Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Directives pour la configuration des filtres de pare-feu

Ce sujet aborde les informations suivantes:

Hiérarchie d’instruction pour la configuration des filtres de pare-feu

Pour configurer un filtre de pare-feu standard, vous pouvez inclure les instructions suivantes. Pour un filtre de pare-feu standard IPv4, family inet l’instruction est disponible en option. Pour un filtre de pare-feu standard IPv6, family inet6 l’instruction est obligatoire.

Vous pouvez inclure la configuration du pare-feu à l’un des niveaux hiérarchiques suivants:

  • [edit]

  • [edit logical-systems logical-system-name]

Remarque :

Pour le filtrage de pare-feu sans état, vous devez autoriser le trafic du tunnel de sortie via le filtre de pare-feu appliqué à l’entrée du trafic sur l’interface qui se trouve au niveau de la destination du tunnel. Le filtre de pare-feu n’affecte que les paquets sortant du routeur (ou du commutateur) par le tunnel.

Familles de protocoles de filtres de pare-feu

Une configuration de filtre de pare-feu est spécifique à une famille de protocoles particulière. Dans l’énoncé, inclure l’une des déclarations suivantes pour spécifier la famille de protocoles pour laquelle vous souhaitez firewall filtrer le trafic:

  • family any—Pour filtrer le trafic indépendant des protocoles.

  • family inet—Pour filtrer le trafic IPv4 (Internet Protocol version 4).

  • family inet6—Pour filtrer le trafic IPv6 (Internet Protocol version 6).

  • family mpls—Pour filtrer le MPLS trafic.

  • family vpls—Pour filtrer le trafic VPLS (Virtual Private LAN Service).

  • family ccc—Pour filtrer le trafic de circuits de connexion croisée de couche 2 (CCC).

  • family bridge—Pour filtrer le trafic de pontage de couche 2 MX Series routeurs Universal Edge 3D uniquement.

  • family ethernet-switching—Pour filtrer le trafic ethernet de couche 2.

family family-nameL’instruction n’est requise que pour spécifier une famille de protocoles autre que IPv4. Pour configurer un filtre de pare-feu IPv4, vous pouvez configurer le filtre au niveau de la hiérarchie sans inclure l’instruction, car les niveaux de hiérarchie et de niveaux sont [edit firewall]family inet[edit firewall][edit firewall family inet] équivalents.

Remarque :

Pour le filtre de la famille de ponts, les critères de correspondance de protocole IP sont pris en charge uniquement pour IPv4 et non pour IPv6. Cela s’applique aux cartes d’ligne qui supportent la puce Junos Trio, telles que les cartes de ligne MPC 3D MX.

Noms et options des filtres de pare-feu

Dans family family-name l’énoncé, vous pouvez inclure des instructions pour créer et nommer filter filter-name des filtres de pare-feu. Le nom du filtre contient des lettres, des chiffres et des traits d’union (-) et peut contenir jusqu’à 64 caractères. Pour inclure des espaces dans le nom, joindre l’ensemble du nom dans des guillemets ( » « ).

Au niveau [edit firewall family family-name filter filter-name] hiérarchique, les instructions suivantes sont facultatives:

  • accounting-profile

  • instance-shared (MX Series routeurs avec concentrateurs de ports modulaires (MPCS) uniquement)

  • interface-specific

  • physical-interface-filter

Conditions du filtre de pare-feu

Dans filter filter-name l’énoncé, vous pouvez inclure des term term-name instructions pour créer et nommer des termes filtres.

  • Vous devez configurer au moins un terme dans un filtre de pare-feu.

  • Vous devez spécifier un nom unique pour chaque terme dans un filtre de pare-feu. Le terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut contenir jusqu’à 64 caractères. Pour inclure des espaces dans le nom, joindre l’ensemble du nom dans des guillemets ( » « ).

  • L’ordre dans lequel vous spécifiez les termes d’une configuration de filtre de pare-feu est important. Les termes des filtres de pare-feu sont évalués selon l’ordre dans lequel ils sont configurés. Par défaut, de nouvelles conditions sont toujours ajoutées à la fin du filtre existant. Vous pouvez utiliser la commande insert mode de configuration pour réorder les termes d’un filtre de pare-feu.

Au niveau [edit firewall family family-name filter filter-name term term-name] hiérarchique, l’instruction n’est pas valide au même filter filter-name terme que dans les fromthen instructions. Une fois inclus à ce niveau hiérarchique, l’instruction est utilisée pour filter filter-name imbrérisation des filtres de pare-feu.

Conditions de correspondance des filtres de pare-feu

Les conditions de correspondance des filtres de pare-feu sont spécifiques au type de trafic filtré.

À l’exception MPLS du trafic IPv4 ou IPv6 balisé, vous spécifiez les conditions de correspondance du terme dans from l’énoncé. Pour MPLS trafic IPv4 balisé, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv4 dans l’énoncé et les conditions de correspondance spécifiques à un ip-version ipv4 port IPv4 dans protocol (tcp | udp) l’énoncé.

Pour MPLS trafic IPv6 balisé, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv6 dans l’énoncé et les conditions de correspondance spécifiques à un ip-version ipv6 port IPv6 dans protocol (tcp | udp) l’énoncé.

Tableau 1 décrit les types de trafic pour lesquels vous pouvez configurer des filtres de pare-feu.

Tableau 1 : Conditions de correspondance des filtres de pare-feu par famille de protocoles

Type de trafic

Niveau hiérarchique auquel les conditions de correspondance sont spécifiées

Indépendant du protocole

[edit firewall family any filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour le trafic indépendant du protocole.

IPv4

[edit firewall family inet filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour le trafic IPv4.

IPv6

[edit firewall family inet6 filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour le trafic IPv6.

MPLS

[edit firewall family mpls filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour MPLS trafic.

Adresses IPv4 dans MPLS flux

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour MPLS trafic IPv4 ou IPv6 balisé.

Ports IPv4 dans MPLS flux

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour MPLS trafic IPv4 ou IPv6 balisé.

Adresses IPv6 dans MPLS flux

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour MPLS trafic IPv4 ou IPv6 balisé.

Ports IPv6 dans MPLS flux

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour MPLS trafic IPv4 ou IPv6 balisé.

VPLS

[edit firewall family vpls filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour le trafic VPLS.

CCC de couche 2

[edit firewall family ccc filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour le trafic CCC de couche 2.

Pontage de couche 2

(MX Series routeurs et EX Series commutateurs uniquement)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (pour EX Series commutateurs uniquement)

Pour obtenir la liste complète des conditions de correspondance, consultez la liste des conditions de correspondance des filtres de pare-feu pour le trafic de pontage de couche 2.

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (la , ou les conditions de correspondance), utilisez la syntaxe pour les représentations de texte décrites dans addressdestination-addresssource-address RFC 4291, IP Version 6 Addressing Architecture. Pour plus d’informations sur les adresses IPv6, consultez la présentation d’IPv6 et les normes IPv6 prise en charge.

Actions de filtre de pare-feu

Dans l’instruction d’un terme filtre de pare-feu, vous pouvez spécifier les actions à prendre sur un paquet then qui correspond au terme.

Tableau 2 résume les types d’actions que vous pouvez spécifier dans un terme de filtre de pare-feu.

Tableau 2 : Catégories d’action des filtres de pare-feu

Type d’action

Description

Commentaire

Terminaison

Bloque toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur (ou le commutateur) exécute l’action spécifiée et aucune autre modalité n’est utilisée pour examiner le paquet.

Vous pouvez spécifier une seule action de terminaison dans un terme filtre de pare-feu. Vous pouvez toutefois spécifier une action de terminaison avec une ou plusieurs actions non déterminés en un seul terme. Par exemple, dans un certain délai, vous pouvez accept spécifier avec count et syslog . Quel que soit le nombre de termes qui contiennent des actions de terminaison, une fois que le système traite une action de terminaison dans un délai, le traitement de l’ensemble du filtre de pare-feu bloque.

Voir les actions de terminaison de filtre de pare-feu.

Non fin de vie

Exécute d’autres fonctions sur un paquet (telles que l’incrément d’un compteur, la journalisation des informations relatives à l’en-tête du paquet, l’échantillonnage des données de paquets ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journalisation du système), mais des termes supplémentaires sont utilisés pour examiner le paquet.

Toutes les actions non-terminer incluent une action acceptée implicitement. Cette action acceptée s’effectue si aucune autre action de terminaison n’est configurée dans le même terme.

Voir les actions de filtrage de pare-feu, non-termination.

Contrôle de flux

Pour les filtres de pare-feu standard uniquement, l’action dirige le routeur (ou le commutateur) à effectuer des actions configurées sur le paquet. Ensuite, plutôt que de résilier le filtre, utilisez le terme suivant dans le filtre pour évaluer le next term paquet. Si l’action est incluse, le paquet correspondant est évalué selon la durée next term suivante dans le filtre de pare-feu. Dans le cas contraire, le paquet correspondant n’est pas évalué en fonction des conditions suivantes dans le filtre de pare-feu.

Par exemple, lorsque vous configurez un terme avec count l’action sans fin, l’action du terme s’en fait discard implicitement implicitement . accept next termL’action force l’évaluation continue du filtre de pare-feu.

Vous ne pouvez pas configurer next term l’action avec une action de terminaison dans le même terme de filtre. Cependant, vous pouvez configurer l’action du terme suivant avec une autre action nonterminante dans le même terme de filtre.

Un maximum de 1 024 actions sont prises en charge par configuration de filtre next term de pare-feu standard. Si vous configurez un filtre de pare-feu standard qui dépasse cette limite, la configuration de votre candidat entraîne une erreur de validation.

Remarque :

Sur Junos OS évoluée, ne peut pas apparaître comme le next term dernier terme de l’action. Un terme de filtre dans lequel next term une action est spécifiée, mais sans conditions de correspondance configurées, n’est pas pris en charge.