Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre la planification des filtres de pare-feu

Avant de créer un filtre de pare-feu et de l’appliquer, déterminez ce que vous voulez que le filtre accomplisse et comment utiliser ses conditions de correspondance et ses actions pour atteindre vos objectifs. Il est important que vous compreniez comment les paquets sont mis en correspondance, les actions par défaut et configurées du filtre de pare-feu, et où appliquer le filtre de pare-feu.

Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par port, VLAN ou interface de routeur et par direction (entrée et sortie). Par exemple, pour un port donné, vous pouvez appliquer au maximum un filtre dans la direction d’entrée et un filtre dans la direction de sortie. Essayez d’être prudent dans le nombre de termes (règles) que vous incluez dans chaque filtre de pare-feu, car un grand nombre de termes nécessite un temps de traitement plus long lors d’une opération de validation et peut rendre les tests et le dépannage plus difficiles.

Avant de configurer et d’appliquer des filtres de pare-feu, répondez aux questions suivantes pour chacun d’entre eux :

  1. Quel est le but du filtre ?

    Par exemple, le système peut supprimer des paquets en fonction des informations d’en-tête, limiter le débit du trafic, classer les paquets dans des classes de transfert, consigner et compter les paquets ou empêcher les attaques par déni de service.

  2. Quelles sont les conditions de match appropriées ? Déterminez les champs d’en-tête de paquet que le paquet doit contenir pour une correspondance. Les champs possibles sont les suivants :

    • Champs d’en-tête de couche 2 : adresses MAC source et de destination, balise 802.1Q, type Ethernet ou VLAN.

    • Layer 3 header fields (Champs d’en-tête de couche 3) : adresses IP source et de destination, protocoles et options IP (priorité IP, indicateurs de fragmentation IP ou type TTL).

    • Champs d’en-tête TCP : ports et indicateurs source et de destination.

    • Champs d’en-tête ICMP : type et code de paquet.

  3. Quelles sont les mesures appropriées à prendre si une correspondance se produit ?

    Le système peut accepter, rejeter ou rejeter des paquets.

  4. Quels modificateurs d’action supplémentaires peuvent être nécessaires ?

    Par exemple, vous pouvez configurer le système pour mettre en miroir (copier) les paquets sur un port spécifié, compter les paquets correspondants, appliquer la gestion du trafic ou contrôler les paquets.

  5. Sur quel port, interface de routeur ou VLAN le filtre de pare-feu doit-il être appliqué ?

    Commencez par suivre les instructions de base suivantes :

    • Si les paquets entrant ou sortant d’une interface de couche 2 (port) doivent être filtrés, appliquez le filtre au niveau de la [edit family ethernet switching filter] hiérarchie. Il s’agit d’un filtre de port.

    • Si les paquets entrant ou sortant d’un port d’un VLAN spécifique doivent être filtrés, utilisez un filtre VLAN.

    • Si les paquets entrant ou sortant d’une interface de couche 3 (routé) ou d’une interface VLAN routé (RVI) doivent être filtrés, utilisez un filtre de pare-feu de routeur. Appliquez le filtre à l’interface au niveau de la [edit family inet] hiérarchie. Vous pouvez également appliquer un filtre de pare-feu de routeur sur une interface de bouclage.

    Avant de choisir l’interface ou le VLAN sur lequel appliquer un filtre de pare-feu, comprenez comment cet emplacement peut affecter le flux de trafic vers d’autres interfaces. En règle générale, appliquez un filtre à proximité de l’équipement source s’il correspond aux adresses IP source ou de destination, aux protocoles IP ou aux informations de protocole, telles que les types de messages ICMP et les numéros de port TCP ou UDP. Toutefois, vous devez appliquer un filtre à proximité de l’appareil de destination si le filtre ne correspond qu’à une adresse IP source. Lorsque vous appliquez un filtre trop près de l’appareil source, le filtre peut empêcher cet appareil source d’accéder à d’autres services disponibles sur le réseau.

    REMARQUE :

    Les filtres de pare-feu de sortie n’affectent pas le flux de paquets de contrôle générés localement à partir du moteur de routage.

  6. Dans quel sens appliquer le filtre de pare-feu ?

    En règle générale, les actions pour le trafic entrant dans une interface sont différentes de celles que vous configurez pour le trafic sortant d’une interface.

  7. Combien de filtres dois-je créer ?

    Reportez-vous à la section Planification du nombre de filtres de pare-feu à créer pour plus d’informations sur le nombre de filtres de pare-feu que vous pouvez appliquer.