Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Définition d’un filtre de pare-feu de mise en miroir des ports

Sur les routeurs contenant un circuit intégré spécifique à l’application (ASIC) Internet Processor II, vous pouvez envoyer une copie d’un paquet IP version 4 (IPv4) ou IP version 6 (IPv6) depuis le routeur vers une adresse hôte externe ou un outil d'analyse des paquets pour analyse. C’est ce qu’on appelle la mise en miroir des ports.

La mise en miroir des ports est différente de l’échantillonnage du trafic. Lors de l’échantillonnage du trafic, une clé d’échantillonnage basée sur l’en-tête IPv4 est envoyée au moteur de routage. Là, la clé peut être placée dans un fichier, ou les paquets cflowd basés sur la clé peuvent être envoyés à un serveur cflowd. Dans la mise en miroir des ports, l’intégralité du paquet est copiée et envoyée via une interface de saut suivant.

Vous pouvez configurer l’utilisation simultanée de l’échantillonnage et de la mise en miroir des ports, et définir une fréquence d’échantillonnage et une longueur d’exécution indépendantes pour les paquets mis en miroir de ports. Cependant, si un paquet est sélectionné pour l’échantillonnage et la mise en miroir des ports, une seule action peut être effectuée et la mise en miroir des ports est prioritaire. Par exemple, si vous configurez une interface pour échantillonner chaque paquet entrant dans l’interface et qu’un filtre sélectionne également le paquet à mettre en miroir sur une autre interface, seule la mise en miroir des ports prendra effet. Tous les autres paquets ne correspondant pas aux critères explicites de mise en miroir des ports de filtre continuent d’être échantillonnés lorsqu’ils sont transférés vers leur destination finale.

Les filtres de pare-feu fournissent un moyen de protéger votre routeur contre un trafic excessif transitant par le routeur vers une destination réseau ou destiné au moteur de routage. Les filtres de pare-feu qui contrôlent les paquets locaux peuvent également protéger votre routeur contre les incidents externes.

Vous pouvez configurer un filtre de pare-feu pour effectuer les opérations suivantes :

  • Restreindre le trafic destiné au moteur de routage en fonction de sa source, de son protocole et de son application.

  • Limitez le débit de trafic des paquets destinés au moteur de routage pour vous protéger contre les attaques par flood ou par déni de service (DoS).

  • Traiter les circonstances particulières associées aux paquets fragmentés destinés au moteur de routage. Étant donné que l’appareil évalue chaque paquet par rapport à un filtre de pare-feu (y compris les fragments), vous devez configurer le filtre pour prendre en charge les fragments qui ne contiennent pas d’informations d’en-tête de paquet. Sinon, le filtre rejette tous les fragments d’un paquet fragmenté, à l’exception du premier.

Pour plus d’informations sur la configuration des filtres de pare-feu en général (y compris dans un environnement de couche 3), consultez Vue d’ensemble des filtres de pare-feu sans état et Comment les filtres de pare-feu standard évaluent les paquets dans le Guide de l’utilisateur stratégies de routage, filtres de pare-feu et contrôles de trafic.

Pour définir un filtre de pare-feu avec une action de mise en miroir des ports :

  1. Préparez le trafic pour la mise en miroir des ports en incluant l’instruction filter au niveau de la [edit firewall family (inet | inet6)] hiérarchie.

    Ce filtre au niveau de la [edit firewall family (inet | inet6)] hiérarchie sélectionne le trafic à mettre en miroir :

  2. Activer la configuration des filtres de pare-feu.

    La valeur de l’option family peut être inet ou inet6.

  3. Activer la configuration d’un filtre filter-namede pare-feu .
  4. Activer la configuration d’un terme filter-term-namede filtre de pare-feu .

    Pour plus d’informations sur les termes des filtres de pare-feu, reportez-vous aux Instructions de configuration des filtres de pare-feu dans le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic de Junos OS pour les équipements de routage.

  5. Spécifiez les conditions de correspondance du filtre de pare-feu en fonction de l’adresse source de routage pour mettre en miroir un sous-ensemble des paquets échantillonnés.

    Pour plus d’informations sur la configuration des conditions de correspondance des filtres de pare-feu, reportez-vous aux sections Conditions de correspondance des filtres de pare-feu basées sur des nombres ou des alias de texte, Conditions de correspondance des filtres de pare-feu basées sur des valeurs de champ de bits, Conditions de correspondance des filtres de pare-feu basées sur les champs d’adresse et Conditions de correspondance des filtres de pare-feu basées sur les classes d’adressesdans le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic de Junos OS pour les équipements de routage.

  6. Activez la action configuration du et action-modifier à appliquer aux paquets correspondants.
  7. Spécifiez les actions à effectuer sur les paquets correspondants.

    La valeur recommandée pour le action est accept. Si vous ne spécifiez pas d’action ou si vous omettez complètement l’instruction then , tous les paquets qui correspondent aux conditions de l’instruction from sont acceptés.

  8. Spécifiez port-mirror comme .action-modifier

    Lorsque l’action de filtrage est port-mirror, le paquet est copié sur une interface locale pour une surveillance locale ou distante.

  9. Vérifiez la configuration minimale du filtre de pare-feu.

Documentation connexe