Présentation des filtres de pare-feu (QFX Series)
Les filtres de pare-feu, parfois appelés listes de contrôle d’accès (ACL), fournissent des règles qui définissent l’acceptation ou le rejet des paquets qui transitent par une interface. Si un paquet est accepté, vous pouvez configurer d’autres actions sur le paquet, telles que le marquage de classe de service (CoS) (regrouper des types de trafic similaires et traiter chaque type de trafic comme une classe avec sa propre priorité de niveau de service) et le contrôle du trafic (contrôle du débit maximal de trafic envoyé ou reçu).
Vous pouvez configurer des filtres de pare-feu pour déterminer où accepter ou rejeter un paquet avant qu’il n’entre ou ne sorte d’un port, d’un VLAN, d’un CCC de couche 2, d’une interface de couche 3 (routé), d’une interface RVI (Routed VLAN) ou d’une interface MPLS.
Un filtre de pare-feud’entrée (entrée) est appliqué aux paquets qui entrent dans une interface ou un VLAN, et un filtre de pare-feu de sortie (sortie) est appliqué aux paquets qui sortent d’une interface ou d’un VLAN.
Les mécanismes de contrôle sur les ports réseau, les couches 2 et 3, ou les interfaces IRB ne contrôlent pas le trafic lié à l’hôte. Mais si vous voulez empêcher les attaques DDoS, vous pouvez créer un filtre de pare-feu sur le lo0 qui protège le moteur de routage.
Où pouvez-vous appliquer des filtres ?
Une fois que vous avez configuré le filtre de pare-feu, vous pouvez l’appliquer aux éléments suivants :
-
Port (Port) : filtre le trafic de couche 2 qui transite par les ports du système.
-
VLAN : filtre et fournit un contrôle d’accès pour les paquets de couche 2 qui entrent dans un VLAN, sont pontés dans un VLAN ou quittent un VLAN.
-
Interface de couche 3 (routée) : filtre le trafic sur les interfaces IPv4 et IPv6, les interfaces VLAN routées (RVI) et l’interface de bouclage. L’interface de bouclage filtre le trafic envoyé au commutateur lui-même ou généré par le commutateur.
-
Interface CCC de couche 2 : filtre les interfaces de connexion croisée de circuit (CCC) de couche 2.
-
MPLS : filtre les interfaces MPLS.
Vous pouvez également appliquer un filtre de pare-feu à une interface de gestion (par exemple, me0) sur un commutateur autonome QFX et EX4600. Vous ne pouvez pas appliquer de filtre à une interface de gestion sur un système QFX3000-G ou QFX3000-M.
Vous ne pouvez appliquer qu’un seul filtre de pare-feu à un port, un VLAN ou une interface CCC de couche 2 pour une direction donnée. Par exemple, pour l’interface ge-0/0/6.0, vous pouvez appliquer un filtre pour le sens d’entrée et un autre pour le sens de sortie.
-
(QFX Series) À partir de Junos OS version 13.2X51-D15, vous pouvez appliquer un filtre à une interface de bouclage dans le sens de sortie.
-
(QFX10000) À partir de Junos OS version 18.2R1, vous pouvez appliquer des filtres de pare-feu d’entrée et de sortie avec
countetdiscarden tant qu’actions de contrôle sur les interfaces de circuit de couche 2. -
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) À partir de Junos OS version 19.2R1, vous pouvez appliquer les
interfaceconditions ,forwarding-classetloss-prioritymatch dans le sens de sortie sur les interfaces IPv4 et IPv6.
Les commutateurs EX4600 , QFX5000 Series et QFX5000 EVO Series ne dépendent pas de la correspondance VRF pour les filtres de bouclage configurés au niveau de différentes instances de routage. Les filtres de bouclage par instance de routage (par exemple, lo0.100, lo0.103, lo0.105) ne sont pas pris en charge et peuvent entraîner un comportement imprévisible. Nous vous recommandons d’appliquer uniquement le filtre de bouclage (lo0.0) à l’instance de routage principale.
Qu’est-ce qu’un filtre de pare-feu ?
Lorsque vous configurez un filtre de pare-feu, vous définissez le type d’adresse de famille (commutation Ethernet, inet (pour IPv4), inet6 (pour IPv6), connexion croisée de circuits (CCC ou MPLS), les critères de filtrage (termes, avec conditions de correspondance) et l’action à effectuer si une correspondance se produit.
Chaque terme se compose des éléments suivants :
-
Condition de correspondance : valeurs qu’un paquet doit contenir pour être considéré comme une correspondance. Vous pouvez spécifier des valeurs pour la plupart des champs des en-têtes IP, TCP, UDP ou ICMP. Vous pouvez également faire correspondre les noms d’interface.
-
Action : action effectuée si un paquet correspond à une condition de correspondance. Vous pouvez configurer un filtre de pare-feu pour accepter, rejeter ou rejeter un paquet correspondant, puis effectuer d’autres actions, telles que le comptage, la classification et le contrôle. L’action par défaut est accepter.
Traitement des filtres de pare-feu
S’il y a plusieurs termes dans un filtre, l’ordre des termes est important. Si un paquet correspond au premier terme, le commutateur effectue l’action définie par ce terme, et aucun autre terme n’est évalué. Si le commutateur ne trouve pas de correspondance entre le paquet et le premier terme, il compare le paquet au terme suivant. Si aucune correspondance ne se produit entre le paquet et le second terme, le système continue de comparer le paquet à chaque terme successif dans le filtre jusqu’à ce qu’une correspondance soit trouvée. Si aucun terme ne correspond, le commutateur rejette le paquet par défaut.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
interfaceconditions , forwarding-classet loss-priority match dans le sens de sortie sur les interfaces IPv4 et IPv6. count et discard en tant qu’actions de contrôle sur les interfaces de circuit de couche 2.