Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre comment les filtres de pare-feu sont évalués

Un filtre de pare-feu se compose d’un ou plusieurs termes, et l’ordre des termes d’un filtre est important. Avant de configurer les filtres de pare-feu, vous devez comprendre comment les commutateurs évaluent les termes d’un filtre et comment les paquets sont évalués par rapport aux termes.

Lorsqu’un filtre de pare-feu est constitué d’un seul terme, le filtre est évalué comme suit :

  • Si le paquet correspond à toutes les conditions, l’action de l’instruction then est effectuée.

  • Si le paquet correspond à toutes les conditions et qu’aucune action n’est spécifiée dans l’instruction then , l’action accept par défaut est prise.

  • Si le paquet ne correspond pas à toutes les conditions, le commutateur le rejette.

Lorsqu’un filtre de pare-feu est constitué de plusieurs termes, le filtre est évalué de manière séquentielle :

  1. Le paquet est évalué par rapport aux conditions de l’instruction from du premier terme.

  2. Si le paquet correspond à toutes les conditions du terme, l’action dans l’instruction then est prise et l’évaluation se termine. Les termes suivants du filtre ne sont pas évalués.

  3. Si le paquet ne correspond pas à toutes les conditions du terme, il est évalué par rapport aux conditions de l’instruction from du deuxième terme.

    Ce processus se poursuit jusqu’à ce que le paquet corresponde à toutes les conditions de l’instruction from dans l’un des termes suivants ou qu’il n’y ait plus de termes dans le filtre.

  4. Si un paquet passe par tous les termes du filtre sans correspondance, le commutateur le rejette.

REMARQUE :

L’ordre des conditions d’une from instruction n’est pas important, car un paquet doit correspondre à toutes les conditions pour être considéré comme une correspondance.

Figure 1 montre comment les commutateurs évaluent les termes d’un filtre de pare-feu.

Figure 1 : Évaluation des termes dans un filtre de pare-feuÉvaluation des termes dans un filtre de pare-feu

Si vous n’incluez pas d’instruction from dans un terme, tous les paquets correspondent au terme et seront traités par l’instruction then . Si un terme ne contient pas d’instruction then ou si une action n’a pas été configurée dans l’instruction then , le terme accepte les paquets correspondants.

Chaque filtre de pare-feu contient une déclaration implicite deny à la fin du filtre, ce qui équivaut au terme de filtre explicite suivant :

Par conséquent, un paquet qui ne correspond à aucun des termes d’un filtre de pare-feu est jeté. Si vous configurez un filtre sans termes, tous les paquets qui passent par le filtre sont jetés.

REMARQUE :

Le filtrage de pare-feu est pris en charge sur les paquets d’au moins 64 octets.

Rubriques connexes