Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comparaison des stratégies de routage et des filtres de pare-feu

Bien que les stratégies de routage et les filtres de pare-feu partagent une architecture, leurs objectifs, leur implémentation et leur configuration sont différents. Tableau 1 décrit leurs objectifs. Tableau 2 compare les détails d’implémentation des stratégies de routage et des filtres de pare-feu, soulignant les similitudes et les différences dans leur configuration.

Tableau 1 : Objet des stratégies de routage et des filtres de pare-feu

Stratégies

Source

Objet de la stratégie

Stratégies de routage

Les informations de routage sont générées par les pairs réseau internes.

Pour contrôler la taille et le contenu des tables de routage, quelles routes sont annoncées et quelles routes sont considérées comme les plus adaptées pour atteindre diverses destinations.

Filtres de pare-feu

Les paquets sont générés par des équipements internes et externes par lesquels des attaques hostiles peuvent être perpétrées.

Pour protéger votre routeur et votre réseau contre un trafic entrant excessif ou des attaques hostiles pouvant perturber le service réseau, et pour contrôler les paquets qui sont transféré à partir de quelles interfaces de routeur.
Tableau 2 : Différences d’implémentation entre les stratégies de routage et les filtres de pare-feu

Architecture de stratégie

Implémentation des stratégies de routage

Implémentation des filtres de pare-feu

Points de contrôle

Contrôlez les informations de routage placées dans la table de routage à l’aide d’une stratégie de routage d’importation et publiées sur la table de routage à l’aide d’une stratégie de routage d’exportation.

Contrôlez les paquets acceptés sur une interface de routeur à l’aide d’un filtre de pare-feu d’entrée et qui sont transféré depuis une interface à l’aide d’un filtre de pare-feu de sortie.

Tâches de configuration :

  • Définir la stratégie

  • Appliquer la stratégie

Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions.

Appliquez une ou plusieurs stratégies d’exportation ou d’importation à un protocole de routage. Vous pouvez également appliquer une expression de stratégie qui utilise des opérateurs logiques booléens avec plusieurs stratégies d’importation ou d’exportation.

Vous pouvez également appliquer une ou plusieurs stratégies d’exportation à la table de transfert.

Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions.

Appliquez un filtre de pare-feu d’entrée ou de sortie à une interface physique ou à un groupe d’interfaces physiques pour filtrer les paquets de données reçus par ou transmis à une interface physique (sur les plates-formes de routage avec un circuit intégré spécifique aux applications Internet Processor II uniquement).

Vous pouvez également appliquer un filtre de pare-feu d’entrée ou de sortie à l’interface de bouclage de la plate-forme de routage, qui est l’interface du moteur de routage (sur toutes les plates-formes de routage). Vous pouvez ainsi filtrer les paquets locaux reçus par le moteur de routage ou envoyés par celui-ci.

Termes

Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme.

Les conditions sont évaluées dans l’ordre dans lequel vous les spécifiez.

L’évaluation d’une stratégie se termine après qu’un paquet corresponde aux critères d’un terme et que la stratégie définie ou par défaut d’accepter ou de rejeter est prise. La route n’est pas évaluée par rapport aux conditions ultérieures de la même politique ou des politiques ultérieures.

Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme.

Les conditions sont évaluées dans l’ordre dans lequel vous les spécifiez.

L’évaluation d’un filtre de pare-feu se termine après qu’un paquet correspond au critère dans un terme et que l’action définie ou par défaut est effectuée. Le paquet n’est pas évalué par rapport aux termes suivants dans le filtre de pare-feu.

Conditions de correspondance

Indiquez un critère nul ou supérieur à celui d’un routage. Vous pouvez spécifier des critères en fonction de la source, de la destination ou des propriétés d’un routage. Vous pouvez également spécifier les conditions de correspondance suivantes, qui nécessitent davantage de configuration :

  • Expression de chemin du système autonome (AS) : combinaison de nombres AS et d’opérateurs d’expression réguliers.

  • Communauté : un groupe de destinations qui partagent une propriété commune.

  • Liste de préfixes : liste de préfixes nommée.

  • Liste de routes : liste des préfixes de destination.

  • Sous-routage : stratégie de routage appelée de façon répétée à partir d’autres stratégies de routage.

Indiquez un critère de zéro ou plus qu’un paquet doit respecter. Vous devez correspondre à différents champs de l’en-tête du paquet. Les champs sont regroupés dans les catégories suivantes :

  • Valeurs numériques, telles que les numéros de port et de protocole.

  • Valeurs de préfixe, telles que les préfixes ip source et de destination.

  • Valeurs des champs de bits : indique si des bits particuliers dans les champs sont définis, tels que des options IP, des indicateurs TCP (Transmission Control Protocol) et des champs de fragmentation IP. Vous pouvez spécifier les champs à l’aide d’opérateurs logiques booléens.

Actions

Indiquez zéro ou une action à entreprendre si un routage correspond à tous les critères. Vous pouvez spécifier les actions suivantes :

  • Accepter : accepte le routage dans la table de routage et le propage. Une fois ces mesures prises, l’évaluation des conditions et des politiques ultérieures se termine.

  • Refuser : n’acceptez pas le routage dans la table de routage et ne la propagez pas. Une fois ces mesures prises, l’évaluation des conditions et des politiques ultérieures se termine.

En plus des actions précédentes, vous pouvez également spécifier zéro ou plus des types d’actions suivants :

  • Prochain terme : évaluez le prochain terme de la stratégie de routage.

  • Prochaine stratégie : évaluez la prochaine stratégie de routage.

  • Actions qui manipulent les caractéristiques associées à un routage lorsque le protocole de routage le place dans la table de routage ou la présente dans la table de routage.

  • Tracez l’action, à laquelle correspondent les journaux de routage.

Indiquez zéro ou une action à entreprendre si un paquet correspond à tous les critères. (Nous vous recommandons de toujours configurer explicitement une action.) Vous pouvez spécifier les actions suivantes :

  • Accepter : accepte un paquet.

  • Rejeter : rejette un paquet en silence, sans envoyer de message ICMP.

  • Refuser : rejette un paquet et envoie un message inaccessible à une destination ICMP.

  • Instance de routage : spécifiez une table de routage vers laquelle les paquets sont transféré.

  • Terme suivant : évaluez le terme suivant dans le filtre de pare-feu.

    Remarque :

    Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié comme action, mais sans conditions de correspondance configurées, n’est pas pris en charge.

En plus de zéro ou des actions précédentes, vous pouvez également spécifier des modificateurs d’action de zéro ou plus. Vous pouvez spécifier les modificateurs d’action suivants :

  • Nombre : ajoutez des paquets à un total total.

  • Classe de transfert : définissez la classe de transfert de paquets sur une valeur spécifiée comprise entre 0 et 3.

  • Association de sécurité IPsec : utilisée avec les conditions de correspondance des adresses source et de destination, spécifiez une association de sécurité IP (IPsec) (SA) pour le paquet.

  • Journalisation : stocke les informations d’en-tête d’un paquet sur le moteur de routage.

  • Priorité des pertes : définissez le PLP (Packet Loss Priority) bit sur une valeur, 0 ou 1 spécifiée.

  • Mécanismes de contrôle : appliquez des procédures de limitation de débit au trafic.

  • Exemple : échantillon du trafic de paquets.

  • Syslog : enregistre une alerte pour le paquet.

Stratégies et actions par défaut

Si une route entrante ou sortante arrive et qu’une stratégie relative à ce routage n’est pas configurée explicitement, l’action spécifiée par la stratégie par défaut pour le protocole de routage associé est prise.

Les actions par défaut suivantes existent pour les stratégies de routage :

  • Si une stratégie ne spécifie pas de condition de correspondance, toutes les routes sont évaluées par rapport à la correspondance de la stratégie.

  • Si une correspondance se produit mais que la stratégie ne spécifie pas d’accepter, de rejet, de terme suivant ou d’action de stratégie suivante, l’une des actions suivantes se produit :

    • Le terme suivant, s’il est présent, est évalué.

    • Si aucune autre condition n’est présente, la prochaine politique est évaluée.

    • Si aucune autre stratégie n’est présente, l’action spécifiée par la stratégie par défaut est prise.

  • Si une politique ne correspond pas à un terme et que les conditions ultérieures de la même politique existent, le terme suivant est évalué.

  • Si aucune politique ne correspond à un des termes d’une politique et que des politiques ultérieures existent, la prochaine politique est évaluée.

  • Si une correspondance n’est pas effectuée à la fin d’une stratégie et qu’aucune autre stratégie n’existe, l’action d’acceptation ou de rejet spécifiée par la stratégie par défaut est prise.

Si un paquet entrant ou sortant arrive sur une interface et qu’aucun filtre de pare-feu n’est configuré pour l’interface, la stratégie par défaut est prise (le paquet est accepté).

Les actions par défaut suivantes existent pour les filtres de pare-feu :

  • Si un filtre de pare-feu ne spécifie pas de condition de correspondance, tous les paquets sont considérés comme correspondant.

  • Si une correspondance se produit mais que le filtre de pare-feu ne spécifie pas d’action, le paquet est accepté.

  • En cas de correspondance, l’action définie ou par défaut est effectuée et l’évaluation se termine. Les conditions suivantes du filtre de pare-feu ne sont pas évaluées, sauf si l’action next term est spécifiée.

    Remarque :

    Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié comme action, mais sans conditions de correspondance configurées, n’est pas pris en charge.

  • Si aucun terme n’est associé à un filtre de pare-feu et que des conditions ultérieures du même filtre existent, le terme suivant est évalué.

  • Si aucune correspondance ne se produit à la fin d’un filtre de pare-feu, le paquet est jeté.

Rubriques connexes