Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comparaison des stratégies de routage et des filtres de pare-feu

Bien que les stratégies de routage et les filtres de pare-feu partagent la même architecture, leurs objectifs, leur implémentation et leur configuration sont différents. Tableau 1 décrit leurs objectifs. Tableau 2 Compare les détails d’implémentation des stratégies de routage et des filtres de pare-feu, en mettant en évidence les similitudes et les différences de configuration.

Tableau 1 : Objectif des stratégies de routage et des filtres de pare-feu

Stratégies

Source

Objet de la stratégie

Stratégies de routage

Les informations de routage sont générées par les homologues réseau internes.

Contrôler la taille et le contenu des tables de routage, les itinéraires annoncés et les itinéraires considérés comme les meilleurs pour atteindre différentes destinations.

Filtres de pare-feu

Les paquets sont générés par des appareils internes et externes à travers lesquels des attaques hostiles peuvent être perpétrées.

Pour protéger votre routeur et votre réseau contre un trafic entrant excessif ou des attaques hostiles susceptibles de perturber le service réseau, et pour contrôler quels paquets sont transférés à partir de quelles interfaces de routeur.
Tableau 2 : Différences d’implémentation entre les stratégies de routage et les filtres de pare-feu

Architecture des stratégies

Implémentation d’une stratégie de routage

Mise en place d’un filtre de pare-feu

Points de contrôle

Contrôlez les informations de routage qui sont placées dans la table de routage avec une stratégie de routage d’importation et publiées à partir de la table de routage avec une stratégie de routage d’exportation.

Contrôlez les paquets acceptés sur une interface de routeur avec un filtre de pare-feu d’entrée et qui sont transférés à partir d’une interface avec un filtre de pare-feu de sortie.

Tâches de configuration :

  • Définir la stratégie

  • Appliquer la stratégie

Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions.

Appliquez une ou plusieurs stratégies d’exportation ou d’importation à un protocole de routage. Vous pouvez également appliquer une expression de stratégie, qui utilise des opérateurs logiques booléens avec plusieurs stratégies d’importation ou d’exportation.

Vous pouvez également appliquer une ou plusieurs stratégies d’exportation à la table de transfert.

Définissez une stratégie qui contient des termes, des conditions de correspondance et des actions.

Appliquez un filtre de pare-feu d’entrée ou de sortie à une interface physique ou à un groupe d’interfaces physiques pour filtrer les paquets de données reçus ou transférés vers une interface physique (sur les plates-formes de routage dotées d’un circuit intégré spécifique à l’application [ASIC] Internet Processor II uniquement).

Vous pouvez également appliquer un filtre de pare-feu d’entrée ou de sortie à l’interface de bouclage de la plate-forme de routage, qui est l’interface avec le moteur de routage (sur toutes les plates-formes de routage). Cela vous permet de filtrer les paquets locaux reçus ou transférés par le moteur de routage.

Termes

Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme.

Les termes sont évalués dans l’ordre dans lequel vous les spécifiez.

L’évaluation d’une stratégie se termine lorsqu’un paquet correspond aux critères d’un terme et que l’action définie ou par défaut de la stratégie, à savoir l’acceptation ou le rejet. L’itinéraire n’est pas évalué par rapport aux termes suivants de la même stratégie ou des stratégies ultérieures.

Configurez autant de termes que vous le souhaitez. Définissez un nom pour chaque terme.

Les termes sont évalués dans l’ordre dans lequel vous les spécifiez.

L’évaluation d’un filtre de pare-feu se termine lorsqu’un paquet correspond aux critères d’un terme et que l’action définie ou par défaut est entreprise. Le paquet n’est pas évalué par rapport aux termes suivants dans le filtre de pare-feu.

Conditions de match

Spécifiez zéro ou plusieurs critères auxquels un itinéraire doit correspondre. Vous pouvez spécifier des critères basés sur la source, la destination ou les propriétés d’un itinéraire. Vous pouvez également spécifier les conditions de correspondance suivantes, qui nécessitent une configuration plus poussée :

  • Autonomous system (AS) path expression (Autonomous system (AS) path expression (Expression de chemin de système autonome) : combinaison de nombres AS et d’opérateurs d’expressions régulières.

  • Community (Communauté) : groupe de destinations qui partagent une propriété commune.

  • Prefix list (Liste de préfixes) : liste nommée de préfixes.

  • Route list (Liste des itinéraires) : liste des préfixes de destination.

  • Sous-routine—stratégie de routage appelée à plusieurs reprises à partir d’autres stratégies de routage.

Spécifiez zéro ou plusieurs critères auxquels un paquet doit correspondre. Vous devez faire correspondre différents champs de l’en-tête du paquet. Les champs sont regroupés dans les catégories suivantes :

  • Valeurs numériques, telles que les numéros de port et de protocole.

  • Valeurs de préfixe, telles que les préfixes IP source et de destination.

  • Valeurs de champ de bits : indique si des bits particuliers sont définis dans les champs, tels que les options IP, les indicateurs TCP (Transmission Control Protocol) et les champs de fragmentation IP. Vous pouvez spécifier les champs à l’aide d’opérateurs logiques booléens.

Actions

Spécifiez zéro ou une action à effectuer si un itinéraire correspond à tous les critères. Vous pouvez spécifier les actions suivantes :

  • Accept (Accepter) : acceptez le routage dans la table de routage et propagent-le. Une fois cette mesure prise, l’évaluation des conditions et des politiques ultérieures prend fin.

  • Rejeter : n’accepte pas l’itinéraire dans la table de routage et ne le propage pas. Une fois cette mesure prise, l’évaluation des conditions et des politiques ultérieures prend fin.

En plus des actions précédentes, vous pouvez également spécifier zéro ou plusieurs des types d’actions suivants :

  • Terme suivant : évaluez le terme suivant dans la stratégie de routage.

  • Stratégie suivante : évaluez la prochaine stratégie de routage.

  • Actions qui manipulent les caractéristiques associées à un itinéraire en tant que protocole de routage le place dans la table de routage ou l’annonce à partir de la table de routage.

  • Action de traçage, qui consigne les correspondances d’itinéraire.

Spécifiez zéro ou une action à effectuer si un paquet répond à tous les critères. (Nous vous recommandons de toujours configurer explicitement une action.) Vous pouvez spécifier les actions suivantes :

  • Accept (Accepter) : accepte un paquet.

  • Discard (Ignorer) : supprime un paquet en mode silencieux, sans envoyer de message ICMP.

  • Rejeter (Rejeter) : supprime un paquet et envoie un message indiquant que la destination ICMP est inaccessible.

  • Routing instance (Instance de routage) : spécifiez une table de routage vers laquelle les paquets sont transférés.

  • Terme suivant : évaluez le terme suivant dans le filtre de pare-feu.

    REMARQUE :

    Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié en tant qu’action mais sans aucune condition de correspondance configurée n’est pas pris en charge.

En plus de zéro ou des actions précédentes, vous pouvez également spécifier zéro ou plusieurs modificateurs d’action. Vous pouvez spécifier les modificateurs d’action suivants :

  • Count (Nombre) : permet d’ajouter un paquet à un total de comptage.

  • Forwarding class (Classe de transfert) : définissez la classe de transfert de paquets sur une valeur spécifiée comprise entre 0 et 3.

  • Association de sécurité IPsec : utilisée avec les conditions de correspondance des adresses source et de destination, spécifiez une association de sécurité (SA) de sécurité IPsec pour le paquet.

  • Log (Journal) : stockez les informations d’en-tête d’un paquet sur le moteur de routage.

  • Loss priority (Priorité de perte) : définissez le bit de priorité de perte de paquets (PLP) sur une valeur spécifiée, 0 ou 1.

  • Controlr (Contrôleur) : applique des procédures de limitation de débit au trafic.

  • Sample (Échantillon) : échantillonne le trafic de paquets.

  • Syslog : consigne une alerte pour le paquet.

Stratégies et actions par défaut

Si une route entrante ou sortante arrive et qu’une stratégie associée à la route n’est pas explicitement configurée, l’action spécifiée par la stratégie par défaut pour le protocole de routage associé est effectuée.

Les actions par défaut suivantes existent pour les stratégies de routage :

  • Si une stratégie ne spécifie pas de condition de correspondance, toutes les routes évaluées par rapport à la stratégie correspondent.

  • Si une correspondance se produit, mais que la stratégie ne spécifie pas d’acceptation, de rejet, de prochaine condition ou de prochaine action de stratégie, l’une des situations suivantes se produit :

    • Le terme suivant, s’il existe, est évalué.

    • S’il n’y a pas d’autres termes, la stratégie suivante est évaluée.

    • Si aucune autre stratégie n’est présente, l’action spécifiée par la stratégie par défaut est effectuée.

  • S’il n’y a pas de correspondance avec un terme d’une politique et que des termes ultérieurs existent dans la même stratégie, le terme suivant est évalué.

  • Si aucune correspondance ne se produit avec les termes d’une stratégie et que des stratégies ultérieures existent, la stratégie suivante est évaluée.

  • Si aucune correspondance ne se produit à la fin d’une stratégie et qu’aucune autre stratégie n’existe, l’action d’acceptation ou de rejet spécifiée par la stratégie par défaut est effectuée.

Si un paquet entrant ou sortant arrive sur une interface et qu’aucun filtre de pare-feu n’est configuré pour l’interface, la stratégie par défaut est prise (le paquet est accepté).

Les actions par défaut suivantes existent pour les filtres de pare-feu :

  • Si un filtre de pare-feu ne spécifie pas de condition de correspondance, tous les paquets sont considérés comme correspondants.

  • Si une correspondance se produit, mais que le filtre de pare-feu ne spécifie pas d’action, le paquet est accepté.

  • Si une correspondance se produit, l’action définie ou par défaut est effectuée et l’évaluation se termine. Les termes suivants dans le filtre de pare-feu ne sont pas évalués, sauf si l’action next term est spécifiée.

    REMARQUE :

    Sur Junos OS Evolved, next term ne peut pas apparaître comme le dernier terme de l’action. Un terme de filtre où next term est spécifié en tant qu’action mais sans aucune condition de correspondance configurée n’est pas pris en charge.

  • Si aucune correspondance ne se produit avec un terme dans un filtre de pare-feu et que des termes suivants dans le même filtre existent, le terme suivant est évalué.

  • Si aucune correspondance ne se produit à la fin d’un filtre de pare-feu, le paquet est rejeté.

Rubriques connexes