Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration des filtres de pare-feu (procédure CLI)

Vous configurez des filtres de pare-feu sur les commutateurs EX Series pour contrôler le trafic qui entre dans les ports du commutateur ou entre et sort des VLAN sur les interfaces réseau et de couche 3 (routé). Pour configurer un filtre de pare-feu, vous devez configurer le filtre, puis l’appliquer à un port, un VLAN ou une interface de couche 3.

Configuration d’un filtre de pare-feu

Avant de pouvoir appliquer un filtre de pare-feu à un port, un VLAN ou une interface de couche 3, vous devez configurer un filtre de pare-feu avec les détails requis, tels que le type de famille de filtres de pare-feu, le nom du filtre de pare-feu et les conditions de correspondance. Une condition de correspondance dans la configuration du filtre de pare-feu peut contenir plusieurs termes qui définissent les critères de la condition de correspondance. Pour chaque terme, vous devez spécifier une action à effectuer si un paquet correspond aux conditions du terme. Pour plus d’informations sur les différentes conditions de correspondance et actions, reportez-vous à la section Conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action pour les commutateurs EX Series.

Pour configurer un filtre de pare-feu, procédez comme suit :

  1. Configurez le type d’adresse familiale pour le filtre de pare-feu :

    • Pour un filtre de pare-feu appliqué à un port ou à un VLAN, spécifiez le type ethernet-switching d’adresse de famille pour filtrer les paquets de couche 2 (Ethernet) et les paquets de couche 3 (IP), par exemple :

    • Pour un filtre de pare-feu appliqué à une interface de couche 3 (routé) :

      • Pour filtrer les paquets IPv4, spécifiez le type inetd’adresse de famille , par exemple :

      • Pour filtrer les paquets IPv6, spécifiez le type inet6d’adresse de famille , par exemple :

      REMARQUE :

      Vous pouvez configurer des filtres de pare-feu pour le trafic IPv4 et IPv6 sur la même interface de couche 3.

  2. Spécifiez le nom du filtre :

    Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter un maximum de 64 caractères. Chaque nom de filtre doit être unique.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et nommer des compteurs de pare-feu individuels spécifiques à chaque interface, configurez l’option interface-specific :
  4. Spécifiez un nom de terme :

    Le nom du terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter un maximum de 64 caractères.

    Un filtre de pare-feu peut contenir un ou plusieurs termes. Chaque nom de terme doit être unique au sein d’un filtre.

    REMARQUE :

    Le nombre maximal de termes autorisés par filtre de pare-feu pour les commutateurs EX Series est de :

    • 512 pour les commutateurs EX2200

    • 1 436 pour les commutateurs EX3300

      REMARQUE :

      Sur les commutateurs EX3300, si vous ajoutez et supprimez des filtres comportant un grand nombre de termes (de l’ordre de 1000 ou plus) au cours d’une même opération de validation, tous les filtres ne sont pas installés. Vous devez ajouter des filtres dans une opération de validation et supprimer des filtres dans une opération de validation distincte.

    • 7 168 pour les commutateurs EX3200 et EX4200

    • Sur les commutateurs EX4300, voici le nombre de termes pris en charge pour le trafic entrant et sortant, pour les serveurs de fichiers de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

      • Pour le trafic entrant :

        • 3 500 termes pour les filtres de pare-feu configurés sur un port

        • 3 500 termes pour les filtres de pare-feu configurés sur un VLAN

        • 7 000 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

        • 3 500 termes pour les serveurs de fichiers de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      • Pour le trafic sortant :

        • 512 termes pour les filtres de pare-feu configurés sur un port

        • 256 termes pour les filtres de pare-feu configurés sur un VLAN

        • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

        • 512 termes pour les serveurs de fichiers de pare-feu configurés sur des interfaces de couche 3 pour le trafic IPv6

      REMARQUE :

      Vous pouvez configurer ce nombre maximal de termes uniquement lorsque vous configurez un type de filtre de pare-feu (filtre de pare-feu de port, de VLAN ou de routeur (couche 3)) sur le commutateur et lorsque le contrôle de tempête n’est pas activé sur toutes les interfaces du commutateur.

    • 1 200 pour les commutateurs EX4500 et EX4550

    • 1 400 pour les commutateurs EX6200

    • 32 768 pour les commutateurs EX8200

    Si vous tentez de configurer un filtre de pare-feu qui dépasse ces limites, le commutateur renvoie un message d’erreur lorsque vous validez la configuration.

  5. Pour chaque terme de filtre de pare-feu, spécifiez la ou les conditions de correspondance que vous souhaitez inclure. L’exemple ci-dessous montre comment faire correspondre des paquets provenant d’une adresse IP et d’un port donnés :

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme.

    L’instruction from est facultative, mais si elle est incluse dans un terme, elle from ne peut pas être vide. Si vous omettez l’instruction from , tous les paquets sont considérés comme correspondants.

  6. Pour chaque terme de filtre de pare-feu, spécifiez l’action à effectuer si le paquet répond à toutes les conditions de ce terme.

    Vous pouvez spécifier une action et/ou des modificateurs d’action :

    • Pour spécifier une action de filtrage, par exemple, pour ignorer les paquets qui correspondent aux conditions du terme de filtre :

      Vous ne pouvez pas spécifier plus d’une action par terme de filtre.

    • Pour spécifier un modificateur d’action, par exemple, pour compter et classer les paquets dans une classe de transfert :

      Dans une then instruction, vous pouvez spécifier les modificateurs d’action suivants :

      • analyzer analyzer-name: mise en miroir du trafic de port vers un port de destination ou un VLAN spécifié connecté à une application d’analyse de protocole. Un analyzer doit être configuré sous le type d’adresse ethernet-switching de famille. Reportez-vous à la section Configuration de la mise en miroir des ports pour analyser le trafic (procédure CLI).

      • count counter-name: compte le nombre de paquets qui passent ce terme de filtre.

        REMARQUE :

        Nous vous recommandons de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de pouvoir surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.

      • forwarding-class class: classer les paquets dans une classe de transfert.

      • loss-priority priority: définissez la priorité de suppression d’un paquet.

      • policer policer-name: applique une limitation de débit au trafic.

      • interface interface-name: transfère le trafic vers l’interface spécifiée, en contournant la recherche de commutation.

      • log: consignez les informations d’en-tête du paquet dans le moteur de routage.

    Si vous omettez l’instruction ou si vous ne spécifiez pas d’action, les paquets qui correspondent à toutes les conditions de l’instruction thenfrom sont acceptés. Cependant, vous devez toujours configurer explicitement une action et/ou un modificateur d’action dans l’instruction then . Vous ne pouvez pas inclure plus d’une action, mais vous pouvez utiliser n’importe quelle combinaison de modificateurs d’action. Pour qu’une action ou un modificateur d’action prenne effet, toutes les conditions de l’instruction from doivent correspondre.

    REMARQUE :

    La suppression implicite s’applique également à un filtre de pare-feu appliqué à l’interface de bouclage, lo0.

    Sur Juniper Networks EX8200 Commutateurs Ethernet, si une action implicite ou explicite discard est configurée sur une interface de bouclage pour le trafic IPv4, les paquets de résolution du tronçon suivant sont acceptés et autorisés à passer par le commutateur. Toutefois, pour le trafic IPv6, vous devez configurer explicitement une règle afin d’autoriser les paquets IPv6 resolve du tronçon suivant à passer par le commutateur.

Configuration d’un terme spécifique au trafic IPv4 ou IPv6

Pour configurer un terme dans une configuration de filtre de pare-feu spécifiquement pour le trafic IPv4 :

  1. Vérifiez que ni l’un ni l’autre ether-type ipv6 n’est ip-version ipv6 spécifié dans le terme de la configuration. Par défaut, une configuration qui ne contient ni l’un ni l’autre ou ip-version ipv6 dans un terme s’applique ether-type ipv6 au trafic IPv4.
  2. (Facultatif) Effectuez l’une des tâches suivantes :

    • Définir ether-type ipv4 dans un terme de la configuration.

    • Définir ip-version ipv4 dans un terme de la configuration.

    • Définissez les deux ether-type ipv4 et ip-version ipv4 dans un terme dans la configuration.

    • Vérifiez que ni ni n’est spécifié dans un terme de la configuration : par défaut, une configuration qui ne contient ni ether-type ipv6ip-version ipv6 ou ip-version ipv6ether-type ipv6 dans un terme ne s’applique au trafic IPv4 si elle ne contient ether-type ipv6 pas ou ip-version ipv6.

  3. Assurez-vous que les autres conditions de correspondance du terme sont valides pour le trafic IPv4.

Pour configurer un terme dans une configuration de filtre de pare-feu spécifiquement pour le trafic IPv6 :

  1. Effectuez l’une des tâches suivantes :

    • Définir ether-type ipv6 dans un terme de la configuration.

    • Définir ip-version ipv6 dans un terme de la configuration.

    • Définissez les deux ether-type ipv6 et ip-version ipv4 dans un terme dans la configuration.

      REMARQUE :

      Par défaut, une configuration qui ne contient ni l’un ni l’autre ou ip-version ipv6 dans un terme s’applique ether-type ipv6 au trafic IPv4.

  2. Assurez-vous que les autres conditions de correspondance du terme sont valides pour le trafic IPv6.

REMARQUE :

Si le terme contient l’une des conditions ether-type ipv6 de correspondance ou ip-version ipv6, sans qu’aucune autre condition de correspondance IPv6 ne soit spécifiée, tout le trafic IPv6 est mis en correspondance.

REMARQUE :

Pour configurer un filtre de pare-feu pour les trafics IPv4 et IPv6, vous devez inclure deux termes distincts, l’un pour le trafic IPv4 et l’autre pour le trafic IPv6.

Application d’un filtre de pare-feu à un port d’un commutateur

Vous pouvez appliquer un filtre de pare-feu à un port d’un commutateur afin de filtrer le trafic entrant ou sortant sur le commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition de correspondance, action et modificateurs d’action spécifiés dans Conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition d’appariement indique l’action pour les paquets correspondants dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à un port afin de filtrer le trafic entrant ou sortant :

REMARQUE :

Pour appliquer un filtre de pare-feu à une interface de gestion, reportez-vous à la section Application d’un filtre de pare-feu à une interface de gestion sur un commutateur

  1. Spécifiez le nom de l’interface et fournissez une description explicite du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Spécifiez le numéro d’unité et le type d’adresse de famille pour l’interface :

    Pour les filtres de pare-feu appliqués aux ports, le type d’adresse de la famille doit être ethernet-switching.

  3. Pour appliquer un filtre de pare-feu afin de filtrer les paquets entrant dans un port :

    Pour appliquer un filtre de pare-feu afin de filtrer les paquets qui sortent d’un port :

    REMARQUE :

    Vous ne pouvez appliquer qu’un filtre de pare-feu par port et par direction.

Application d’un filtre de pare-feu à une interface de gestion sur un commutateur

Vous pouvez configurer et appliquer un filtre de pare-feu à une interface de gestion pour contrôler le trafic entrant ou sortant de l’interface sur un commutateur. Vous pouvez utiliser des utilitaires tels que SSH ou Telnet pour vous connecter à l’interface de gestion sur le réseau, puis utiliser des protocoles de gestion tels que SNMP pour collecter des données statistiques à partir du commutateur. Comme pour configurer un filtre de pare-feu sur d’autres types d’interfaces, vous pouvez configurer un filtre de pare-feu sur une interface de gestion à l’aide de n’importe quelle condition de correspondance, action et modificateur d’action spécifié dans Conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action pour les commutateurs EX Series, à l’exception des modificateurs d’action suivants :

  • loss-priority

  • forwarding-class

Vous pouvez appliquer un filtre de pare-feu à l’interface Ethernet de gestion sur n’importe quel commutateur EX Series. Vous pouvez également appliquer un filtre de pare-feu à l’interface Ethernet de gestion virtuelle (VME) du commutateur EX4200. Pour plus d’informations sur l’interface Ethernet de gestion et l’interface VME, reportez-vous à la section Présentation des interfaces pour les commutateurs.

Pour appliquer un filtre de pare-feu sur l’interface de gestion afin de filtrer le trafic entrant ou sortant :

  1. Spécifiez le nom de l’interface et fournissez une description explicite du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Spécifiez le numéro d’unité et le type d’adresse familiale pour l’interface de gestion :
    REMARQUE :

    Pour les filtres de pare-feu appliqués aux interfaces de gestion, le type d’adresse de la famille peut être inet ou inet6.

  3. Pour appliquer un filtre de pare-feu afin de filtrer les paquets qui entrent dans une interface de gestion :

    Pour appliquer un filtre de pare-feu afin de filtrer les paquets qui quittent une interface de gestion :

    REMARQUE :

    Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par interface de gestion et par direction.

Application d’un filtre de pare-feu à un VLAN sur un réseau

Vous pouvez appliquer un filtre de pare-feu à un VLAN sur un réseau pour filtrer le trafic entrant ou sortant sur le réseau. Pour appliquer un filtre de pare-feu à un VLAN, spécifiez le nom et l’ID du VLAN, puis appliquez le filtre de pare-feu au VLAN. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition de correspondance, action et modificateurs d’action spécifiés dans Conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition d’appariement indique l’action pour les paquets correspondants dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à un VLAN :

  1. Spécifiez le nom et l’ID du VLAN, et fournissez une description explicite du filtre de pare-feu et du VLAN auquel le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Appliquez des filtres de pare-feu pour filtrer les paquets qui entrent ou sortent du VLAN :

    • Pour appliquer un filtre de pare-feu afin de filtrer les paquets entrant dans le VLAN :

      (Sur les commutateurs EX4300) Pour appliquer un filtre de pare-feu afin de filtrer les paquets entrant dans le VLAN :

    • Pour appliquer un filtre de pare-feu afin de filtrer les paquets qui quittent le VLAN :

      (Sur les commutateurs EX4300) Pour appliquer un filtre de pare-feu afin de filtrer les paquets qui quittent le VLAN :

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre de pare-feu par VLAN et par direction.

Application d’un filtre de pare-feu à une interface de couche 3 (routée)

Vous pouvez appliquer un filtre de pare-feu à une interface de couche 3 (routée) pour filtrer le trafic entrant ou sortant sur le commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition de correspondance, action et modificateurs d’action spécifiés dans Conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition d’appariement indique l’action pour les paquets correspondants dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à une interface de couche 3 sur un commutateur :

  1. Spécifiez le nom de l’interface et fournissez une description explicite du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Spécifiez le numéro d’unité, le type d’adresse familiale et l’adresse de l’interface :

    Pour les filtres de pare-feu appliqués aux interfaces de couche 3, le type d’adresse de la famille doit être inet (pour le trafic IPv4) ou inet6 (pour le trafic IPv6).

  3. Vous pouvez appliquer des filtres de pare-feu pour filtrer les paquets qui entrent ou sortent d’une interface de couche 3 (routée) :

    • Pour appliquer un filtre de pare-feu afin de filtrer les paquets qui entrent dans une interface de couche 3 :

    • Pour appliquer un filtre de pare-feu afin de filtrer les paquets sortant d’une interface de couche 3 :

    REMARQUE :

    Lorsque vous appliquez un filtre à une interface IRB associée à un VLAN donné, le filtre est exécuté sur n’importe quelle interface de couche 3 avec un ID de VLAN correspondant. En effet, le filtre correspond sur toutes les interfaces de couche 3 avec la balise VLAN correspondante.

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre de pare-feu par interface de couche 3 et par direction.

Rubriques connexes