Sur cette page
Conditions de correspondance pour les valeurs de champ binaire
Conditions de correspondance pour les valeurs ou combinaisons de champs binaires courantes
Mise en correspondance sur une seule valeur de champ binaire ou un seul alias de texte
Correspondance sur plusieurs valeurs de champ binaire ou alias de texte
Correspondance sur le OU logique de deux valeurs de champ binaire
Correspondance sur le ET logique de deux valeurs de champ binaire
Regroupement des conditions de correspondance de champ binaire
Conditions de correspondance du filtre de pare-feu basées sur les valeurs de champ de bits
Conditions de correspondance pour les valeurs de champ binaire
Tableau 1 Répertorie les conditions de correspondance du filtre de pare-feu qui sont basées sur le fait que certains champs de bits d’un paquet sont définis ou non . Les deuxième et troisième colonnes répertorient les types de trafic pour lesquels la condition de correspondance est prise en charge.
Condition de correspondance de champ de bits |
Valeurs de correspondance |
Familles de protocoles pour les filtres de pare-feu sans état standard |
Familles de protocoles pour les filtres de service |
|---|---|---|---|
fragment-flags flags |
Valeurs hexadécimales ou alias de texte pour le champ d’indicateurs de fragmentation IP à trois bits dans l’en-tête IP. |
family inet |
family inet |
fragment-offset value |
Valeurs hexadécimales ou alias de texte pour le champ de décalage de fragment 13 bits dans l’en-tête IP. |
family inet |
family inet |
tcp-flags value† |
Valeurs hexadécimales ou alias de texte pour les 6 bits de poids faible du champ d’indicateurs TCP 8 bits de l’en-tête TCP. |
family inetfamily inet6family vplsfamily bridge |
family inetfamily inet6 |
† Junos OS ne vérifie pas automatiquement le premier bit de fragment lors de la mise en correspondance des indicateurs TCP pour le trafic IPv4. Pour vérifier le premier bit de fragment pour le trafic IPv4 uniquement, utilisez la condition de first-fragment correspondance. |
|||
Conditions de correspondance pour les valeurs ou combinaisons de champs binaires courantes
Tableau 2 Décrit les conditions de correspondance du filtre de pare-feu qui sont basées sur le fait que certaines valeurs couramment utilisées ou des combinaisons de champs de bits dans un paquet sont définies ou non .
Vous pouvez utiliser des synonymes textuels pour spécifier des correspondances de champs binaires courantes. Dans l’exemple précédent, vous pouvez spécifier tcp-initial la même condition de correspondance.
Certaines des conditions de correspondance de plage numérique et de champ binaire vous permettent de spécifier un synonyme de texte. Pour une liste complète des synonymes :
Si vous utilisez l’interface J-Web, sélectionnez le synonyme dans la liste appropriée.
Si vous utilisez l’interface de ligne de commande, tapez un point d’interrogation (?) après l’instruction from .
Condition de correspondance |
Description |
Familles de protocoles pour les filtres de pare-feu sans état standard |
Familles de protocoles pour les filtres de service |
|---|---|---|---|
first-fragment |
Alias de texte pour la condition fragment-offset 0de correspondance de champ binaire , qui indique le premier fragment d’un paquet fragmenté. |
family inet |
family inet |
is-fragment |
Alias de texte pour la condition fragment-offset 0 exceptde correspondance de champ binaire , qui indique un fragment de fin d’un paquet fragmenté. |
family inet |
family inet |
tcp-established |
Alias pour la condition tcp-flags "(ack | rst)"de correspondance de champ binaire , qui indique une session TCP établie, mais pas le premier paquet d’une connexion TCP. |
family inetfamily inet6 |
— |
tcp-initial |
Alias pour la condition tcp-flags "(!ack & syn)"de correspondance de champ binaire , qui indique le premier paquet d’une connexion TCP, mais pas une session TCP établie. |
family inetfamily inet6 |
— |
Opérateurs logiques pour les valeurs de champ binaire
Tableau 3 Répertorie les opérateurs logiques que vous pouvez appliquer aux valeurs de champ de bits unique lors de la spécification des conditions de correspondance du filtre de pare-feu sans état. Les opérateurs sont répertoriés dans l’ordre, de la priorité la plus élevée à la priorité la plus basse. Les opérations sont associatives à gauche, ce qui signifie qu’elles sont traitées de gauche à droite.
Ordre de préséance |
Opérateur logique de champ de bits |
Description |
|---|---|---|
1 |
(complex-match-condition) |
Grouping (Regroupement) : la condition d’appariement complexe est évaluée avant l’application d’opérateurs situés en dehors des parenthèses. |
2 |
! match-condition |
Négation : une correspondance se produit si la condition d’appariement est fausse. |
3 |
match-condition-1 & match-condition-2Oumatch-condition-1 + match-condition-2 |
AND logique : une correspondance se produit si les deux conditions d’appariement sont vraies. |
4 |
match-condition-1 | match-condition-2Oumatch-condition-1 , match-condition-2 |
OU logique : une correspondance se produit si l’une ou l’autre des conditions d’appariement est vraie. |
Mise en correspondance sur une seule valeur de champ binaire ou un seul alias de texte
Pour les conditions de correspondance de bits et , vous pouvez spécifier des fragment-flags conditions de correspondance de filtre de tcp-flags pare-feu selon qu’un bit particulier dans le champ paquet est défini ou non.
Valeur numérique pour spécifier un seul bit : vous pouvez spécifier une condition de correspondance de champ de bits unique à l’aide d’une valeur numérique dont un bit est défini. En fonction de la condition de correspondance, vous pouvez spécifier une valeur décimale, une valeur binaire ou une valeur hexadécimale. Pour spécifier une valeur binaire, spécifiez le nombre avec le préfixe b. Pour spécifier une valeur hexadécimale, spécifiez le nombre avec le préfixe 0x.
Dans l’exemple suivant, une correspondance se produit si le RST bit du champ TCP flags est défini :
[edit firewall family inet filter filter_tcp_rst_number term term1 from] user@host# set tcp-flags 0x04
Alias de texte pour spécifier un seul bit : vous spécifiez généralement une condition de correspondance de champ de bits unique à l’aide d’un alias de texte entouré de guillemets doubles ( » « ).
Dans l’exemple suivant, une correspondance se produit si le RST bit du champ TCP flags est défini :
[edit firewall family inet filter filter_tcp_rst_alias term term1 from] user@host# set tcp-flags “rst”
Correspondance sur plusieurs valeurs de champ binaire ou alias de texte
Vous pouvez spécifier une condition de correspondance de filtre de pare-feu selon qu’un ensemble particulier de bits dans un champ de paquet est défini ou non.
Valeurs numériques pour spécifier plusieurs bits définis : lorsque vous spécifiez une valeur numérique dont la représentation binaire comporte plusieurs bits définis, la valeur est traitée comme un ET logique des bits définis.
Dans l’exemple suivant, les deux conditions de correspondance sont identiques. Une correspondance se produit si le bit 0x01 ou 0x02 n’est pas défini :
[edit firewall family inet filter reset_or_not_initial_packet term term5 from] user@host# set tcp-flags “!0x3” user@host# set tcp-flags “!(0x01 & 0x02)”
Alias de texte qui spécifient des correspondances de champs de bits courantes : vous pouvez utiliser des alias de texte pour spécifier des correspondances de champs de bits courantes. Vous spécifiez ces correspondances sous la forme d’un seul mot-clé.
Dans l’exemple suivant, la tcp-established condition, qui est un alias de “(ack | rst)”, spécifie qu’une correspondance se produit sur les paquets TCP autres que le premier paquet d’une connexion :
[edit firewall family inet filter reset_or_not_initial_packet term term6 from] user@host# set tcp-established
Correspondance sur une valeur de champ binaire annulée
Pour annuler une correspondance, faites précéder la valeur d’un point d’exclamation.
Dans l’exemple suivant, une correspondance se produit si le RST bit du champ TCP flags est défini :
[edit firewall family inet filter filter_tcp_rst term term1 from] user@host# set tcp-flags “!rst”
Correspondance sur le OU logique de deux valeurs de champ binaire
Vous pouvez utiliser le (| ou ,) pour spécifier qu’une correspondance se produit si un champ de bits correspond à l’une des deux valeurs de champ de bits spécifiées.
Dans l’exemple suivant, une correspondance se produit si le paquet n’est pas le paquet initial d’une session TCP :
[edit firewall family inet filter not_initial_packet term term3 from] user@host# set tcp-flags "!syn | ack"
Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Dans un paquet qui n’est pas le paquet initial d’une session TCP, soit l’indicateur SYN n’est pas défini, soit l’indicateur ACK est défini.
Correspondance sur le ET logique de deux valeurs de champ binaire
Vous pouvez utiliser le (& ou +) pour spécifier qu’une correspondance se produit si un champ de bits correspond aux deux valeurs de champ de bits spécifiées.
Dans l’exemple suivant, une correspondance se produit si le paquet est le paquet initial d’une session TCP :
[edit firewall family inet filter initial_packet term term2 from] user@host# set tcp-flags “syn & !ack”
Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Dans un paquet qui est un paquet initial dans une session TCP, l’indicateur SYN est défini et l’indicateur ACK n’est pas défini.
Regroupement des conditions de correspondance de champ binaire
Vous pouvez utiliser la méthode pour spécifier que la condition de correspondance complexe à l’intérieur des parenthèses est évaluée avant l’application d’opérateurs situés en dehors des parenthèses.
Dans l’exemple suivant, une correspondance se produit si le paquet est une réinitialisation TCP ou s’il n’est pas le paquet initial de la session TCP :
[edit firewall family inet filter reset_or_not_initial_packet term term4 from] user@host# set tcp-flags “!(syn & !ack) | rst”
Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Dans un paquet qui n’est pas le paquet initial d’une session TCP, l’indicateur SYN n’est pas défini et le champ ACK est défini.