Présentation du filtre de pare-feu sans état
Contrôle du flux de paquets
Pour déterminer quels paquets sont autorisés à transiter par le système et pour appliquer des actions spéciales aux paquets si nécessaire, vous pouvez configurer des filtres de pare-feu sans état. Un pare-feu sans état spécifie une séquence d’une ou plusieurs règles de filtrage de paquets, appelées termes de filtrage. Un terme de filtre spécifie les conditions de correspondance à utiliser pour déterminer une correspondance et les actions à effectuer sur un paquet correspondant. Un filtre de pare-feu sans état vous permet de manipuler n’importe quel paquet d’une famille de protocoles particulière, y compris les paquets fragmentés, en fonction de l’évaluation des champs d’en-tête de couche 3 et de couche 4. En général, vous appliquez un filtre de pare-feu sans état à une ou plusieurs interfaces qui ont été configurées avec des fonctionnalités de famille de protocoles. Vous pouvez appliquer un filtre de pare-feu sans état à une interface entrante, à une interface de sortie ou aux deux.
- Contrôle du flux de paquets de données
- Contrôle local du flux de paquets
- Contrôle du flux de paquets local Junos OS Evolved
Contrôle du flux de paquets de données
Pour contrôler le flux de paquets de données transitant par l’équipement lors de leur transfert d’une source vers une destination, vous pouvez appliquer des filtres de pare-feu sans état à l’entrée ou à la sortie des interfaces physiques du routeur ou du commutateur.
Pour appliquer une bande passante et une taille de rafale maximales spécifiées pour le trafic envoyé ou reçu sur une interface, vous pouvez configurer des mécanismes de contrôle. Les mécanismes de contrôle sont un type spécialisé de filtre de pare-feu sans état et un composant principal de la classe de service (CoS) Junos OS.
Contrôle local du flux de paquets
Pour contrôler le flux de paquets locaux entre les interfaces physiques et le moteur de routage, vous pouvez appliquer des filtres de pare-feu sans état à l’entrée ou à la sortie de l’interface de bouclage. L’interface de bouclage (lo0) est l’interface du moteur de routage et ne transporte aucun paquet de données.
Contrôle du flux de paquets local Junos OS Evolved
Dans Junos OS Evolved, vous pouvez avoir deux filtres différents : un pour le trafic de contrôle réseau (trafic de bouclage) et un pour le trafic de gestion (interface de gestion). Avec deux filtres, vous avez plus de flexibilité. Par exemple, vous pouvez configurer un filtre plus strict sur le trafic de l’interface de gestion que sur le trafic de contrôle du réseau.
Sur Junos OS et Junos OS Evolved, les filtres de pare-feu de contrôle réseau ou les filtres de pare-feu de bouclage (Lo0/Lo6) se comportent de la même manière et il n’y a aucune différence. Vous configurez un filtre de pare-feu Lo0/Lo6 au niveau de l’INET ou la hiérarchie de filtres de pare-feu INET6 de l’interface Lo0/Lo6. Pour filtrer les paquets sortants sur l’interface Lo0, un filtre de pare-feu est implémenté dans le noyau logiciel à l’aide des Netfilters de Juniper. Netfilters est installé dans le noyau Linux et aucun matériel n’est impliqué dessus.
Voici un exemple de configuration pour les filtres de pare-feu Lo0.
set firewall family inet filter finet interface-specific set firewall family inet filter finet term t1 from source-address 10.0.0.2/32 set firewall family inet filter finet term t1 from destination-address 10.0.0.1/32 set firewall family inet filter finet term t1 from protocol tcp set firewall family inet filter finet term t1 from source-port ssh set firewall family inet filter finet term t1 from destination-port ssh set firewall family inet filter finet term t1 then count c1 set firewall family inet filter finet term t1 then log set interfaces lo0 unit 0 family inet filter input finet
Tableau 1Tableau 3, Tableau 2, et Tableau 4 affichez les conditions de correspondance et les actions prises en charge pour la famille de filtres de pare-feu Lo0/Lo6 dans Junos OS Evolved.
|
Condition de correspondance du filtre de pare-feu |
Lo0 |
Lo6 |
|---|---|---|
|
adresse_de_destination_ip |
Oui |
Oui |
|
adresse_source ip |
Oui |
Oui |
|
liste_prefix_destination |
Oui |
Oui |
|
liste_prefix_source |
Oui |
Oui |
|
port_destination |
Oui |
Oui |
|
port_source |
Oui |
Oui |
|
protocole IP |
Oui |
Oui |
|
premier-fragment |
Oui |
Non |
|
is-fragment |
Oui |
Non |
|
tcp-flags |
Oui |
Oui |
|
Ttl |
Oui |
Non |
|
DSCP |
Oui |
Non |
|
Condition de correspondance du filtre de pare-feu |
Lo0 |
Lo6 |
|---|---|---|
|
adresse_de_destination_ip |
Non |
Oui |
|
adresse_source ip |
Non |
Oui |
|
liste_prefix_destination |
Non |
Oui |
|
liste_prefix_source |
Non |
Oui |
|
port_destination |
Non |
Oui |
|
Action |
Lo0 |
Lo6 |
|---|---|---|
|
compter |
Oui |
Oui |
|
jeter |
Oui |
Oui |
|
contrôleur |
Oui |
Oui |
|
Contrôleur à trois couleurs |
Oui |
Oui |
|
Action |
Lo0 |
Lo6 |
|---|---|---|
|
compter |
Oui |
Oui |
|
jeter |
Oui |
Oui |
|
contrôleur |
Oui |
Oui |
|
Contrôleur à trois couleurs |
Oui |
Oui |
Le filtrage de gestion utilise des filtres du moteur de routage basés sur netfilters, une infrastructure fournie par le noyau Linux. Par conséquent, seules certaines correspondances et actions sont prises en charge. Dans le moteur de routage, les filtres de pare-feu présentent des différences clés entre Junos OS et Junos OS Evolved.
Vous devez explicitement ajouter le filtre sur l’interface de gestion car pour Junos OS Evolved, le filtre lo0 ne s’applique plus sur le trafic de gestion, comme c’est le cas pour Junos OS.
Pour configurer le filtre de l’interface de gestion, le filtre doit être configuré dans la hiérarchie des filtres de pare-feu de la famille INET ou INET6 de l’interface de gestion. Voici un exemple de configuration pour configurer le filtre de pare-feu sur l’interface de gestion.
set firewall family inet filter f1 interface-specific set firewall family inet filter f1 term t1 from protocol tcp set firewall family inet filter f1 term t1 then count c1 set firewall family inet filter f1 term t1 then accept set firewall family inet filter f1 term t2 from protocol icmp set firewall family inet filter f1 term t2 then count c3 set firewall family inet filter f1 term dft then count dft_cnt set firewall family inet filter f1 term dft then accept set interfaces re0:mgmt-0 unit 0 family inet filter input f1
Tableau 5, et Tableau 6, et Tableau 7 affichez les conditions et les actions de correspondance des filtres de pare-feu pris en charge sur les interfaces de gestion.
|
Condition de correspondance du filtre de pare-feu |
Compatible |
|---|---|
|
adresse |
Oui |
|
adresse_destination |
Oui |
|
port_destination |
Oui |
|
port-de-destination sauf |
Oui |
|
liste_prefix_destination |
Oui |
|
code icmp |
Oui |
|
code icmp-sauf |
Oui |
|
de type icmp |
Oui |
|
type icmp-sauf |
Oui |
|
en-tête suivant |
Oui |
|
next-header-except |
Oui |
|
longueur_paquet |
Oui |
|
longueur du paquet, sauf |
Oui |
|
protocole de charge utile |
Oui |
|
protocole de charge utile-sauf |
Oui |
|
port |
Oui |
|
port-sauf |
Oui |
|
liste_de préfixes |
Oui |
|
adresse_source |
Oui |
|
port_source |
Oui |
|
port-source sauf |
Oui |
|
liste_prefix_source |
Oui |
|
Établi par TCP |
Oui |
|
tcp-flags |
Oui |
|
tcp-initial |
Oui |
|
de classe trafic |
Oui |
|
classe de trafic sauf |
Oui |
|
Condition de correspondance du filtre de pare-feu |
Compatible |
|---|---|
|
DSCP |
Oui |
|
dscp-sauf |
Oui |
|
préséance |
Oui |
|
précédence-sauf |
Oui |
|
protocole |
Oui |
|
protocol-sauf |
Oui |
|
Ttl |
Oui |
|
ttl-sauf |
Oui |
|
Action du filtre de pare-feu |
IPv4 |
IPv6 |
|---|---|---|
|
accepter |
Oui |
Oui |
|
compter |
Oui |
Oui |
|
classe_transfert |
Oui |
Oui |
|
priorité_perte |
Oui |
Oui |
|
contrôleur |
Oui |
Oui |
|
rejeter |
Oui |
Oui |
|
syslog (en anglais) |
Oui |
Oui |
Filtres de pare-feu avec et sans état
Un filtre de pare-feu sans état, également appelé liste de contrôle d’accès (ACL), n’inspecte pas le trafic avec état. Au lieu de cela, il évalue le contenu des paquets de manière statique et ne suit pas l’état des connexions réseau. En revanche, un filtre de pare-feu dynamique utilise les informations d’état de connexion dérivées d’autres applications et des communications passées dans le flux de données pour prendre des décisions de contrôle dynamiques.
Le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic décrit les filtres de pare-feu sans état.
Objectif des filtres de pare-feu sans état
L’objectif de base d’un filtre de pare-feu sans état est de renforcer la sécurité grâce au filtrage des paquets. Le filtrage des paquets vous permet d’inspecter les composants des paquets entrants ou sortants, puis d’effectuer les actions que vous spécifiez sur les paquets qui correspondent aux critères que vous spécifiez. Un filtre de pare-feu sans état sert généralement à protéger les processus et les ressources du moteur de routage contre les paquets malveillants ou non approuvés.