Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Instructions pour l’application de filtres de pare-feu standard

Présentation de l’application des filtres de pare-feu

Vous pouvez appliquer un filtre de pare-feu standard à une interface de bouclage sur le routeur ou à une interface physique ou logique sur le routeur. Vous pouvez appliquer un filtre de pare-feu à une seule interface ou à plusieurs interfaces du routeur.Tableau 1 Récapitule le comportement des filtres de pare-feu en fonction du point auquel vous fixez le filtre.

Tableau 1 : Comportement du filtre de pare-feu par point d’attache du filtre

Point d’attache du filtre

Comportement du filtre

Interface de bouclage

L’interface de bouclage du routeur, , lo0est l’interface avec le moteur de routage et ne transporte aucun paquet de données. Lorsque vous appliquez un filtre de pare-feu à l’interface de bouclage, le filtre évalue les paquets locaux reçus ou transmis par le moteur de routage.

REMARQUE :

  • Les routeurs ACX5048 et ACX5096 ne prennent pas en charge l’évaluation des paquets transmis par le moteur de routage pour le filtre de l’interface de bouclage.

Interface physique ou interface logique

Lorsque vous appliquez un filtre à une interface physique sur le routeur ou à une interface logique (ou membre d’un ensemble Ethernet agrégé défini sur l’interface), le filtre évalue tous les paquets de données qui transitent par cette interface.

Interfaces multiples

Vous pouvez utiliser le même filtre de pare-feu une ou plusieurs fois.

Sur les routeurs M Series, à l’exception des routeurs M120 et M320, si vous appliquez un filtre de pare-feu à plusieurs interfaces, le filtre agit sur la somme du trafic entrant ou sortant de ces interfaces.

Sur les routeurs T Series, M120, M320 et MX Series, les interfaces sont réparties entre plusieurs composants de transfert de paquets. Sur ces routeurs, vous pouvez configurer des filtres de pare-feu et des filtres de service qui, lorsqu’ils sont appliqués à plusieurs interfaces, agissent sur les flux de trafic individuels entrant ou sortant de chaque interface, quelle que soit la somme du trafic sur les différentes interfaces.

Pour plus d’informations, reportez-vous à la section Présentation des instances de filtre de pare-feu spécifiques à l’interface.

Interface unique avec filtres de pare-feu indépendants et spécifiques du protocole

Pour les interfaces hébergées sur le matériel suivant uniquement, vous pouvez attacher simultanément un filtre de pare-feu indépendant du protocole () et un filtre de pare-feu spécifique au protocole (family anyfamily inet ou family inet6). Le pare-feu indépendant du protocole s’exécute en premier.

  • Routeurs métro universels ACX Series

  • Concentrateurs PIC flexibles (FPC) dans les routeurs de périphérie multiservices M7i et M10i

  • Cartes d’interface modulaires (MIC) et concentrateurs de ports modulaires (MPC) dans les plates-formes de routage universelles 5G MX Series

  • Routeurs centraux T Series

REMARQUE :

Les interfaces hébergées sur le matériel suivant ne prennent pas en charge les filtres de pare-feu indépendants du protocole :

  • Cartes FEB (Forwarding Engine Boards) dans les routeurs M120

  • FPC III améliorés dans les routeurs M320

  • Modules FPC2 et FPC3 dans les routeurs MX Series

  • Concentrateurs de ports denses (DPC) dans les routeurs MX Series

  • Routeurs de transport de paquets PTX Series

Hiérarchie d’instructions pour l’application de filtres de pare-feu

Pour appliquer un filtre de pare-feu standard à une interface logique, configurez l’instruction de l’interface filter logique définie au niveau de la [edit] hiérarchie ou [edit logical-systems logical-system-name] . Sous l’énoncé filter , vous pouvez inclure un ou plusieurs des énoncés suivants : group group-number, , , output filter-name, input filter-nameinput-list filter-nameou output-list filter-name. Le niveau hiérarchique auquel vous attachez l’instruction dépend du type de filtre et du type d’appareil filter que vous configurez.

Filtres de pare-feu indépendants du protocole sur les routeurs MX Series

Pour appliquer un filtre de pare-feu indépendant du protocole à une interface logique sur un routeur MX Series, configurez l’instruction directement sous l’unité filter logique :

Tous les autres filtres de pare-feu sur les interfaces logiques

Pour appliquer un filtre de pare-feu standard à une interface logique pour tous les cas autres qu’un filtre indépendant du protocole sur un routeur MX Series, configurez l’instruction filter sous la famille de protocoles :

Restrictions relatives à l’application de filtres de pare-feu

Nombre de filtres d’entrée et de sortie par interface logique

Input filters: bien que vous puissiez utiliser le même filtre plusieurs fois, vous ne pouvez appliquer qu’un seul filtre d’entrée ou une seule liste de filtres d’entrée à une interface.

  • Pour spécifier un filtre de pare-feu unique à utiliser pour évaluer les paquets reçus sur l’interface, incluez l’instruction input filter-name dans la filter strophe.

  • Pour spécifier une liste ordonnée de filtres de pare-feu à utiliser pour évaluer les paquets reçus sur l’interface, incluez l’instruction input-list [ filter-names ] dans la filter strophe. Vous pouvez spécifier jusqu’à 16 filtres de pare-feu pour la liste d’entrée des filtres.

Output filtersBien que vous puissiez utiliser le même filtre plusieurs fois, vous ne pouvez appliquer qu’un seul filtre de sortie ou une seule liste de filtres de sortie à une interface.

  • Pour spécifier un filtre de pare-feu unique à utiliser pour évaluer les paquets transmis sur l’interface, incluez l’instruction output filter-name dans la filter strophe.

  • Pour spécifier une liste ordonnée de filtres de pare-feu à utiliser pour évaluer les paquets transmis sur l’interface, incluez l’instruction output-list [ filter-names ] dans la filter strophe. Vous pouvez spécifier jusqu’à 16 filtres de pare-feu dans une liste de sortie de filtre.

Filtres de pare-feu MPLS et CCC de couche 2 dans les listes

Les input-list filter-names instructions et pour les filtres de pare-feu des familles de ccc protocoles et output-list filter-namesmpls sont prises en charge sur toutes les interfaces, à l’exception des suivantes :

  • Interfaces de gestion et interfaces Ethernet internes (fxp ou em0)

  • Interfaces de bouclage (lo0)

  • Interfaces modem USB (umd)

Filtres de pare-feu CCC de couche 2 sur les routeurs MX Series et les commutateurs EX Series

Uniquement sur les routeurs MX Series et les commutateurs EX Series, vous ne pouvez pas appliquer un filtre de pare-feu sans état CCC de couche 2 (un filtre de pare-feu configuré au niveau de la [edit firewall filter family ccc] hiérarchie) comme filtre de sortie. Sur les routeurs MX Series et les commutateurs EX Series, les filtres de pare-feu configurés pour l’instruction peuvent être appliqués uniquement en tant que filtres d’entrée family ccc .

Filtres de pare-feu IPv6 sur PTX Series Routeurs de transport de paquets

Sur les routeurs PTX10001-20C, vous ne pouvez pas appliquer de filtres de pare-feu IPv6 aux éléments suivants :

  • Interfaces de tunnel

  • Interfaces IRB

  • Interfaces de sortie

  • Filtres spécifiques à l’interface, configurés au niveau de la [edit firewall family inet6 filter filter-name] hiérarchie.

  • Agents de contrôle de la circulation

  • Interface de télémétrie Junos

Rubriques connexes