Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la planification des filtres de pare-feu

Avant de créer un filtre de pare-feu et de l’appliquer, déterminez ce que vous souhaitez qu’il accomplisse et comment utiliser ses conditions et actions de correspondance pour atteindre vos objectifs. Il est important que vous compreniez comment les paquets sont appariés, les actions par défaut et configurées du filtre de pare-feu, et où appliquer le filtre de pare-feu.

Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par port, VLAN ou interface de routeur par direction (entrée et sortie). Par exemple, pour un port donné, vous pouvez appliquer au plus un filtre dans le sens d’entrée et un filtre dans le sens de sortie. Vous devriez essayer d’être prudent dans le nombre de termes (règles) que vous incluez dans chaque filtre de pare-feu, car un grand nombre de termes nécessitent un temps de traitement plus long pendant une opération de validation et peuvent rendre les tests et le dépannage plus difficiles.

Avant de configurer et d’appliquer des filtres de pare-feu, répondez aux questions suivantes pour chacun d’entre eux :

  1. Quel est l’objectif du filtre ?

    Par exemple, le système peut abandonner des paquets en fonction des informations d’en-tête, débit-limiter le trafic, classer les paquets en classes de transfert, consigner et compter les paquets, ou empêcher les attaques par déni de service.

  2. Quelles sont les conditions de correspondance appropriées ? Déterminez les champs d’en-tête de paquet que le paquet doit contenir pour une correspondance. Les champs possibles sont les suivants :

    • Champs d’en-tête de couche 2 : adresses MAC source et de destination, balise 802.1Q, type Ethernet ou VLAN.

    • Champs d’en-tête de couche 3 : adresses IP source et de destination, protocoles et options IP (priorité IP, indicateurs de fragmentation IP ou type de TTL).

    • Champs d’en-tête TCP : ports et indicateurs source et de destination.

    • Champs d’en-tête ICMP : type et code du paquet.

  3. Quelles sont les mesures appropriées à prendre en cas de match ?

    Le système peut accepter, rejeter ou rejeter des paquets.

  4. Quels modificateurs d’actions supplémentaires pourraient être nécessaires ?

    Par exemple, vous pouvez configurer le système pour mettre en miroir (copier) les paquets vers un port spécifié, compter les paquets correspondants, appliquer la gestion du trafic ou police des paquets.

  5. Sur quel port, interface de routeur ou VLAN le filtre de pare-feu doit-il être appliqué ?

    Commencez par les instructions de base suivantes :

    • Si les paquets entrant ou sortant d’une interface de couche 2 (port) doivent être filtrés, appliquez le filtre au niveau de la [edit family ethernet switching filter] hiérarchie. Il s’agit d’un filtre de port.

    • Si des paquets entrant ou sortant d’un port dans un VLAN spécifique doivent être filtrés, utilisez un filtre VLAN.

    • Si les paquets entrant ou sortant d’une interface de couche 3 (routée) ou d’une interface VLAN routée (RVI) doivent être filtrés, utilisez un filtre de pare-feu de routeur. Appliquez le filtre à l’interface au niveau de la [edit family inet] hiérarchie. Vous pouvez également appliquer un filtre de pare-feu de routeur sur une interface de bouclage.

    Avant de choisir l’interface ou le VLAN sur lequel appliquer un filtre de pare-feu, découvrez comment ce placement peut affecter le flux de trafic vers d’autres interfaces. En général, appliquez un filtre à proximité de l’équipement source si le filtre correspond aux adresses IP source ou de destination, aux protocoles IP ou aux informations de protocole, telles que les types de messages ICMP et les numéros de port TCP ou UDP. Toutefois, vous devez appliquer un filtre près de l’équipement de destination si le filtre ne correspond qu’à une adresse IP source. Lorsque vous appliquez un filtre trop près de l’équipement source, le filtre peut empêcher cet équipement source d’accéder à d’autres services disponibles sur le réseau.

    REMARQUE :

    Les filtres de pare-feu sortants n’affectent pas le flux de paquets de contrôle générés localement à partir du moteur de routage.

  6. Dans quelle direction appliquer le filtre de pare-feu ?

    Vous configurez généralement différentes actions pour le trafic entrant dans une interface que pour le trafic sortant d’une interface.

  7. Combien de filtres dois-je créer ?

    Consultez planification du nombre de filtres de pare-feu à créer pour plus d’informations sur le nombre de filtres de pare-feu que vous pouvez appliquer.

Rubriques connexes