Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comparaison des stratégies de routage et des filtres de pare-feu

Bien que les stratégies de routage et les filtres de pare-feu partagent une architecture, leurs objectifs, leur implémentation et leur configuration sont différents. Tableau 1 décrit leurs objectifs. Tableau 2 compare les détails d’implémentation pour les stratégies de routage et les filtres de pare-feu, mettant l’accent sur les similarités et les différences dans leur configuration.

Tableau 1 : Objet des stratégies de routage et des filtres de pare-feu

Stratégies

Source

Objet de la stratégie

Stratégies de routage

Les informations de routage sont générées par les pairs réseau internes.

Pour contrôler la taille et le contenu des tables de routage, quelles routes sont annoncées et quelles routes sont considérées comme les meilleures pour atteindre diverses destinations.

Filtres de pare-feu

Les paquets sont générés par des équipements internes et externes par le biais des lesquels les attaques hostiles peuvent être engendrées.

Pour protéger votre routeur et votre réseau contre un trafic entrant excessif ou des attaques hostiles qui peuvent perturber le service réseau, et pour contrôler les paquets qui sont transmis à partir de quelles interfaces de routeur.

Tableau 2 : Différences d’implémentation entre les stratégies de routage et les filtres de pare-feu

Architecture des stratégies

Implémentation des stratégies de routage

Implémentation de filtres de pare-feu

Points de contrôle

Contrôlez les informations de routage qui sont placées dans la table de routage avec une stratégie de routage d’importation et annoncées depuis la table de routage avec une stratégie de routage d’exportation.

Contrôlez les paquets acceptés sur une interface de routeur avec un filtre de pare-feu d’entrée et qui sont transmis depuis une interface à l’aide d’un filtre de pare-feu de sortie.

Tâches de configuration:

  • Définir la stratégie

  • Application des politiques

Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions.

Appliquez une ou plusieurs stratégies d’exportation ou d’importation à un protocole de routage. Vous pouvez également utiliser une expression de stratégiequi utilise des opérateurs logiques booléais avec plusieurs stratégies d’importation ou d’exportation.

Vous pouvez également appliquer une ou plusieurs stratégies d’exportation à la table de forwarding.

Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions.

Appliquez un filtre de pare-feu d’entrée ou de sortie à une interface physique ou un groupe d’interfaces physique pour filtrer les paquets de données reçus par ou transmis à une interface physique (uniquement sur les plates-formes de routage à l’aide d’un circuit intégré spécifique aux applications Internet Processor II).

Vous pouvez également appliquer un filtre de pare-feu d’entrée ou de sortie à l’interface de bouclage de la plate-forme de routage, qui est l’interface de l moteur de routage (sur toutes les plates-formes de routage). Cela vous permet de filtrer les paquets locaux reçus par ou transmis depuis le moteur de routage.

Termes

Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme.

Les conditions générales sont évaluées selon l’ordre dans lequel vous les spécifiez.

L’évaluation d’une stratégie se termine une fois qu’un paquet correspond aux critères définis dans un terme et que la politique définie ou par défaut a été prise pour accepter ou rejeter. Le routeur n’est pas évalué selon les conditions suivantes dans la même stratégie ou dans les stratégies suivantes.

Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme.

Les conditions générales sont évaluées selon l’ordre dans lequel vous les spécifiez.

L’évaluation d’un filtre de pare-feu se termine après qu’un paquet a correspond aux critères dans un terme et que la mesure définie ou par défaut a été prise. Le paquet n’est pas évalué en fonction des conditions suivantes dans le filtre de pare-feu.

Conditions de correspondance

Indiquez des critères de zéro ou plus pour qu’un routeur soit adapté. Vous pouvez spécifier des critères en fonction de la source, de la destination ou des propriétés d’un route. Vous pouvez également spécifier les conditions de correspondance suivantes, qui nécessitent une configuration plus particulière:

  • Expression de chemin de système autonome (AS): combinaison de AS et d’opérateurs d’expressions régulières.

  • Communauté: un groupe de destinations qui partagent une propriété commune.

  • Liste des préfixes: une liste nommée de préfixes.

  • Liste des itinéraires: liste des préfixes de destination.

  • Sous-routage: une stratégie de routage appelée de façon répétée à partir d’autres stratégies de routage.

Indiquez des critères de zéro ou plus qui doivent correspondre à un paquet. Vous devez correspondre à différents champs dans l’en-tête du paquet. Les champs sont regroupés dans les catégories suivantes:

  • Valeurs numériques, telles que les nombres de ports et de protocoles.

  • Valeurs de préfixe, telles que les préfixes de source et de destination IP.

  • Valeurs de champs de bits: que des bits particuliers soient placés dans les champs, tels que des options IP, des indicateurs TCP (Transmission Control Protocol) et des champs de fragmentation IP. Vous pouvez spécifier les champs à l’aide d’opérateurs logiques booléns.

Actions

Indiquez une action zéro ou une action à prendre si un routeur correspond à tous les critères. Vous pouvez spécifier les actions suivantes:

  • Acceptez: acceptez le routage dans la table de routage et propagez-le. Une fois cette action prise, l’évaluation des conditions générales et stratégies suivantes se termine.

  • Refuser: n’acceptez pas le routage dans la table de routage et ne le propagez pas. Une fois cette action prise, l’évaluation des conditions générales et stratégies suivantes se termine.

En plus des actions précédentes, vous pouvez également spécifier 0 ou plus des types d’actions suivantes:

  • Terme suivant: évaluez le terme suivant dans la stratégie de routage.

  • Politique suivante: évaluer la prochaine stratégie de routage.

  • Actions qui manipulent les caractéristiques associées à un routage lorsque le protocole de routage le place dans la table de routage ou en font la publicité dans la table de routage.

  • Trace action, lequel enregistre les correspondances de route.

Indiquez une action zéro ou une action à prendre si un paquet correspond à tous les critères. (Nous vous recommandons de toujours configurer une action de manière explicite.) Vous pouvez spécifier les actions suivantes:

  • Accepter: accepter un paquet.

  • Discard: rejette un paquet en silence, sans envoyer de message ICMP.

  • Rejeter: rejette un paquet et envoie un message de destination ICMP non mis en cache.

  • Instance de routage: indiquez une table de routage vers laquelle les paquets sont transmis.

  • Terme suivant: évaluez le terme suivant dans le filtre de pare-feu.

    Remarque :

    Sur Junos OS évoluée, ne peut pas apparaître comme le next term dernier terme de l’action. Un terme de filtre dans lequel next term une action est spécifiée, mais sans conditions de correspondance configurées, n’est pas pris en charge.

En plus de zéro ou des actions précédentes, vous pouvez également spécifier des modifiers d’action de zéro ou plus. Vous pouvez spécifier les modifiers d’action suivants:

  • Nombre: ajoutez le paquet à un total de nombre.

  • Classe de forwarding: définissez la classe de forwarding de paquets sur une valeur définie de 0 à 3.

  • Association de sécurité IPsec: utilisées avec les conditions de correspondance de la source et de l’adresse de destination, indiquez une association de sécurité IP (IPsec) pour le paquet.

  • Journal: stocke les informations d’en-tête d’un paquet sur moteur de routage.

  • Priorité des pertes: définissez la priorité des pertes de paquets (PLP) sur une valeur donnée, 0 ou 1.

  • Policer: applique des procédures de limitation de vitesse au trafic.

  • Exemple: échantillon du trafic de paquets.

  • Syslog: enregistrez une alerte pour le paquet.

Stratégies et actions par défaut

Si une route entrante ou sortante arrive et qu’une stratégie relative au route n’est pas explicitement configurée, l’action indiquée par la stratégie par défaut du protocole de routage associé est prise.

Les actions par défaut suivantes existent pour les stratégies de routage:

  • Si une stratégie ne spécifie pas de condition de correspondance, tous les routes sont évaluées en rapport avec la correspondance de la stratégie.

  • En cas de correspondance mais que la politique ne spécifie pas d’acceptation, de refus, de terme suivant ou d’action de stratégie suivante, l’une des stratégies suivantes se produit:

    • Le terme suivant, s’il est présent, est évalué.

    • Si aucune autre modalité n’est présente, la politique suivante est évaluée.

    • Si aucune autre stratégie n’est présente, l’action indiquée par la stratégie par défaut est prise.

  • Si une correspondance ne se produit pas avec une limite dans une stratégie et que des termes ultérieurs existent dans la même politique, le terme suivant est évalué.

  • Si aucune correspondance ne se produit avec les termes d’une politique et que des stratégies ultérieures existent, la stratégie suivante est évaluée.

  • Si une correspondance ne se produit pas à la fin d’une stratégie et qu’aucune autre stratégie n’existe, l’action acceptée ou rejette la stratégie par défaut est prise.

Si un paquet entrant ou sortant arrive sur une interface et qu’un filtre de pare-feu n’est pas configuré pour l’interface, la stratégie par défaut est prise (le paquet est accepté).

Les actions par défaut suivantes existent pour les filtres de pare-feu:

  • Si un filtre de pare-feu ne spécifie pas de condition de correspondance, tous les paquets sont considérés comme correspondre.

  • En cas de correspondance mais que le filtre de pare-feu ne spécifie aucune action, le paquet est accepté.

  • En cas de correspondance, l’action définie ou par défaut est prise et l’évaluation se termine. Les termes suivants dans le filtre de pare-feu ne sont pas évalués, sauf next term si l’action est spécifiée.

    Remarque :

    Sur Junos OS évoluée, ne peut pas apparaître comme le next term dernier terme de l’action. Un terme de filtre dans lequel next term une action est spécifiée, mais sans conditions de correspondance configurées, n’est pas pris en charge.

  • Si une correspondance ne se produit pas avec une expression dans un filtre de pare-feu et les termes suivants dans le même filtre, le terme suivant est évalué.

  • Si une correspondance ne se produit pas à la fin d’un filtre de pare-feu, le paquet est éliminé.