Sur cette page
Conditions de correspondance pour les valeurs bits sur le terrain
Correspondance des conditions pour les valeurs ou combinaisons de bits communs
Correspondance avec une valeur sur un seul bit sur le terrain ou un alias texte
Appariement sur plusieurs valeurs de champs de bits ou alias texte
Correspondance sur les valeurs logiques ou sur deux bits du champ
Correspondance en fonction de la logique et des valeurs de deux bits sur le terrain
Regroupement des conditions de correspondance sur le terrain des bits
Conditions de correspondance des filtres de pare-feu en fonction des valeurs bits sur le terrain
Conditions de correspondance pour les valeurs bits sur le terrain
Tableau 1 répertorie les conditions de correspondance des filtres de pare-feu qui sont basées sur la façon de définir ou non certains champs bits d’un paquet. Les deuxième et troisième colonnes énumérent les types de trafic pour lesquels la condition de correspondance est prise en charge.
Condition de correspondance sur le terrain |
Valeurs de correspondance |
Familles de protocoles pour les filtres de pare-feu sans état standard |
Familles de protocoles pour filtres de services |
|---|---|---|---|
fragment-flags flags |
Valeurs hexadécimale ou alias de texte pour le champ de trois bits des indicateurs de fragmentation IP dans l’en-tête IP. |
family inet |
family inet |
fragment-offset value |
Valeurs hexadécimaux ou alias texte pour le champ de fragmentation de 13 bits de l’en-tête IP. |
family inet |
family inet |
tcp-flags value† |
Valeurs hexadécimaux ou alias texte pour les 6 bits de faible ordre du champ des indicateurs TCP 8 bits dans l’en-tête TCP. |
family inetfamily inet6family vplsfamily bridge |
family inetfamily inet6 |
† L Junos OS ne vérifie pas automatiquement le premier fragment lors de l’association des indicateurs TCP au trafic IPv4. Pour vérifier le premier fragment de trafic IPv4 uniquement, utilisez la first-fragment condition de correspondance. |
|||
Correspondance des conditions pour les valeurs ou combinaisons de bits communs
Tableau 2 décrit les conditions de correspondance de filtre de pare-feu qui sont basées sur la façon de définir ou non certaines valeurs ou combinaisons de bits couramment utilisés dans un paquet.
Vous pouvez utiliser des synonymes de texte pour spécifier des correspondances sur le terrain courantes. Dans l’exemple précédent, vous pouvez tcp-initial spécifier la même condition de correspondance.
Certaines des conditions de correspondance numérique et de correspondance sur le champ de bit vous permettent de spécifier une synonyme de texte. Pour obtenir la liste complète des synonymes:
Si vous utilisez l’interface J-Web, sélectionnez la synonyme dans la liste appropriée.
Si vous utilisez le CLI, tapez un point d’interrogation ( ? ) après from l’énoncé.
Condition de correspondance |
Description |
Familles de protocoles pour les filtres de pare-feu sans état standard |
Familles de protocoles pour filtres de services |
|---|---|---|---|
first-fragment |
Alias de texte pour la condition de correspondance sur le terrain de bit, qui indique fragment-offset 0 le premier fragment d’un paquet fragmenté. |
family inet |
family inet |
is-fragment |
Alias de texte pour la condition de correspondance sur le terrain de bit, qui indique un fragment de trace fragment-offset 0 except d’un paquet fragmenté. |
family inet |
family inet |
tcp-established |
Alias pour la condition de correspondance sur le terrain de bit, qui indique une session TCP établie, mais pas le tcp-flags "(ack | rst)" premier paquet d’une connexion TCP. |
family inetfamily inet6 |
— |
tcp-initial |
Alias pour la condition de correspondance du bit sur le terrain, qui indique le premier paquet d’une connexion TCP, mais pas une tcp-flags "(!ack & syn)" session TCP établie. |
family inetfamily inet6 |
— |
Opérateurs logiques pour les valeurs bits sur le terrain
Tableau 3 répertorie les opérateurs logiques que vous pouvez appliquer aux valeurs d’un seul bit de champ lors de la spécification des conditions de correspondance de filtre de pare-feu sans état. Les opérateurs sont répertoriés dans l’ordre, de la priorité la plus élevée au préséance la plus faible. Les opérations sont associatives de gauche à gauche, ce qui signifie que les opérations sont traitées de gauche à droite.
Ordre de préséance |
Opérateur logique bit-field |
Description |
|---|---|---|
1 |
(complex-match-condition) |
Regroupement: la condition de correspondance complexe est évaluée avant l’application de tout opérateur en dehors des parenthèses. |
2 |
! match-condition |
Négation: une correspondance est possible si la condition de correspondance est fausse. |
3 |
match-condition-1 & match-condition-2oumatch-condition-1 + match-condition-2 |
Logique ET: une correspondance est possible si les deux conditions de correspondance sont réelles. |
4 |
match-condition-1 | match-condition-2oumatch-condition-1 , match-condition-2 |
Logique OU: une correspondance est possible si l’une ou l’autre des conditions de correspondance est vraie. |
Correspondance avec une valeur sur un seul bit sur le terrain ou un alias texte
Pour les conditions de correspondance de bits et de pare-feu, vous pouvez spécifier des conditions de correspondance de filtre de pare-feu en fonction de la façon dont un bit du champ de paquet est fragment-flagstcp-flags définir ou non.
Valeur numérique pour spécifier un bit unique: vous pouvez spécifier une condition de correspondance par bit de champ unique à l’aide d’une valeur numérique d’un ensemble d’un bit. Selon la condition de correspondance, vous pouvez spécifier une valeur décimale, une valeur binaire ou une valeur hexadécimale. Pour spécifier une valeur binaire, spécifiez le numéro avec le préfixe b . Pour spécifier une valeur hexadécimale, indiquez le numéro avec le préfixe 0x .
Dans l’exemple suivant, une correspondance est définie si le bit est placé dans le champ des indicateurs RST TCP:
[edit firewall family inet filter filter_tcp_rst_number term term1 from] user@host# set tcp-flags 0x04
Alias de texte pour spécifier un seul bit: vous spécifiez généralement une condition de correspondance du champ unique en utilisant un alias de texte inclus dans des guillemets ( » « ).
Dans l’exemple suivant, une correspondance est définie si le bit est placé dans le champ des indicateurs RST TCP:
[edit firewall family inet filter filter_tcp_rst_alias term term1 from] user@host# set tcp-flags “rst”
Appariement sur plusieurs valeurs de champs de bits ou alias texte
Vous pouvez spécifier une condition de correspondance de filtre de pare-feu en fonction de la façon dont un ensemble particulier de bits dans un champ de paquets est définie.
Valeurs numériques pour spécifier plusieurs bits de jeu: lorsque vous spécifiez une valeur numérique dont la représentation binaire possède plusieurs bits de jeu, la valeur est traitée comme un ET des bits de l’ensemble.
Dans l’exemple suivant, les deux conditions de correspondance sont les mêmes. Une correspondance se produit en cas de bit 0x01 ou 0x02 non définie:
[edit firewall family inet filter reset_or_not_initial_packet term term5 from] user@host# set tcp-flags “!0x3” user@host# set tcp-flags “!(0x01 & 0x02)”
Alias texte qui spécifient les correspondances sur le terrain des bits courants: vous pouvez utiliser des alias texte pour spécifier des correspondances sur le terrain de bit courantes. Vous spécifiez ces correspondances comme un mot-clé unique.
Dans l’exemple suivant, la condition, qui est une alias pour , spécifie qu’une correspondance se produit sur des paquets TCP autres que le premier paquet tcp-established“(ack | rst)” d’une connexion:
[edit firewall family inet filter reset_or_not_initial_packet term term6 from] user@host# set tcp-established
Matching on a Negated Bit-Field Value
Pour annuler une correspondance, précédons la valeur avec un point d’exlamation.
Dans l’exemple suivant, une correspondance est définie si le bit est placé dans le champ des indicateurs RST TCP:
[edit firewall family inet filter filter_tcp_rst term term1 from] user@host# set tcp-flags “!rst”
Correspondance sur les valeurs logiques ou sur deux bits du champ
Vous pouvez utiliser (ou) spécifier qu’une correspondance se produit si un bit correspond à l’une des deux valeurs de champ | de bit , spécifiées.
Dans l’exemple suivant, une correspondance s’produit si le paquet n’est pas le paquet initial dans une session TCP:
[edit firewall family inet filter not_initial_packet term term3 from] user@host# set tcp-flags "!syn | ack"
Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial. Dans un paquet qui n’est pas le paquet initial dans une session TCP, l’indicateur SYN n’est pas définir ou l’indicateur ACK est définir.
Correspondance en fonction de la logique et des valeurs de deux bits sur le terrain
Vous pouvez utiliser la (ou) spécifier qu’une correspondance se produit si un bit correspond aux deux valeurs de champ de bit &+ spécifiées.
Dans l’exemple suivant, une correspondance se produit si le paquet est le paquet initial dans une session TCP:
[edit firewall family inet filter initial_packet term term2 from] user@host# set tcp-flags “syn & !ack”
Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial. Dans un paquet qui est un paquet initial dans une session TCP, l’indicateur SYN est définir et l’indicateur ACK n’est pas définir.
Regroupement des conditions de correspondance sur le terrain des bits
Vous pouvez utiliser ce processus pour spécifier que la condition de correspondance complexe au sein des parenthèses est évaluée avant l’application de tout opérateur en dehors des parenthèses.
Dans l’exemple suivant, une correspondance s’produit si le paquet est réinitialisé TCP ou si le paquet n’est pas le paquet initial dans la session TCP:
[edit firewall family inet filter reset_or_not_initial_packet term term4 from] user@host# set tcp-flags “!(syn & !ack) | rst”
Dans une session TCP, l’indicateur SYN n’est placé que dans le paquet initial envoyé, alors que l’indicateur ACK est placé dans tous les paquets envoyés après le paquet initial. Dans un paquet qui n’est pas le paquet initial dans une session TCP, l’indicateur SYN n’est pas définir et le champ ACK est définir.