Comparaison des stratégies de routage et des filtres de pare-feu
Bien que les stratégies de routage et les filtres de pare-feu partagent une architecture, leurs objectifs, leur implémentation et leur configuration sont différents. Tableau 1 décrit leurs objectifs. Tableau 2 compare les détails d’implémentation des stratégies de routage et des filtres de pare-feu, soulignant les similitudes et les différences dans leur configuration.
Stratégies |
Source |
Objet de la stratégie |
---|---|---|
Stratégies de routage |
Les informations de routage sont générées par les pairs réseau internes. |
Pour contrôler la taille et le contenu des tables de routage, quelles routes sont annoncées et quelles routes sont considérées comme les plus adaptées pour atteindre diverses destinations. |
Filtres de pare-feu |
Les paquets sont générés par des équipements internes et externes par lesquels des attaques hostiles peuvent être perpétrées. |
Pour protéger votre routeur et votre réseau contre un trafic entrant excessif ou des attaques hostiles pouvant perturber le service réseau, et pour contrôler les paquets qui sont transféré à partir de quelles interfaces de routeur. |
Architecture de stratégie |
Implémentation des stratégies de routage |
Implémentation des filtres de pare-feu |
---|---|---|
Points de contrôle |
Contrôlez les informations de routage placées dans la table de routage à l’aide d’une stratégie de routage d’importation et publiées sur la table de routage à l’aide d’une stratégie de routage d’exportation. |
Contrôlez les paquets acceptés sur une interface de routeur à l’aide d’un filtre de pare-feu d’entrée et qui sont transféré depuis une interface à l’aide d’un filtre de pare-feu de sortie. |
Tâches de configuration :
|
Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions. Appliquez une ou plusieurs stratégies d’exportation ou d’importation à un protocole de routage. Vous pouvez également appliquer une expression de stratégie qui utilise des opérateurs logiques booléens avec plusieurs stratégies d’importation ou d’exportation. Vous pouvez également appliquer une ou plusieurs stratégies d’exportation à la table de transfert. |
Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions. Appliquez un filtre de pare-feu d’entrée ou de sortie à une interface physique ou à un groupe d’interfaces physiques pour filtrer les paquets de données reçus par ou transmis à une interface physique (sur les plates-formes de routage avec un circuit intégré spécifique aux applications Internet Processor II uniquement). Vous pouvez également appliquer un filtre de pare-feu d’entrée ou de sortie à l’interface de bouclage de la plate-forme de routage, qui est l’interface du moteur de routage (sur toutes les plates-formes de routage). Vous pouvez ainsi filtrer les paquets locaux reçus par le moteur de routage ou envoyés par celui-ci. |
Termes |
Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme. Les conditions sont évaluées dans l’ordre dans lequel vous les spécifiez. L’évaluation d’une stratégie se termine après qu’un paquet corresponde aux critères d’un terme et que la stratégie définie ou par défaut d’accepter ou de rejeter est prise. La route n’est pas évaluée par rapport aux conditions ultérieures de la même politique ou des politiques ultérieures. |
Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme. Les conditions sont évaluées dans l’ordre dans lequel vous les spécifiez. L’évaluation d’un filtre de pare-feu se termine après qu’un paquet correspond au critère dans un terme et que l’action définie ou par défaut est effectuée. Le paquet n’est pas évalué par rapport aux termes suivants dans le filtre de pare-feu. |
Conditions de correspondance |
Indiquez un critère nul ou supérieur à celui d’un routage. Vous pouvez spécifier des critères en fonction de la source, de la destination ou des propriétés d’un routage. Vous pouvez également spécifier les conditions de correspondance suivantes, qui nécessitent davantage de configuration :
|
Indiquez un critère de zéro ou plus qu’un paquet doit respecter. Vous devez correspondre à différents champs de l’en-tête du paquet. Les champs sont regroupés dans les catégories suivantes :
|
Actions |
Indiquez zéro ou une action à entreprendre si un routage correspond à tous les critères. Vous pouvez spécifier les actions suivantes :
En plus des actions précédentes, vous pouvez également spécifier zéro ou plus des types d’actions suivants :
|
Indiquez zéro ou une action à entreprendre si un paquet correspond à tous les critères. (Nous vous recommandons de toujours configurer explicitement une action.) Vous pouvez spécifier les actions suivantes :
En plus de zéro ou des actions précédentes, vous pouvez également spécifier des modificateurs d’action de zéro ou plus. Vous pouvez spécifier les modificateurs d’action suivants :
|
Stratégies et actions par défaut |
Si une route entrante ou sortante arrive et qu’une stratégie relative à ce routage n’est pas configurée explicitement, l’action spécifiée par la stratégie par défaut pour le protocole de routage associé est prise. Les actions par défaut suivantes existent pour les stratégies de routage :
|
Si un paquet entrant ou sortant arrive sur une interface et qu’aucun filtre de pare-feu n’est configuré pour l’interface, la stratégie par défaut est prise (le paquet est accepté). Les actions par défaut suivantes existent pour les filtres de pare-feu :
|