Comparaison des stratégies de routage et des filtres de pare-feu
Bien que les stratégies de routage et les filtres de pare-feu partagent la même architecture, leurs objectifs, leur implémentation et leur configuration sont différents. Tableau 1 décrit leurs objectifs. Tableau 2 Compare les détails d’implémentation des stratégies de routage et des filtres de pare-feu, en mettant en évidence les similitudes et les différences de configuration.
Stratégies |
Source |
Objet de la stratégie |
---|---|---|
Stratégies de routage |
Les informations de routage sont générées par les homologues réseau internes. |
Contrôler la taille et le contenu des tables de routage, les itinéraires annoncés et les itinéraires considérés comme les meilleurs pour atteindre différentes destinations. |
Filtres de pare-feu |
Les paquets sont générés par des appareils internes et externes à travers lesquels des attaques hostiles peuvent être perpétrées. |
Pour protéger votre routeur et votre réseau contre un trafic entrant excessif ou des attaques hostiles susceptibles de perturber le service réseau, et pour contrôler quels paquets sont transférés à partir de quelles interfaces de routeur. |
Architecture des stratégies |
Implémentation d’une stratégie de routage |
Mise en place d’un filtre de pare-feu |
---|---|---|
Points de contrôle |
Contrôlez les informations de routage qui sont placées dans la table de routage avec une stratégie de routage d’importation et publiées à partir de la table de routage avec une stratégie de routage d’exportation. |
Contrôlez les paquets acceptés sur une interface de routeur avec un filtre de pare-feu d’entrée et qui sont transférés à partir d’une interface avec un filtre de pare-feu de sortie. |
Tâches de configuration :
|
Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions. Appliquez une ou plusieurs stratégies d’exportation ou d’importation à un protocole de routage. Vous pouvez également appliquer une expression de stratégie, qui utilise des opérateurs logiques booléens avec plusieurs stratégies d’importation ou d’exportation. Vous pouvez également appliquer une ou plusieurs stratégies d’exportation à la table de transfert. |
Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions. Appliquez un filtre de pare-feu d’entrée ou de sortie à une interface physique ou à un groupe d’interfaces physiques pour filtrer les paquets de données reçus ou transférés vers une interface physique (sur les plates-formes de routage dotées d’un circuit intégré spécifique à l’application [ASIC] Internet Processor II uniquement). Vous pouvez également appliquer un filtre de pare-feu d’entrée ou de sortie à l’interface de bouclage de la plate-forme de routage, qui est l’interface avec le moteur de routage (sur toutes les plates-formes de routage). Cela vous permet de filtrer les paquets locaux reçus ou transférés par le moteur de routage. |
Termes |
Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme. Les termes sont évalués dans l’ordre dans lequel vous les spécifiez. L’évaluation d’une stratégie se termine lorsqu’un paquet correspond aux critères d’un terme et que l’action définie ou par défaut de la stratégie, à savoir l’acceptation ou le rejet. L’itinéraire n’est pas évalué par rapport aux termes suivants de la même stratégie ou des stratégies ultérieures. |
Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme. Les termes sont évalués dans l’ordre dans lequel vous les spécifiez. L’évaluation d’un filtre de pare-feu se termine lorsqu’un paquet correspond aux critères d’un terme et que l’action définie ou par défaut est entreprise. Le paquet n’est pas évalué par rapport aux termes suivants dans le filtre de pare-feu. |
Conditions de match |
Spécifiez zéro ou plusieurs critères auxquels un itinéraire doit correspondre. Vous pouvez spécifier des critères basés sur la source, la destination ou les propriétés d’un itinéraire. Vous pouvez également spécifier les conditions de correspondance suivantes, qui nécessitent une configuration plus poussée :
|
Spécifiez zéro ou plusieurs critères auxquels un paquet doit correspondre. Vous devez faire correspondre différents champs de l’en-tête du paquet. Les champs sont regroupés dans les catégories suivantes :
|
Actions |
Spécifiez zéro ou une action à effectuer si un itinéraire correspond à tous les critères. Vous pouvez spécifier les actions suivantes :
En plus des actions précédentes, vous pouvez également spécifier zéro ou plusieurs des types d’actions suivants :
|
Spécifiez zéro ou une action à effectuer si un paquet répond à tous les critères. (Nous vous recommandons de toujours configurer explicitement une action.) Vous pouvez spécifier les actions suivantes :
En plus de zéro ou des actions précédentes, vous pouvez également spécifier zéro ou plusieurs modificateurs d’action. Vous pouvez spécifier les modificateurs d’action suivants :
|
Stratégies et actions par défaut |
Si une route entrante ou sortante arrive et qu’une stratégie associée à la route n’est pas explicitement configurée, l’action spécifiée par la stratégie par défaut pour le protocole de routage associé est effectuée. Les actions par défaut suivantes existent pour les stratégies de routage :
|
Si un paquet entrant ou sortant arrive sur une interface et qu’aucun filtre de pare-feu n’est configuré pour l’interface, la stratégie par défaut est prise (le paquet est accepté). Les actions par défaut suivantes existent pour les filtres de pare-feu :
|