Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des filtres de pare-feu sans état

Contrôle des flux de paquets

Pour influencer les paquets autorisés à transiter par le système et appliquer des actions spéciales aux paquets si nécessaire, vous pouvez configurer des filtres de pare-feu sans état. Un pare-feu sans état spécifie une séquence d’une ou plusieurs règles de filtrage de paquets, appelées termes filtres. Un terme de filtre spécifie les conditions à utiliser pour déterminer la correspondance et les actions à prendre pour un paquet assorti. Un filtre de pare-feu sans état vous permet de manipuler n’importe quel paquet d’une famille de protocoles particulier, y compris les paquets fragmentés, sur la base de l’évaluation des champs d’en-tête de couche 3 et 4. En général, vous appliquez un filtre de pare-feu sans état à une ou plusieurs interfaces configurées avec les fonctionnalités de la famille de protocoles. Vous pouvez appliquer un filtre de pare-feu sans état à une interface d’entrée, à une interface de sortie, ou les deux.

Contrôle des flux de paquets de données

Pour contrôler le flux de paquets de données transitant par l’équipement lors de leur transfert d’une source vers une destination, vous pouvez appliquer des filtres de pare-feu sans état aux entrées ou sorties des interfaces physiques du routeur ou du commutateur.

Pour appliquer une bande passante spécifiée et la taille maximale de la rafale pour le trafic envoyé ou reçu sur une interface, vous pouvez configurer les policers. Les policers sont un type spécialisé de filtre de pare-feu sans état et un composant principal de Junos OS classe de service (CoS).

Contrôle local des flux de paquets

Pour contrôler le flux de paquets locaux entre les interfaces physiques et le moteur de routage, vous pouvez appliquer des filtres de pare-feu sans état à l’entrée ou à la sortie de l’interface de bouclation. L’interface de bouclation ( ) constitue l’interface vers moteur de routage et ne lo0 transporte aucun paquet de données.

Junos OS contrôle des flux de paquets local évolué

Dans Junos OS Evolved, vous pouvez avoir deux filtres différents: un pour le trafic de contrôle du réseau (trafic de bouclation) et un pour le trafic de gestion. Avec deux filtres, vous avez plus de flexibilité. Par exemple, vous pouvez configurer un filtre plus strict sur le trafic de l’interface de gestion que sur le trafic de contrôle du réseau.

Le filtrage de gestion utilise moteur de routage filtres basés sur des netfilters, une infrastructure fournie par le noyau Linux. Cette différence ne permet de prendre en charge que certaines correspondances et actions.

Remarque :

Vous devez ajouter explicitement le filtre sur l’interface de gestion: Junos OS Evolved, le filtre lo ne s’applique plus au trafic de gestion, comme c’est le cas pour Junos OS.

Filtres de pare-feu à états et sans état

Un filtre de pare-feu sans état, également appelé liste de contrôle d’accès (ACL), ne inspecte pas le trafic à états. Au lieu de cela, il évalue le contenu des paquets de façon statique et ne surveille pas l’état des connexions réseau. En revanche, un filtre de pare-feu dynamique utilise les informations d’état de connexion dérivées d’autres applications et de communications passées dans le flux de données pour prendre des décisions de contrôle dynamiques.

Le guide utilisateur Routing Policies, Firewall Filters et Traffic Policers décrit les filtres de pare-feu sans état.

But des filtres de pare-feu sans état

L’objectif de base d’un filtre de pare-feu sans état est d’améliorer la sécurité grâce au filtrage de paquets. Le filtrage des paquets vous permet d’inspecter les composants des paquets entrants ou sortants, puis d’effectuer les actions que vous spécifiez sur les paquets qui correspondent aux critères que vous spécifiez. L’utilisation typique d’un filtre de pare-feu sans état consiste à protéger moteur de routage et ressources informatiques contre les paquets malveillants ou non malveillants.