En général, vous appliquez un filtre de pare-feu sans état à une ou plusieurs interfaces qui ont été configurées avec des fonctionnalités de famille de protocoles. Vous pouvez appliquer un filtre de pare-feu sans état à une interface entrante, à une interface de sortie ou aux deux.

Contrôle du flux de paquets de données

Pour contrôler le flux de paquets de données transitant par l’équipement lors de leur transfert d’une source vers une destination, vous pouvez appliquer des filtres de pare-feu sans état à l’entrée ou à la sortie des interfaces physiques du routeur ou du commutateur.

Pour appliquer une bande passante et une taille de rafale maximales spécifiées pour le trafic envoyé ou reçu sur une interface, vous pouvez configurer des mécanismes de contrôle. Les mécanismes de contrôle sont un type spécialisé de filtre de pare-feu sans état et un composant principal de la classe de service (CoS) Junos OS.

Contrôle local du flux de paquets

Pour contrôler le flux de paquets locaux entre les interfaces physiques et le moteur de routage, vous pouvez appliquer des filtres de pare-feu sans état à l’entrée ou à la sortie de l’interface de bouclage. L’interface de bouclage (lo0) est l’interface du moteur de routage et ne transporte aucun paquet de données.

Contrôle du flux de paquets local Junos OS Evolved

Dans Junos OS Evolved, vous pouvez avoir deux filtres différents : un pour le trafic de contrôle réseau (trafic de bouclage) et un pour le trafic de gestion (interface de gestion). Avec deux filtres, vous avez plus de flexibilité. Par exemple, vous pouvez configurer un filtre plus strict sur le trafic de l’interface de gestion que sur le trafic de contrôle du réseau.

Sur Junos OS et Junos OS Evolved, les filtres de pare-feu de contrôle réseau ou les filtres de pare-feu de bouclage (Lo0/Lo6) se comportent de la même manière et il n’y a aucune différence. Vous configurez un filtre de pare-feu Lo0/Lo6 au niveau de l’INET ou la hiérarchie de filtres de pare-feu INET6 de l’interface Lo0/Lo6. Pour filtrer les paquets sortants sur l’interface Lo0, un filtre de pare-feu est implémenté dans le noyau logiciel à l’aide des Netfilters de Juniper. Netfilters est installé dans le noyau Linux et aucun matériel n’est impliqué dessus.

Voici un exemple de configuration pour les filtres de pare-feu Lo0.

Tableau 1Tableau 3, Tableau 2, et Tableau 4 affichez les conditions de correspondance et les actions prises en charge pour la famille de filtres de pare-feu Lo0/Lo6 dans Junos OS Evolved.

Tableau 1 : Conditions de correspondance du filtre de pare-feu de bouclage prises en charge dans le sens entrant dans Junos OS Evolved

Condition de correspondance du filtre de pare-feu

Lo0

Lo6

adresse_de_destination_ip

Oui

Oui

adresse_source ip

Oui

Oui

liste_prefix_destination

Oui

Oui

liste_prefix_source

Oui

Oui

port_destination

Oui

Oui

port_source

Oui

Oui

protocole IP

Oui

Oui

premier-fragment

Oui

Non

is-fragment

Oui

Non

tcp-flags

Oui

Oui

Ttl

Oui

Non

DSCP

Oui

Non

Tableau 2 : Conditions de correspondance du filtre de pare-feu de bouclage prises en charge dans le sens de sortie dans Junos OS Evolved

Condition de correspondance du filtre de pare-feu

Lo0

Lo6

adresse_de_destination_ip

Non

Oui

adresse_source ip

Non

Oui

liste_prefix_destination

Non

Oui

liste_prefix_source

Non

Oui

port_destination

Non

Oui

Tableau 3 : Actions de filtre de pare-feu de pare-feu de bouclage prises en charge dans le sens entrant dans Junos OS Evolved

Action

Lo0

Lo6

compter

Oui

Oui

jeter

Oui

Oui

contrôleur

Oui

Oui

Contrôleur à trois couleurs

Oui

Oui

Tableau 4 : Actions de filtre de pare-feu de pare-feu de bouclage prises en charge dans le sens de sortie dans Junos OS Evolved

Action

Lo0

Lo6

compter

Oui

Oui

jeter

Oui

Oui

contrôleur

Oui

Oui

Contrôleur à trois couleurs

Oui

Oui

Le filtrage de gestion utilise des filtres du moteur de routage basés sur netfilters, une infrastructure fournie par le noyau Linux. Par conséquent, seules certaines correspondances et actions sont prises en charge. Dans le moteur de routage, les filtres de pare-feu présentent des différences clés entre Junos OS et Junos OS Evolved.

REMARQUE :

Vous devez explicitement ajouter le filtre sur l’interface de gestion car pour Junos OS Evolved, le filtre lo0 ne s’applique plus sur le trafic de gestion, comme c’est le cas pour Junos OS.

Pour configurer le filtre de l’interface de gestion, le filtre doit être configuré dans la hiérarchie des filtres de pare-feu de la famille INET ou INET6 de l’interface de gestion. Voici un exemple de configuration pour configurer le filtre de pare-feu sur l’interface de gestion.

Tableau 5, et Tableau 6, et Tableau 7 affichez les conditions et les actions de correspondance des filtres de pare-feu pris en charge sur les interfaces de gestion.

Tableau 5 : Conditions de correspondance des filtres de pare-feu prises en charge sur les interfaces de gestion pour la famille de filtres de pare-feu IPv6 dans Junos OS Evolved

Condition de correspondance du filtre de pare-feu

Compatible

adresse

Oui

adresse_destination

Oui

port_destination

Oui

port-de-destination sauf

Oui

liste_prefix_destination

Oui

code icmp

Oui

code icmp-sauf

Oui

de type icmp

Oui

type icmp-sauf

Oui

en-tête suivant

Oui

next-header-except

Oui

longueur_paquet

Oui

longueur du paquet, sauf

Oui

protocole de charge utile

Oui

protocole de charge utile-sauf

Oui

port

Oui

port-sauf

Oui

liste_de préfixes

Oui

adresse_source

Oui

port_source

Oui

port-source sauf

Oui

liste_prefix_source

Oui

Établi par TCP

Oui

tcp-flags

Oui

tcp-initial

Oui

de classe trafic

Oui

classe de trafic sauf

Oui

Tableau 6 : Conditions de correspondance des filtres de pare-feu prises en charge sur les interfaces de gestion pour la famille de filtres de pare-feu IPv4 dans Junos OS Evolved

Condition de correspondance du filtre de pare-feu

Compatible

DSCP

Oui

dscp-sauf

Oui

préséance

Oui

précédence-sauf

Oui

protocole

Oui

protocol-sauf

Oui

Ttl

Oui

ttl-sauf

Oui

Tableau 7 : Actions de filtre de pare-feu prises en charge sur les interfaces de gestion pour les familles de filtres de pare-feu IPv4 et IPv6 dans Junos OS Evolved

Action du filtre de pare-feu

IPv4

IPv6

accepter

Oui

Oui

compter

Oui

Oui

classe_transfert

Oui

Oui

priorité_perte

Oui

Oui

contrôleur

Oui

Oui

rejeter

Oui

Oui

syslog (en anglais)

Oui

Oui

Filtres de pare-feu avec et sans état

Un filtre de pare-feu sans état, également appelé liste de contrôle d’accès (ACL), n’inspecte pas le trafic avec état. Au lieu de cela, il évalue le contenu des paquets de manière statique et ne suit pas l’état des connexions réseau. En revanche, un filtre de pare-feu dynamique utilise les informations d’état de connexion dérivées d’autres applications et des communications passées dans le flux de données pour prendre des décisions de contrôle dynamiques.

Le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic décrit les filtres de pare-feu sans état.

Objectif des filtres de pare-feu sans état

L’objectif de base d’un filtre de pare-feu sans état est de renforcer la sécurité grâce au filtrage des paquets. Le filtrage des paquets vous permet d’inspecter les composants des paquets entrants ou sortants, puis d’effectuer les actions que vous spécifiez sur les paquets qui correspondent aux critères que vous spécifiez. Un filtre de pare-feu sans état sert généralement à protéger les processus et les ressources du moteur de routage contre les paquets malveillants ou non approuvés.