Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comment les filtres de pare-feu standard évaluent les paquets

Cette rubrique aborde les informations suivantes :

Présentation de l’évaluation des paquets du filtre de pare-feu

La séquence suivante décrit comment l’équipement évalue un paquet entrant ou sortant d’une interface si le trafic d’entrée ou de sortie d’une interface d’équipement est associé à un filtre de pare-feu. L’évaluation des paquets se déroule comme suit :

  1. L’équipement évalue le paquet par rapport aux termes du filtre de pare-feu de manière séquentielle, en commençant par le premier terme du filtre.

    • Si le paquet correspond à toutes les conditions spécifiées dans un terme, l’équipement exécute toutes les actions spécifiées dans ce terme.

    • Si le paquet ne correspond pas à toutes les conditions spécifiées dans un terme, l’unité poursuit le terme suivant dans le filtre (si un terme ultérieur existe) et évalue le paquet par rapport à ce terme.

    • Si le paquet ne correspond à aucun terme du filtre de pare-feu, l’équipement le rejette implicitement.

  2. Contrairement aux filtres de service et aux filtres simples, les filtres de pare-feu prennent en charge l’action next term , qui n’est ni une action de terminaison, ni une action non déterminante, mais une action de contrôle de flux.

    Remarque :

    Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié comme action, mais sans conditions de correspondance configurées, n’est pas pris en charge.

    • Si le terme correspondant inclut l’action next term , l’unité poursuit l’évaluation du paquet au terme suivant dans le filtre de pare-feu.

    • Si le terme correspondant n’inclut pas l’action next term , l’évaluation du paquet par rapport au filtre de pare-feu donné se termine à ce terme. L’équipement n’évalue pas le paquet par rapport aux termes suivants dans ce filtre.

    Au maximum, 1 024 next term actions sont prises en charge par configuration de filtre de pare-feu. Si vous configurez un filtre de pare-feu qui dépasse cette limite, votre configuration de candidat entraîne une erreur de validation.

  3. L’équipement cesse d’évaluer un paquet par rapport à un filtre de pare-feu donné lorsque le paquet correspond à un terme sans l’action next term ou si le dernier terme du filtre de pare-feu ne correspond pas à celui-ci.

  4. Si un paquet local atteint une interface de routeur associée à un filtre de pare-feu entrant, le filtre évalue le paquet deux fois. La première évaluation se produit dans le moteur de transfert de paquets, qui est l’élément central du plan de transfert du routeur, et la seconde dans le moteur de routage, qui exécute le logiciel du plan de contrôle du routeur.

    Remarque :

    Les paquets locaux (blocs de données qui sont destinés ou envoyés par le routeur lui-même) contiennent généralement des données de protocole de routage, des données pour les services IP comme Telnet ou SSH, et des données pour les protocoles administratifs tels que le protocole ICMP (Internet Control Message Protocol).

    Si la première évaluation du filtre de pare-feu modifie les valeurs de contexte de paquets ou de paquets locaux entrants, la seconde évaluation du filtre de pare-feu est basée sur les valeurs de paquet ou de contexte de paquet mises à jour.

    Par exemple, supposons que le filtre inclut une condition de correspondance basée sur la classe de transfert ou la valeur de priorité de perte associée au paquet, et que le filtre inclut une action qui modifie la classe de transfert ou la valeur de priorité de perte associée au paquet. Si un paquet local entrant atteint une interface associée et que l’évaluation des filtres dans le moteur de transfert de paquets modifie (plutôt que de supprimer) le paquet, l’évaluation des filtres dans le moteur de routage est basée sur le contexte de paquet modifié (plutôt que sur le contexte de paquet d’origine).

Évaluation des paquets à l’aide d’un filtre de pare-feu unique

Tableau 1 décrit les comportements de filtrage de paquets au niveau d’une interface d’équipement associée à un filtre de pare-feu unique.

Remarque :

Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié comme action, mais sans conditions de correspondance configurées, n’est pas pris en charge.

Tableau 1 : Évaluation des paquets à l’aide d’un filtre de pare-feu unique

Événement du filtre de pare-feu

Action

Mesures à prendre ultérieurement

Le terme du filtre de pare-feu ne spécifie aucune condition de correspondance.

Le terme correspond à tous les paquets par défaut, de sorte que l’équipement exécute les actions spécifiées par ce terme.

Si le terme actions inclut l’action next term , l’équipement poursuit l’évaluation du paquet par rapport au terme suivant dans le filtre de pare-feu (si un terme ultérieur existe).

Le paquet correspond à toutes les conditions spécifiées par le terme du filtre de pare-feu.

L’équipement exécute les actions spécifiées par ce terme.

Si le terme actions inclut l’action next term , l’équipement poursuit l’évaluation du paquet par rapport au terme suivant dans le filtre de pare-feu (si un terme ultérieur existe).

Le paquet correspond à toutes les conditions spécifiées par le terme du filtre de pare-feu, mais il ne spécifie aucune action.

L’équipement accepte implicitement le paquet.

Si le terme actions inclut l’action next term , l’équipement poursuit l’évaluation du paquet par rapport au terme suivant dans le filtre de pare-feu (si un terme ultérieur existe).

Le paquet ne correspond pas à toutes les conditions spécifiées par le terme du filtre de pare-feu.

L’équipement n’exécute pas les actions spécifiées par ce terme.

L’unité poursuit l’évaluation du paquet par rapport au terme suivant dans le filtre (si une clause ultérieure existe).

Le paquet ne correspond à aucun terme du filtre

L’équipement rejette implicitement le paquet

Chaque configuration de filtre de pare-feu inclut une action implicite discard à la fin du filtre. Cette action de terminaison implicite équivaut à inclure le terme t_explicit_discard de l’exemple suivant comme terme final dans le filtre de pare-feu :

term t_explicit_discard {
    then discard;
}

Meilleures pratiques : Accepter explicitement tout trafic qui n’est pas spécifiquement jeté

Vous pouvez vouloir qu’un filtre de pare-feu accepte tout trafic que ce filtre ne rejette pas spécifiquement. Dans ce cas, nous vous recommandons de configurer le filtre de pare-feu avec le terme final qui spécifie l’action accept de terminaison.

Dans l’extrait de pare-feu suivant, la configuration du t_allow_all_else terme final dans le filtre de pare-feu configure explicitement le filtre de pare-feu afin d’accepter tout trafic que le filtre n’a pas spécifiquement jeté :

En suivant ces meilleures pratiques, vous pouvez simplifier le dépannage du filtre de pare-feu.

Meilleures pratiques : Rejetez explicitement tout trafic qui n’est pas spécifiquement accepté

D’autre part, vous pouvez vouloir qu’un filtre de pare-feu rejette tout trafic que le filtre de pare-feu n’accepte pas spécifiquement. Dans ce cas, nous vous recommandons de configurer le filtre de pare-feu avec le terme final qui spécifie l’action reject de terminaison.

Dans l’extrait de pare-feu suivant, la configuration du t_deny_all_else terme final dans le filtre de pare-feu configure explicitement le filtre de pare-feu afin de rejeter tout trafic que le filtre n’acceptait pas spécifiquement :

En suivant ces meilleures pratiques, vous pouvez simplifier le dépannage du filtre de pare-feu.

Filtres de pare-feu multiples reliés à une interface unique

Sur les interfaces d’équipement prises en charge, vous pouvez joindre plusieurs filtres de pare-feu à une interface unique. Pour plus d’informations, reportez-vous à Comprendre les filtres de pare-feu multiples Appliqués sous forme de liste.

Remarque :

Sur les interfaces prises en charge, vous pouvez joindre un filtre de pare-feu indépendant du protocole (family any) et un filtre de pare-feu spécifique au protocole (family inet ou family inet6) à la même interface. Le filtre de pare-feu indépendant du protocole s’exécute en premier. Pour plus d’informations, reportez-vous à Directives pour l’application de filtres de pare-feu standard.

Filtre de pare-feu unique lié à plusieurs interfaces

Sur les interfaces prises en charge, vous pouvez associer un filtre de pare-feu unique à plusieurs interfaces, et Junos OS crée une instance spécifique à l’interface de ce filtre de pare-feu pour chaque interface associée.

  • Junos OS associe l’instanciation spécifique à chaque interface d’un filtre de pare-feu à un nom spécifique à l’interface généré par le système.

  • Pour toute count action dans les termes de filtre, le moteur de transfert de paquets maintient des compteurs distincts et propres à l’interface, et Junos OS associe chaque compteur à un nom propre à l’interface généré par le système.

  • Pour toute policer action dans les termes de filtre, Junos OS crée des instances distinctes propres à l’interface des actions du mécanismes de contrôle.

Pour plus d’informations, reportez-vous à Présentation des instances de filtre de pare-feu spécifiques à l’interface.