Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre comment les filtres de pare-feu sont évalués

Un filtre de pare-feu est constitué d’un ou plusieurs termes, et l’ordre des termes à l’intérieur d’un filtre est important. Avant de configurer des filtres de pare-feu, vous devez comprendre comment les commutateurs évaluent les termes à l’intérieur d’un filtre et comment les paquets sont évalués par rapport à ces termes.

Lorsqu’un filtre de pare-feu est constitué d’un seul terme, il est évalué comme suit :

  • Si le paquet répond à toutes les conditions, l’action de l’instruction then est effectuée.

  • Si le paquet correspond à toutes les conditions et qu’aucune action n’est spécifiée dans l’instruction then , l’action accept par défaut est effectuée.

  • Si le paquet ne correspond pas à toutes les conditions, le commutateur le rejette.

Lorsqu’un filtre de pare-feu est composé de plusieurs termes, il est évalué de manière séquentielle :

  1. Le paquet est évalué par rapport aux conditions de l’instruction from au premier terme.

  2. Si le paquet répond à toutes les conditions du terme, l’action de l’instruction then est effectuée et l’évaluation se termine. Les termes suivants dans le filtre ne sont pas évalués.

  3. Si le paquet ne correspond pas à toutes les conditions du terme, il est évalué par rapport aux conditions de l’instruction from du second terme.

    Ce processus se poursuit jusqu’à ce que le paquet corresponde à toutes les conditions de l’instruction from dans l’un des termes suivants ou qu’il n’y ait plus de termes dans le filtre.

  4. Si un paquet passe par tous les termes du filtre sans correspondance, le commutateur le rejette.

REMARQUE :

L’ordre des conditions dans une from instruction n’a pas d’importance, car un paquet doit correspondre à toutes les conditions pour être considéré comme une correspondance.

Figure 1 Montre comment les commutateurs évaluent les termes à l’intérieur d’un filtre de pare-feu.

Figure 1 : Évaluation des termes à l’intérieur d’un filtre de pare-feuÉvaluation des termes à l’intérieur d’un filtre de pare-feu

Si vous n’incluez pas d’instruction from dans un terme, tous les paquets correspondront au terme et seront traités par l’instruction then . Si un terme ne contient pas d’instruction then ou si une action n’a pas été configurée dans l’instruction then , le terme accepte tous les paquets correspondants.

Chaque filtre de pare-feu contient une instruction implicite deny à la fin du filtre, qui est équivalente au terme de filtre explicite suivant :

Par conséquent, un paquet qui ne correspond à aucun des termes d’un filtre de pare-feu est ignoré. Si vous configurez un filtre qui n’a pas de termes, tous les paquets qui passent par le filtre sont ignorés.

REMARQUE :

Le filtrage par pare-feu est pris en charge sur les paquets d’au moins 64 octets.

Rubriques connexes