Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Conditions de correspondance du filtre de pare-feu basées sur les valeurs de champ de bits

Conditions de correspondance pour les valeurs de champ binaire

Tableau 1 Répertorie les conditions de correspondance du filtre de pare-feu qui sont basées sur le fait que certains champs de bits d’un paquet sont définis ou non. Les deuxième et troisième colonnes répertorient les types de trafic pour lesquels la condition de correspondance est prise en charge.

Tableau 1 : Conditions de correspondance binaire et de champ binaire pour les filtres de pare-feu

Condition de correspondance de champ de bits

Valeurs de correspondance

Familles de protocoles pour les filtres de pare-feu sans état standard

Familles de protocoles pour les filtres de service

fragment-flags flags

Valeurs hexadécimales ou alias de texte pour le champ d’indicateurs de fragmentation IP à trois bits dans l’en-tête IP.

family inet

family inet

fragment-offset value

Valeurs hexadécimales ou alias de texte pour le champ de décalage de fragment 13 bits dans l’en-tête IP.

family inet

family inet

tcp-flags value

Valeurs hexadécimales ou alias de texte pour les 6 bits de poids faible du champ d’indicateurs TCP 8 bits de l’en-tête TCP.

family inetfamily inet6family vplsfamily bridge

family inetfamily inet6

 Junos OS ne vérifie pas automatiquement le premier bit de fragment lors de la mise en correspondance des indicateurs TCP pour le trafic IPv4. Pour vérifier le premier bit de fragment pour le trafic IPv4 uniquement, utilisez la condition de first-fragment correspondance.

Conditions de correspondance pour les valeurs ou combinaisons de champs binaires courantes

Tableau 2 Décrit les conditions de correspondance du filtre de pare-feu qui sont basées sur le fait que certaines valeurs couramment utilisées ou des combinaisons de champs de bits dans un paquet sont définies ou non.

Vous pouvez utiliser des synonymes textuels pour spécifier des correspondances de champs binaires courantes. Dans l’exemple précédent, vous pouvez spécifier tcp-initial la même condition de correspondance.

REMARQUE :

Certaines des conditions de correspondance de plage numérique et de champ binaire vous permettent de spécifier un synonyme de texte. Pour une liste complète des synonymes :

  • Si vous utilisez l’interface J-Web, sélectionnez le synonyme dans la liste appropriée.

  • Si vous utilisez l’interface de ligne de commande, tapez un point d’interrogation (?) après l’instruction from .
Tableau 2 : Conditions de correspondance de champ binaire pour les combinaisons courantes

Condition de correspondance

Description

Familles de protocoles pour les filtres de pare-feu sans état standard

Familles de protocoles pour les filtres de service

first-fragment

Alias de texte pour la condition fragment-offset 0de correspondance de champ binaire , qui indique le premier fragment d’un paquet fragmenté.

family inet

family inet

is-fragment

Alias de texte pour la condition fragment-offset 0 exceptde correspondance de champ binaire , qui indique un fragment de fin d’un paquet fragmenté.

family inet

family inet

tcp-established

Alias pour la condition tcp-flags "(ack | rst)"de correspondance de champ binaire , qui indique une session TCP établie, mais pas le premier paquet d’une connexion TCP.

family inetfamily inet6

tcp-initial

Alias pour la condition tcp-flags "(!ack & syn)"de correspondance de champ binaire , qui indique le premier paquet d’une connexion TCP, mais pas une session TCP établie.

family inetfamily inet6

Opérateurs logiques pour les valeurs de champ binaire

Tableau 3 Répertorie les opérateurs logiques que vous pouvez appliquer aux valeurs de champ de bits unique lors de la spécification des conditions de correspondance du filtre de pare-feu sans état. Les opérateurs sont répertoriés dans l’ordre, de la priorité la plus élevée à la priorité la plus basse. Les opérations sont associatives à gauche, ce qui signifie qu’elles sont traitées de gauche à droite.

Tableau 3 : Opérateurs logiques de champs binaires

Ordre de préséance

Opérateur logique de champ de bits

Description

1

(complex-match-condition)

Grouping (Regroupement) : la condition d’appariement complexe est évaluée avant l’application d’opérateurs situés en dehors des parenthèses.

2

match-condition

Négation : une correspondance se produit si la condition d’appariement est fausse.

3

match-condition-1  &  match-condition-2oumatch-condition-1  +  match-condition-2

AND logique : une correspondance se produit si les deux conditions d’appariement sont vraies.

4

match-condition-1  |  match-condition-2oumatch-condition-1  ,  match-condition-2  

OU logique : une correspondance se produit si l’une ou l’autre des conditions d’appariement est vraie.

Mise en correspondance sur une seule valeur de champ binaire ou un seul alias de texte

Pour les conditions de correspondance de bits et tcp-flags , vous pouvez spécifier des fragment-flags conditions de correspondance de filtre de pare-feu selon qu’un bit particulier dans le champ paquet est défini ou non.

  • Valeur numérique pour spécifier un seul bit : vous pouvez spécifier une condition de correspondance de champ de bits unique à l’aide d’une valeur numérique dont un bit est défini. En fonction de la condition de correspondance, vous pouvez spécifier une valeur décimale, une valeur binaire ou une valeur hexadécimale. Pour spécifier une valeur binaire, spécifiez le nombre avec le préfixe b. Pour spécifier une valeur hexadécimale, spécifiez le nombre avec le préfixe 0x.

    Dans l’exemple suivant, une correspondance se produit si le RST bit du champ TCP flags est défini :

  • Alias de texte pour spécifier un seul bit : vous spécifiez généralement une condition de correspondance de champ de bits unique à l’aide d’un alias de texte entouré de guillemets doubles ( » « ).

    Dans l’exemple suivant, une correspondance se produit si le RST bit du champ TCP flags est défini :

Correspondance sur plusieurs valeurs de champ binaire ou alias de texte

Vous pouvez spécifier une condition de correspondance de filtre de pare-feu selon qu’un ensemble particulier de bits dans un champ de paquet est défini ou non.

  • Valeurs numériques pour spécifier plusieurs bits définis : lorsque vous spécifiez une valeur numérique dont la représentation binaire comporte plusieurs bits définis, la valeur est traitée comme un ET logique des bits définis.

    Dans l’exemple suivant, les deux conditions de correspondance sont identiques. Une correspondance se produit si le bit 0x01 ou 0x02 n’est pas défini :

  • Alias de texte qui spécifient des correspondances de champs de bits courantes : vous pouvez utiliser des alias de texte pour spécifier des correspondances de champs de bits courantes. Vous spécifiez ces correspondances sous la forme d’un seul mot-clé.

    Dans l’exemple suivant, la tcp-established condition, qui est un alias de “(ack | rst)”, spécifie qu’une correspondance se produit sur les paquets TCP autres que le premier paquet d’une connexion :

Correspondance sur une valeur de champ binaire annulée

Pour annuler une correspondance, faites précéder la valeur d’un point d’exclamation.

Dans l’exemple suivant, une correspondance se produit si le RST bit du champ Indicateurs TCP n’est pas défini :

Correspondance sur le OU logique de deux valeurs de champ binaire

Vous pouvez utiliser le (| ou ,) pour spécifier qu’une correspondance se produit si un champ de bits correspond à l’une des deux valeurs de champ de bits spécifiées.

Dans l’exemple suivant, une correspondance se produit si le paquet n’est pas le paquet initial d’une session TCP :

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Dans un paquet qui n’est pas le paquet initial d’une session TCP, soit l’indicateur SYN n’est pas défini, soit l’indicateur ACK est défini.

Correspondance sur le ET logique de deux valeurs de champ binaire

Vous pouvez utiliser le (& ou +) pour spécifier qu’une correspondance se produit si un champ de bits correspond aux deux valeurs de champ de bits spécifiées.

Dans l’exemple suivant, une correspondance se produit si le paquet est le paquet initial d’une session TCP :

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Dans un paquet qui est un paquet initial dans une session TCP, l’indicateur SYN est défini et l’indicateur ACK n’est pas défini.

Regroupement des conditions de correspondance de champ binaire

Vous pouvez utiliser la méthode pour spécifier que la condition de correspondance complexe à l’intérieur des parenthèses est évaluée avant l’application d’opérateurs situés en dehors des parenthèses.

Dans l’exemple suivant, une correspondance se produit si le paquet est une réinitialisation TCP ou s’il n’est pas le paquet initial de la session TCP :

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Dans un paquet qui n’est pas le paquet initial d’une session TCP, l’indicateur SYN n’est pas défini et le champ ACK est défini.

Rubriques connexes