Instructions pour la configuration des filtres de pare-feu
Cette rubrique couvre les informations suivantes :
Hiérarchie d’instructions pour la configuration des filtres de pare-feu
Pour configurer un filtre de pare-feu standard, vous pouvez inclure les instructions suivantes. Pour un filtre de pare-feu standard IPv4, l’instruction family inet
est facultative. Pour un filtre de pare-feu standard IPv6, l’instruction family inet6
est obligatoire.
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Vous pouvez inclure la configuration du pare-feu à l’un des niveaux hiérarchiques suivants :
-
[edit]
-
[edit logical-systems logical-system-name]
Pour le filtrage de pare-feu sans état, vous devez autoriser le trafic du tunnel de sortie à travers le filtre de pare-feu appliqué au trafic d’entrée sur l’interface qui est l’interface de saut suivant vers la destination du tunnel. Le filtre de pare-feu affecte uniquement les paquets sortant du routeur (ou du commutateur) par le biais du tunnel.
Sur les plates-formes ACX7100, les filtres de pare-feu VPLS sont configurés sous et non sous family
ethernet-switching
family
VPLS
. Les filtres de gestion sont configurés au niveau de la famille ou inet6
et la syntaxe est la inet
suivante :
set interfaces re0:mgmt-0 unit logical-unit-number family family-name
filter input filter-name.
Familles de protocoles de filtre de pare-feu
La configuration d’un filtre de pare-feu est spécifique à une famille de protocoles particulière. Sous l’instruction, incluez l’une firewall
des instructions suivantes pour spécifier la famille de protocoles pour laquelle vous souhaitez filtrer le trafic :
family any
: filtrer le trafic indépendant du protocole.family inet
: pour filtrer le trafic IPv4 (Internet Protocol version 4).family inet6
: pour filtrer le trafic IPv6 (Internet Protocol version 6).family mpls
: filtre le trafic MPLS.family vpls
: filtrer le trafic du service de réseau local privé virtuel (VPLS).family ccc
: filtre le trafic CCC (layer 2 circuit crossconnection).family bridge
—Pour filtrer le trafic de pontage de couche 2 pour les routeurs Universal Edge 3D MX Series uniquement.family ethernet-switching
: filtre le trafic de couche 2 (Ethernet).
L’instruction family family-name
n’est requise que pour spécifier une famille de protocoles autre qu’IPv4. Pour configurer un filtre de pare-feu IPv4, vous pouvez configurer le filtre au niveau de la [edit firewall]
hiérarchie sans inclure l’instruction family inet
, car les [edit firewall]
niveaux et [edit firewall family inet]
hiérarchie sont équivalents.
Pour le filtre de famille de ponts, le critère de correspondance n’est ip-protocol pris en charge que pour IPv4 et non pour IPv6. Cela s’applique aux cartes de ligne qui prennent en charge le chipset Junos Trio, telles que les cartes de ligne MX 3D MPC.
Noms et options des filtres de pare-feu
Sous l’instruction family family-name
, vous pouvez inclure filter filter-name
des instructions pour créer et nommer des filtres de pare-feu. Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et comporter jusqu’à 64 caractères. Pour inclure des espaces dans le nom, placez le nom entier entre guillemets ( » « ).
Au niveau de la [edit firewall family family-name filter filter-name]
hiérarchie, les instructions suivantes sont facultatives :
accounting-profile
instance-shared
(Routeurs MX Series avec concentrateurs de ports modulaires (MPCS) uniquement)interface-specific
physical-interface-filter
Termes relatifs au filtre de pare-feu
Sous l’instruction filter filter-name
, vous pouvez inclure des term term-name
instructions pour créer et nommer des termes de filtrage.
Vous devez configurer au moins un terme dans un filtre de pare-feu.
Vous devez spécifier un nom unique pour chaque terme dans un filtre de pare-feu. Le nom du terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter jusqu’à 64 caractères. Pour inclure des espaces dans le nom, placez le nom entier entre guillemets ( » « ).
L’ordre dans lequel vous spécifiez les termes dans la configuration d’un filtre de pare-feu est important. Les termes de filtre de pare-feu sont évalués dans l’ordre dans lequel ils sont configurés. Par défaut, les nouveaux termes sont toujours ajoutés à la fin du filtre existant. Vous pouvez utiliser la
insert
commande configuration mode pour réorganiser les termes d’un filtre de pare-feu.
Au niveau de la [edit firewall family family-name filter filter-name term term-name]
hiérarchie, l’instruction n’est filter filter-name
pas valide dans le même terme que from
les instructions or then
. Lorsqu’elle est incluse à ce niveau hiérarchique, l’instruction filter filter-name
est utilisée pour imbriquer les filtres de pare-feu.
Conditions de correspondance du filtre de pare-feu
Les conditions de correspondance du filtre de pare-feu sont spécifiques au type de trafic filtré.
À l’exception du trafic IPv4 ou IPv6 avec balise MPLS, vous spécifiez les conditions de correspondance du terme sous l’instruction from
. Pour le trafic IPv4 balisé MPLS, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv4 du terme sous l’instruction et les conditions de correspondance spécifiques au port IPv4 du terme sous l’instruction ip-version ipv4
protocol (tcp | udp)
.
Pour le trafic IPv6 balisé MPLS, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv6 du terme sous l’instruction et les conditions de correspondance spécifiques au port IPv6 du terme sous l’instruction ip-version ipv6
protocol (tcp | udp)
.
Tableau 1 Décrit les types de trafic pour lesquels vous pouvez configurer des filtres de pare-feu.
Type de trafic |
Niveau hiérarchique auquel les conditions de correspondance sont spécifiées |
---|---|
Indépendant du protocole |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic indépendant du protocole. |
IPv4 (en anglais) |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4. |
Prise en charge IPv6 |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv6. |
MPLS |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic MPLS. |
Adresses IPv4 dans les flux MPLS |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS. |
Ports IPv4 dans les flux MPLS |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS. |
Adresses IPv6 dans les flux MPLS |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS. |
Ports IPv6 dans les flux MPLS |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS. |
VPLS |
Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance du filtre de pare-feu pour le trafic VPLS. |
CCC de couche 2 |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2. |
Pontage de couche 2 (Routeurs MX Series et commutateurs EX Series uniquement) |
Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic de pontage de couche 2. |
Si vous spécifiez une adresse IPv6 dans une condition de correspondance (les conditions de correspondance , ou source-address
de address
correspondance), utilisez la syntaxe des représentations textuelles décrite dans la RFC 4291, destination-address
Architecture d’adressage IP version 6. Pour plus d’informations sur les adresses IPv6, consultez Présentation d’IPv6 et Normes IPv6 prises en charge.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.html
Actions de filtrage du pare-feu
Sous l’instruction d’un then
terme de filtre de pare-feu, vous pouvez spécifier les actions à effectuer sur un paquet qui correspond au terme.
Tableau 2 Récapitule les types d’actions que vous pouvez spécifier dans un terme de filtre de pare-feu.
Type d’action |
Description |
Commentaire |
---|---|---|
Terminaison |
Arrête toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur (ou commutateur) effectue l’action spécifiée et aucun terme supplémentaire n’est utilisé pour examiner le paquet. Vous ne pouvez spécifier qu’une seule action de terminaison dans un terme de filtre de pare-feu. Si vous essayez de spécifier plusieurs actions de terminaison dans le terme de filtre, la dernière action de terminaison remplacera l’action de terminaison existante. Toutefois, vous pouvez spécifier une action de fin avec une ou plusieurs actions non terminées dans un seul terme. Par exemple, à l’intérieur d’un terme, vous pouvez spécifier |
Reportez-vous à la section Actions de terminaison du filtre de pare-feu. |
Non-terminaison |
Exécute d’autres fonctions sur un paquet (telles que l’incrémentation d’un compteur, la journalisation des informations sur l’en-tête du paquet, l’échantillonnage des données du paquet ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journalisation système), mais tous les termes supplémentaires sont utilisés pour examiner le paquet. |
Toutes les actions qui n’interrompent pas incluent une action d’acceptation implicite. Cette action d’acceptation est exécutée si aucune autre action d’arrêt n’est configurée dans le même terme. Reportez-vous à la section Actions non résiliantes du filtre de pare-feu. |
Contrôle de flux |
Pour les filtres de pare-feu standard uniquement, l’action indique au routeur (ou au commutateur) d’effectuer des actions configurées sur le paquet, puis, plutôt que d’arrêter le filtre, d’utiliser Par exemple, lorsque vous configurez un terme avec l’action non terminaison , l’action du terme passe d’une |
Vous ne pouvez pas configurer l’action Un maximum de 1024 REMARQUE :
Sur Junos OS Evolved, |