Instructions pour la configuration des filtres de pare-feu

Hiérarchie d’instructions pour la configuration des filtres de pare-feu

Pour configurer un filtre de pare-feu standard, vous pouvez inclure les instructions suivantes. Pour un filtre de pare-feu standard IPv4, l’instruction family inet est facultative. Pour un filtre de pare-feu standard IPv6, l’instruction family inet6 est obligatoire.

Vous pouvez inclure la configuration du pare-feu à l’un des niveaux hiérarchiques suivants :

• [edit]

• [edit logical-systems logical-system-name]

REMARQUE :

Pour le filtrage de pare-feu sans état, vous devez autoriser le trafic du tunnel de sortie à travers le filtre de pare-feu appliqué au trafic d’entrée sur l’interface qui est l’interface de saut suivant vers la destination du tunnel. Le filtre de pare-feu affecte uniquement les paquets sortant du routeur (ou du commutateur) par le biais du tunnel.

REMARQUE :

Sur les plates-formes ACX7100, les filtres de pare-feu VPLS sont configurés sous et non sous family ethernet-switchingfamily VPLS. Les filtres de gestion sont configurés au niveau de la famille ou inet6 et la syntaxe est la inet suivante :

Familles de protocoles de filtre de pare-feu

La configuration d’un filtre de pare-feu est spécifique à une famille de protocoles particulière. Sous l’instruction, incluez l’une firewall des instructions suivantes pour spécifier la famille de protocoles pour laquelle vous souhaitez filtrer le trafic :

• family any: filtrer le trafic indépendant du protocole.

• family inet: pour filtrer le trafic IPv4 (Internet Protocol version 4).

• family inet6: pour filtrer le trafic IPv6 (Internet Protocol version 6).

• family mpls: filtre le trafic MPLS.

• family vpls: filtrer le trafic du service de réseau local privé virtuel (VPLS).

• family ccc: filtre le trafic CCC (layer 2 circuit crossconnection).

• family bridge—Pour filtrer le trafic de pontage de couche 2 pour les routeurs Universal Edge 3D MX Series uniquement.

• family ethernet-switching: filtre le trafic de couche 2 (Ethernet).

L’instruction family family-name n’est requise que pour spécifier une famille de protocoles autre qu’IPv4. Pour configurer un filtre de pare-feu IPv4, vous pouvez configurer le filtre au niveau de la [edit firewall] hiérarchie sans inclure l’instruction family inet , car les [edit firewall] niveaux et [edit firewall family inet] hiérarchie sont équivalents.

REMARQUE :

Pour le filtre de famille de ponts, le critère de correspondance n’est ip-protocol pris en charge que pour IPv4 et non pour IPv6. Cela s’applique aux cartes de ligne qui prennent en charge le chipset Junos Trio, telles que les cartes de ligne MX 3D MPC.

Noms et options des filtres de pare-feu

Sous l’instruction family family-name , vous pouvez inclure filter filter-name des instructions pour créer et nommer des filtres de pare-feu. Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et comporter jusqu’à 64 caractères. Pour inclure des espaces dans le nom, placez le nom entier entre guillemets ( » « ).

Au niveau de la [edit firewall family family-name filter filter-name] hiérarchie, les instructions suivantes sont facultatives :

• accounting-profile

• instance-shared (Routeurs MX Series avec concentrateurs de ports modulaires (MPCS) uniquement)

• interface-specific

• physical-interface-filter

Termes relatifs au filtre de pare-feu

Sous l’instruction filter filter-name , vous pouvez inclure des term term-name instructions pour créer et nommer des termes de filtrage.

• Vous devez configurer au moins un terme dans un filtre de pare-feu.

• Vous devez spécifier un nom unique pour chaque terme dans un filtre de pare-feu. Le nom du terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter jusqu’à 64 caractères. Pour inclure des espaces dans le nom, placez le nom entier entre guillemets ( » « ).

• L’ordre dans lequel vous spécifiez les termes dans la configuration d’un filtre de pare-feu est important. Les termes de filtre de pare-feu sont évalués dans l’ordre dans lequel ils sont configurés. Par défaut, les nouveaux termes sont toujours ajoutés à la fin du filtre existant. Vous pouvez utiliser la insert commande configuration mode pour réorganiser les termes d’un filtre de pare-feu.

Au niveau de la [edit firewall family family-name filter filter-name term term-name] hiérarchie, l’instruction n’est filter filter-name pas valide dans le même terme que from les instructions or then . Lorsqu’elle est incluse à ce niveau hiérarchique, l’instruction filter filter-name est utilisée pour imbriquer les filtres de pare-feu.

Conditions de correspondance du filtre de pare-feu

Les conditions de correspondance du filtre de pare-feu sont spécifiques au type de trafic filtré.

À l’exception du trafic IPv4 ou IPv6 avec balise MPLS, vous spécifiez les conditions de correspondance du terme sous l’instruction from . Pour le trafic IPv4 balisé MPLS, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv4 du terme sous l’instruction et les conditions de correspondance spécifiques au port IPv4 du terme sous l’instruction ip-version ipv4protocol (tcp | udp) .

Pour le trafic IPv6 balisé MPLS, vous spécifiez les conditions de correspondance spécifiques à l’adresse IPv6 du terme sous l’instruction et les conditions de correspondance spécifiques au port IPv6 du terme sous l’instruction ip-version ipv6protocol (tcp | udp) .

Tableau 1 Décrit les types de trafic pour lesquels vous pouvez configurer des filtres de pare-feu.

Tableau 1 : Conditions de correspondance du filtre de pare-feu par famille de protocoles

Type de trafic	Niveau hiérarchique auquel les conditions de correspondance sont spécifiées
Indépendant du protocole	[edit firewall family any filter filter-name term term-name] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic indépendant du protocole.
IPv4 (en anglais)	[edit firewall family inet filter filter-name term term-name] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4.
Prise en charge IPv6	[edit firewall family inet6 filter filter-name term term-name] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv6.
MPLS	[edit firewall family mpls filter filter-name term term-name] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic MPLS.
Adresses IPv4 dans les flux MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS.
Ports IPv4 dans les flux MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS.
Adresses IPv6 dans les flux MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS.
Ports IPv6 dans les flux MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic IPv4 ou IPv6 balisé MPLS.
VPLS	[edit firewall family vpls filter filter-name term term-name] Pour obtenir la liste complète des conditions de correspondance, consultez Conditions de correspondance du filtre de pare-feu pour le trafic VPLS.
CCC de couche 2	[edit firewall family ccc filter filter-name term term-name] Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic CCC de couche 2.
Pontage de couche 2 (Routeurs MX Series et commutateurs EX Series uniquement)	[edit firewall family bridge filter filter-name term term-name] [edit firewall family ethernet-switching filter filter-name term term-name] (pour les commutateurs EX Series uniquement) Pour obtenir la liste complète des conditions de correspondance, reportez-vous à la section Conditions de correspondance du filtre de pare-feu pour le trafic de pontage de couche 2.

Si vous spécifiez une adresse IPv6 dans une condition de correspondance (les conditions de correspondance , ou source-address de addresscorrespondance), utilisez la syntaxe des représentations textuelles décrite dans la RFC 4291, destination-address Architecture d’adressage IP version 6. Pour plus d’informations sur les adresses IPv6, consultez Présentation d’IPv6 et Normes IPv6 prises en charge.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.html

Actions de filtrage du pare-feu

Sous l’instruction d’un then terme de filtre de pare-feu, vous pouvez spécifier les actions à effectuer sur un paquet qui correspond au terme.

Tableau 2 Récapitule les types d’actions que vous pouvez spécifier dans un terme de filtre de pare-feu.

Tableau 2 : Catégories d’actions de filtre de pare-feu

Type d’action	Description	Commentaire
Terminaison	Arrête toute évaluation d’un filtre de pare-feu pour un paquet spécifique. Le routeur (ou commutateur) effectue l’action spécifiée et aucun terme supplémentaire n’est utilisé pour examiner le paquet. Vous ne pouvez spécifier qu’une seule action de terminaison dans un terme de filtre de pare-feu. Si vous essayez de spécifier plusieurs actions de terminaison dans le terme de filtre, la dernière action de terminaison remplacera l’action de terminaison existante. Toutefois, vous pouvez spécifier une action de fin avec une ou plusieurs actions non terminées dans un seul terme. Par exemple, à l’intérieur d’un terme, vous pouvez spécifier accept avec count et syslog. Quel que soit le nombre de termes contenant des actions d’arrêt, une fois que le système traite une action d’arrêt dans un délai donné, le traitement de l’ensemble du filtre de pare-feu s’arrête.	Reportez-vous à la section Actions de terminaison du filtre de pare-feu.
Non-terminaison	Exécute d’autres fonctions sur un paquet (telles que l’incrémentation d’un compteur, la journalisation des informations sur l’en-tête du paquet, l’échantillonnage des données du paquet ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journalisation système), mais tous les termes supplémentaires sont utilisés pour examiner le paquet.	Toutes les actions qui n’interrompent pas incluent une action d’acceptation implicite. Cette action d’acceptation est exécutée si aucune autre action d’arrêt n’est configurée dans le même terme. Reportez-vous à la section Actions non résiliantes du filtre de pare-feu.
Contrôle de flux	Pour les filtres de pare-feu standard uniquement, l’action indique au routeur (ou au commutateur) d’effectuer des actions configurées sur le paquet, puis, plutôt que d’arrêter le filtre, d’utiliser next term le terme suivant dans le filtre pour évaluer le paquet. Si l’action next term est incluse, le paquet correspondant est évalué par rapport au terme suivant dans le filtre de pare-feu. Dans le cas contraire, le paquet correspondant n’est pas évalué par rapport aux termes suivants dans le filtre de pare-feu. Par exemple, lorsque vous configurez un terme avec l’action non terminaison , l’action du terme passe d’une discard action countimplicite à une action implicite accept. L’action next term force l’évaluation continue du filtre de pare-feu.	Vous ne pouvez pas configurer   l’action next term avec une action de fin dans le même terme de filtre. Toutefois, vous pouvez configurer l’action de terme suivante avec une autre action non finale dans le même terme de filtre. Un maximum de 1024 next term  actions est pris en charge par configuration de filtre de pare-feu standard. Si vous configurez un filtre de pare-feu standard qui dépasse cette limite, votre configuration candidate entraîne une erreur de validation. REMARQUE : Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié en tant qu’action mais sans aucune condition de correspondance configurée n’est pas pris en charge.