Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des filtres de pare-feu (QFX Series)

Les filtres de pare-feu, parfois appelés listes de contrôle d’accès (ACL), fournissent des règles qui définissent s’il faut accepter ou rejeter les paquets qui transitent par une interface. Si un paquet est accepté, vous pouvez configurer d’autres actions sur le paquet, telles que le marquage de classe de service (CoS) (en regroupant des types de trafic similaires et en traitant chaque type de trafic comme une classe avec son propre niveau de priorité de service) et le contrôle du trafic (contrôle du débit maximal de trafic envoyé ou reçu).

Vous pouvez configurer des filtres de pare-feu pour déterminer où accepter ou rejeter un paquet avant qu’il n’entre ou sort d’un port, VLAN, CCC de couche 2, interface de couche 3 (routée), interface VLAN routée (RVI) ou interface MPLS.

Un filtre de pare-feu entrant (entrée) est appliqué aux paquets qui entrent dans une interface ou un VLAN, et un filtre de pare-feu sortant (sortie) est appliqué aux paquets qui sortent d’une interface ou d’un VLAN.

REMARQUE :

Les polices sur les ports réseau, les couches 2 et 3 ou les interfaces IRB ne contrôlent pas le trafic lié à l’hôte. Mais si vous voulez empêcher les attaques DDoS, vous pouvez créer un filtre de pare-feu sur le lo0 qui protège le moteur de routage.

Où vous pouvez appliquer des filtres

Après avoir configuré le filtre de pare-feu, vous pouvez l’appliquer aux éléments suivants :

  • Port : filtre les ports système de transit du trafic de couche 2.

  • VLAN : filtre et contrôle les accès des paquets de couche 2 qui pénètrent dans un VLAN, qui sont pontés dans un VLAN ou qui quittent un VLAN.

  • Interface de couche 3 (routée) : filtre le trafic sur les interfaces IPv4 et IPv6, les interfaces VLAN routées (RVI) et l’interface de bouclage. L’interface de bouclage filtre le trafic envoyé au commutateur lui-même ou généré par le commutateur.

  • Interface CCC de couche 2 : filtre les interfaces de connexion croisée de circuit (CCC) de couche 2.

  • MPLS : filtre les interfaces MPLS.

Vous pouvez également appliquer un filtre de pare-feu à une interface de gestion (par exemple, me0) sur un commutateur autonome QFX et EX4600. Vous ne pouvez pas appliquer de filtre à une interface de gestion sur un système QFX3000-G ou QFX3000-M.

REMARQUE :

Vous ne pouvez appliquer qu’un seul filtre de pare-feu à un port, un VLAN ou une interface CCC de couche 2 pour une direction donnée. Par exemple, pour l’interface ge-0/0/6.0, vous pouvez appliquer un filtre pour le sens d’entrée et un pour la direction sortante.

  • (QFX Series) À partir de la version 13.2X51-D15 de Junos OS, vous pouvez appliquer un filtre à une interface de bouclage dans le sens de sortie.

  • (QFX10000) À partir de la version 18.2R1 de Junos OS, vous pouvez appliquer des filtres de pare-feu entrants et sortants avec count et discard en tant qu’actions de contrôle sur les interfaces de circuit de couche 2.

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) À partir de la version 19.2R1 de Junos OS, vous pouvez appliquer le interface, forwarding-classet loss-priority faire correspondre les conditions dans le sens de sortie sur les interfaces IPv4 et IPv6.

Qu’est-ce qui compose un filtre de pare-feu

Lorsque vous configurez un filtre de pare-feu, vous définissez le type d’adresse de la famille (commutation ethernet, inet (pour IPv4), inet6 (pour IPv6), circuit croisé (CCC) ou MPLS), les critères de filtrage (termes, avec conditions de correspondance) et l’action à entreprendre en cas de correspondance.

Chaque terme se compose des éléments suivants

  • Condition de correspondance : valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez spécifier des valeurs pour la plupart des champs dans les en-têtes IP, TCP, UDP ou ICMP. Vous pouvez également faire correspondre les noms d’interface.

  • Action : action effectuée si un paquet correspond à une condition de correspondance. Vous pouvez configurer un filtre de pare-feu pour accepter, rejeter ou rejeter un paquet correspondant, puis effectuer d’autres actions, telles que le comptage, la classification et le contrôle. L’action par défaut est acceptée.

Comment les filtres de pare-feu sont traités

S’il y a plusieurs termes dans un filtre, l’ordre des termes est important. Si un paquet correspond au premier terme, le commutateur prend l’action définie par ce terme, et aucun autre terme n’est évalué. Si le commutateur ne trouve pas de correspondance entre le paquet et le premier terme, il compare le paquet au terme suivant. Si aucune correspondance ne se produit entre le paquet et le deuxième terme, le système continue de comparer le paquet à chaque terme successif du filtre jusqu’à ce qu’une correspondance soit trouvée. Si aucun terme n’est assorti, le commutateur élimine le paquet par défaut.

Tableau de l'historique des versions
Version
Description
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) À partir de la version 19.2R1 de Junos OS, vous pouvez appliquer le interface, forwarding-classet loss-priority faire correspondre les conditions dans le sens de sortie sur les interfaces IPv4 et IPv6.
18.2R1
(QFX10000) À partir de la version 18.2R1 de Junos OS, vous pouvez appliquer des filtres de pare-feu entrants et sortants avec count et discard en tant qu’actions de contrôle sur les interfaces de circuit de couche 2.
13.2X51-D15
(QFX Series) À partir de la version 13.2X51-D15 de Junos OS, vous pouvez appliquer un filtre à une interface de bouclage dans le sens de sortie.