Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Directives pour la configuration des filtres de pare-feu

Cette rubrique aborde les informations suivantes :

Hiérarchie d’instruction pour la configuration des filtres de pare-feu

Pour configurer un filtre de pare-feu standard, vous pouvez inclure les instructions suivantes. Pour un filtre de pare-feu standard IPv4, l’instruction family inet est facultative. Pour un filtre de pare-feu standard IPv6, l’instruction family inet6 est obligatoire.

Vous pouvez inclure la configuration du pare-feu à l’un des niveaux hiérarchiques suivants :

  • [edit]

  • [edit logical-systems logical-system-name]

Remarque :

Pour le filtrage de pare-feu sans état, vous devez autoriser le trafic tunnel de sortie via le filtre de pare-feu appliqué au trafic d’entrée sur l’interface qui est l’interface du saut suivant vers la destination du tunnel. Le filtre de pare-feu affecte uniquement les paquets qui quittent le routeur (ou le commutateur) par le biais du tunnel.

Familles de protocoles de filtre de pare-feu

Une configuration de filtre de pare-feu est spécifique à une famille de protocoles particuliers. Dans l’instruction firewall , incluez l’une des instructions suivantes pour spécifier la famille de protocoles pour laquelle vous souhaitez filtrer le trafic :

  • family any— Pour filtrer le trafic indépendant du protocole.

  • family inet— Pour filtrer le trafic IPv4 (Internet Protocol version 4).

  • family inet6— Pour filtrer le trafic IPv6 (Internet Protocol version 6).

  • family mpls— Pour filtrer le trafic MPLS.

  • family vpls— Pour filtrer le trafic VPLS (Virtual Private LAN Service).

  • family ccc— Pour filtrer le trafic CCC (Circuit Cross-Connection) de couche 2.

  • family bridge— Pour filtrer le trafic de pontage de couche 2 pour les routeurs Universal Edge 3D MX Series uniquement.

  • family ethernet-switching— Pour filtrer le trafic de couche 2 (Ethernet).

L’instruction family family-name est requise uniquement pour spécifier une famille de protocoles autre que IPv4. Pour configurer un filtre de pare-feu IPv4, vous pouvez configurer le filtre au niveau de la [edit firewall] hiérarchie sans inclure l’instructionfamily inet, car les niveaux de hiérarchie et [edit firewall family inet] de [edit firewall] niveau sont équivalents.

Remarque :

Pour le filtre de la famille de pontage, les critères de correspondance ip-protocol sont pris en charge uniquement pour IPv4 et non pour IPv6. Cela s’applique aux cartes d’interfaces qui prennent en charge la puce Junos Trio, telles que les cartes de ligne MPC MX 3D.

Noms et options des filtres de pare-feu

Dans cette family family-name déclaration, vous pouvez inclure des filter filter-name instructions pour créer et nommer des filtres de pare-feu. Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et peut contenir jusqu’à 64 caractères. Pour inclure des espaces dans le nom, joignez l’ensemble du nom entre guillemets (« »).

Au niveau de la [edit firewall family family-name filter filter-name] hiérarchie, les instructions suivantes sont facultatives :

  • accounting-profile

  • instance-shared (routeurs MX Series avec concentrateurs de ports modulaires (MPCS) uniquement)

  • interface-specific

  • physical-interface-filter

Conditions du filtre de pare-feu

Dans cette déclaration, vous pouvez inclure des term term-name instructions pour créer et nommer des filter filter-name termes de filtre.

  • Vous devez configurer au moins un terme dans un filtre de pare-feu.

  • Vous devez spécifier un nom unique pour chaque terme dans un filtre de pare-feu. Le nom du terme peut contenir des lettres, des nombres et des traits d’union (-) et peut contenir jusqu’à 64 caractères. Pour inclure des espaces dans le nom, joignez l’ensemble du nom entre guillemets (« »).

  • L’ordre dans lequel vous spécifiez les termes dans une configuration de filtre de pare-feu est important. Les conditions des filtres de pare-feu sont évaluées dans l’ordre dans lequel ils sont configurés. Par défaut, de nouvelles conditions sont toujours ajoutées à la fin du filtre existant. Vous pouvez utiliser la commande configuration insert mode pour réorganiser les conditions d’un filtre de pare-feu.

Au niveau de la [edit firewall family family-name filter filter-name term term-name] hiérarchie, l’instruction filter filter-name n’est pas valide dans le même terme que from les then instructions. Lorsqu’elle est incluse dans cette hiérarchie, l’instruction filter filter-name est utilisée pour imbriquer les filtres de pare-feu.

Conditions de correspondance des filtres de pare-feu

Les conditions de correspondance des filtres de pare-feu sont spécifiques au type de trafic filtré.

À l’exception du trafic IPv4 ou IPv6 marqué par MPLS, vous spécifiez les conditions de correspondance du terme dans l’énoncé from . Pour le trafic IPv4 balisé MPLS, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv4 du terme dans l’instruction ip-version ipv4 et les conditions de correspondance spécifiques au port IPv4 du terme dans l’instruction protocol (tcp | udp) .

Pour le trafic IPv6 balisé MPLS, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv6 du terme dans l’instruction ip-version ipv6 et les conditions de correspondance spécifiques au port IPv6 du terme dans l’instruction protocol (tcp | udp) .

Tableau 1 décrit les types de trafic pour lesquels vous pouvez configurer les filtres de pare-feu.

Tableau 1 : Conditions de correspondance des filtres de pare-feu par famille de protocoles

Type de trafic

Niveau hiérarchique auquel les conditions de correspondance sont spécifiées

Indépendant du protocole

[edit firewall family any filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance des filtres de pare-feu pour le trafic indépendant du protocole.

IPv4

[edit firewall family inet filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance des filtres de pare-feu pour le trafic IPv4.

IPv6

[edit firewall family inet6 filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance des filtres de pare-feu pour le trafic IPv6.

MPLS

[edit firewall family mpls filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance des filtres de pare-feu pour le trafic MPLS.

Adresses IPv4 dans les flux MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

Pour obtenir la liste complète des conditions de correspondance, reportez-vous aux conditions de correspondance des filtres de pare-feu pour le trafic IPv4 ou IPv6 marqué par MPLS.

Ports IPv4 dans les flux MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

Pour obtenir la liste complète des conditions de correspondance, reportez-vous aux conditions de correspondance des filtres de pare-feu pour le trafic IPv4 ou IPv6 marqué par MPLS.

Adresses IPv6 dans les flux MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

Pour obtenir la liste complète des conditions de correspondance, reportez-vous aux conditions de correspondance des filtres de pare-feu pour le trafic IPv4 ou IPv6 marqué par MPLS.

Ports IPv6 dans les flux MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

Pour obtenir la liste complète des conditions de correspondance, reportez-vous aux conditions de correspondance des filtres de pare-feu pour le trafic IPv4 ou IPv6 marqué par MPLS.

VPLS

[edit firewall family vpls filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance des filtres de pare-feu pour le trafic VPLS.

CCC de couche 2

[edit firewall family ccc filter filter-name term term-name]

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance des filtres de pare-feu pour le trafic CCC de couche 2.

Pontage de couche 2

(routeurs MX Series et commutateurs EX Series uniquement)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (pour les commutateurs EX Series uniquement)

Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance des filtres de pare-feu pour le trafic de pontage de couche 2.

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (les address, destination-addressou source-address conditions de correspondance), utilisez la syntaxe pour les représentations de texte décrites dans RFC 4291, IP Version 6 Addressing Architecture. Pour plus d’informations sur les adresses IPv6, consultez la présentation d’IPv6 et les normes IPv6 prises en charge.

Actions des filtres de pare-feu

Dans l’instruction then relative à un terme de filtre de pare-feu, vous pouvez spécifier les actions à entreprendre sur un paquet correspondant au terme.

Tableau 2 résume les types d’actions que vous pouvez spécifier dans un terme de filtre de pare-feu.

Tableau 2 : Catégories d’action du filtre de pare-feu

Type d’action

Description

Commentaire

Terminaison

Bloque toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur (ou commutateur) exécute l’action spécifiée, et aucune autre conditions n’est utilisée pour examiner le paquet.

Vous pouvez spécifier une seule action de terminaison dans un terme de filtre de pare-feu. Vous pouvez toutefois spécifier une action mettant fin à l’action avec une ou plusieurs actions non déterminantes en un seul terme. Par exemple, dans le cadre d’un terme, vous pouvez spécifier accept avec count et syslog. Quel que soit le nombre de termes qui contiennent des actions de terminaison, une fois que le système traite une action de terminaison dans un délai, le traitement de l’ensemble du filtre de pare-feu s’arrête.

Reportez-vous aux actions de terminaison du filtre de pare-feu.

Non déterminant

Exécute d’autres fonctions sur un paquet (par exemple, incrément d’un compteur, journalisation des informations sur l’en-tête de paquet, échantillonnage des données de paquet ou envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journalisation système), mais des conditions supplémentaires sont utilisées pour examiner le paquet.

Toutes les actions non déterminantes incluent une action implicite d’acceptation. Cette action d’acceptation est effectuée si aucune autre action de terminaison n’est configurée dans le même terme.

Voir Filtre de pare-feu - Actions non déterminantes.

Contrôle de flux

Pour les filtres de pare-feu standard uniquement, l’action next term dirige le routeur (ou le commutateur) vers des actions configurées sur le paquet, puis, plutôt que de mettre fin au filtre, utiliser le terme suivant du filtre pour évaluer le paquet. Si l’action next term est incluse, le paquet correspondant est évalué par rapport au terme suivant dans le filtre de pare-feu. Sinon, le paquet correspondant n’est pas évalué par rapport aux termes suivants dans le filtre de pare-feu.

Par exemple, lorsque vous configurez un terme avec l’action non déterminante, l’action countdu terme passe d’un terme implicite discard à un niveau implicite accept. Cette next term action force l’évaluation continue du filtre de pare-feu.

Vous ne pouvez pas configurer l’action next term avec une action de terminaison dans le même terme de filtre. Cependant, vous pouvez configurer l’action du terme suivant avec une autre action non déterminante dans le même terme filtre.

Au maximum, 1 024 next term actions sont prises en charge par configuration de filtre de pare-feu standard. Si vous configurez un filtre de pare-feu standard qui dépasse cette limite, votre configuration de candidat entraîne une erreur de validation.

Remarque :

Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié comme action, mais sans conditions de correspondance configurées, n’est pas pris en charge.