Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Stateful Firewalls

Visão geral segura da Junos Network

Os roteadores usam firewalls para rastrear e controlar o fluxo de tráfego. Os PICs de serviços adaptativos e multisserviços empregam um tipo de firewall chamado . Contrastado com um firewall que inspeciona pacotes isoladamente, um firewall stateful oferece uma camada extra de segurança usando informações de estado derivadas de comunicações passadas e outros aplicativos para tomar decisões de controle dinâmico para novas tentativas de comunicação.

Nota:

Nos roteadores da Série ACX, a configuração de firewall stateful é suportada apenas nos roteadores internos ACX500.

Grupo de firewalls stateful relevante para . Um fluxo é identificado pelas seguintes cinco propriedades:

  • Endereço fonte

  • Porta de origem

  • Endereço de destino

  • Porta de destino

  • Protocolo

Uma conversa típica de protocolo de controle de transmissão (TCP) ou protocolo de datagrama de usuário (UDP) consiste em dois fluxos: o fluxo de iniciação e o fluxo de resposta. No entanto, algumas conversas, como uma conversa de FTP, podem consistir em dois fluxos de controle e muitos fluxos de dados.

As regras do firewall regem se a conversa pode ser estabelecida. Se uma conversa for permitida, todos os fluxos dentro da conversa são permitidos, incluindo fluxos que são criados durante o ciclo de vida da conversa.

Você configura firewalls stateful usando um caminho poderoso de tratamento de conversação orientado por regras. Um consiste em direção, endereço fonte, porta de origem, endereço de destino, porta de destino, valor de protocolo IP, protocolo ou serviço de aplicativo. Além dos valores específicos que você configura, você pode atribuir o valor any para governar objetos, endereços ou portas, o que lhes permite combinar qualquer valor de entrada. Por fim, você pode negar opcionalmente os objetos de regra, o que nega o resultado da correspondência específica do tipo.

As regras do firewall são direcionais. Para cada nova conversa, o software do roteador verifica o fluxo de iniciação que corresponde à direção especificada pela regra.

As regras do firewall são ordenadas. O software verifica as regras na ordem em que você as inclui na configuração. A primeira vez que o firewall descobre uma correspondência, o roteador implementa a ação especificada por essa regra. As regras ainda não controladas são ignoradas.

Nota:

A partir do Junos OS Release 14.2, as placas de interface MS-MPC e MS-MIC oferecem suporte ao tráfego IPv6 para o Junos Network Secure Stateful Firewall.

Para obter mais informações, veja Configuração de regras de firewall stateful.

Suporte de firewall stateful para protocolos de aplicativos

Inspecionando os dados do protocolo do aplicativo, o firewall AS ou MultiServices PIC pode aplicar políticas de segurança de maneira inteligente e permitir que apenas o tráfego mínimo de pacotes necessário flua pelo firewall.

As regras do firewall estão configuradas em relação a uma interface. Por padrão, o firewall stateful permite que todas as sessões iniciadas a partir dos hosts por trás da interface passem pelo roteador.

Nota:

OS ALGs de firewall stateful não são suportados em roteadores ACX500.

Verificação de anomalias de firewall stateful

O firewall stateful reconhece os seguintes eventos como anomalias e os envia ao software IDS para processamento:

  • Anomalias de IP:

    • A versão IP não está correta.

    • O campo de comprimento do cabeçalho IP é muito pequeno.

    • O comprimento do cabeçalho IP é definido maior do que todo o pacote.

    • Checkum de cabeçalho ruim.

    • O campo de comprimento total de IP é menor que o comprimento do cabeçalho.

    • O pacote tem opções de IP incorretas.

    • Erro no comprimento do pacote do Protocolo de Mensagem de Controle de Internet (ICMP).

    • O tempo de vida (TTL) é igual a 0.

  • Anomalias no endereço IP:

    • A origem do pacote IP é uma transmissão ou multicast.

    • Ataque terrestre (IP de origem é igual a IP de destino).

  • Anomalias de fragmentação de IP:

    • Sobreposição de fragmentos de IP.

    • Fragmento de IP perdido.

    • Erro no comprimento do fragmento de IP.

    • O comprimento do pacote IP é superior a 64 kilobytes (KB).

    • Pequeno ataque de fragmento.

  • Anomalias de TCP:

    • Porta TCP 0.

    • Sequência de TCP número 0 e bandeiras 0.

    • Conjunto de bandeiras FIN/PSH/RST com sequência de TCP 0.

    • Bandeiras de TCP com combinação errada (TCP FIN/RST ou SYN/(URG|FIN|RST).

    • Checkum de TCP ruim.

  • Anomalias de UDP:

    • Porta de origem ou destino UDP 0.

    • A verificação do comprimento do cabeçalho do UDP falhou.

    • Verificação ruim de UDP.

  • Anomalias encontradas por meio de verificações stateful de TCP ou UDP:

    • SYN seguido por pacotes SYN-ACK sem ACK do iniciador.

    • SYN seguido por pacotes RST.

    • SYN sem SYN-ACK.

    • Pacote de fluxo não SYN em primeiro lugar.

    • ICMP erros inalcançáveis para pacotes SYN.

    • ICMP erros inalcançáveis para pacotes UDP.

  • Os pacotes caíram de acordo com as regras de firewall stateful.

Nota:

Os roteadores ACX500 não suportam anomalias de fragmentação de IP.

Se você empregar a detecção de anomalias stateful em conjunto com a detecção stateless, o IDS pode fornecer um aviso antecipado para uma ampla variedade de ataques, incluindo estes:

  • Sondagens de rede TCP ou UDP e digitalização de portas

  • Ataques de inundação SYN

  • Ataques baseados em fragmentação de IP, como tearped, bonk e boink

Configuração de regras de firewall stateful

Para configurar uma regra de firewall stateful, inclua a rule rule-name declaração no nível de [edit services stateful-firewall] hierarquia:

Nota:

Os roteadores ACX500 não oferecem suporte a aplicativos e conjuntos de aplicativos no nível [edit services stateful-firewall rule rule-name term term-name from] de hierarquia.
Nota:

Nos roteadores ACX500, para habilitar o syslog, inclua a stateful-firewall-logs declaração de CLI no nível [edit services service-set service-set-name syslog host local class] de hierarquia.
Nota:

edit services stateful-firewall a hierarquia não é suportada na série SRX.

Cada regra de firewall stateful consiste em um conjunto de termos, semelhante a um filtro configurado no nível de [edit firewall] hierarquia. Um termo consiste no seguinte:

  • from declaração — especifica as condições e os aplicativos de correspondência que estão incluídos e excluídos. A from declaração é opcional em regras de firewall stateful.

  • then declaração — especifica as ações e modificadores de ação a serem realizadas pelo software do roteador. A then declaração é obrigatória em regras de firewall stateful.

Os roteadores da Série ACX500 não oferecem suporte ao seguinte enquanto configuram regras de firewall stateful:

  • match-direction (output | input-output)

  • post-service-filter no nível de hierarquia de entrada de serviços de interface.

  • Endereço de origem e endereço de destino IPv6.

  • application-sets, applicationallow-ip-options no nível [edit services stateful-firewall] da hierarquia.

  • Gateways de camada de aplicativos (ALGs).

  • Encadeamento de serviços dentro da placa de interfaces modulares de multisserviços (MS-MIC) e com serviços em linha (-si).

  • Classe de serviço.

  • Os seguintes show services stateful-firewall comandos CLI não são suportados:

    • show services stateful-firewall conversations— Mostrar conversas

    • show services stateful-firewall flow-analysis— Mostrar entradas da tabela de fluxo

    • show services stateful-firewall redundancy-statistics— Mostrar estatísticas de redundância

    • show services stateful-firewall sip-call— Mostrar informações de chamadas de SIP

    • show services stateful-firewall sip-register— Mostrar informações de registro do SIP

    • show services stateful-firewall subscriber-analysis— Mostrar entradas da tabela de assinantes

As seções a seguir explicam como configurar os componentes das regras de firewall stateful:

Configuração da direção de correspondência para regras de firewall stateful

Cada regra deve incluir uma match-direction declaração que especifica a direção em que a correspondência da regra é aplicada. Para configurar onde a correspondência é aplicada, inclua a match-direction declaração no nível de [edit services stateful-firewall rule rule-name] hierarquia:

Nota:

Os roteadores da Série ACX500 não oferecem suporte match-direction (output | input-output).

Se você configurar match-direction input-output, as sessões iniciadas de ambas as direções podem corresponder a essa regra.

A direção de correspondência é usada em relação ao fluxo de tráfego por meio do AS ou pic de multisserviços. Quando um pacote é enviado para o PIC, as informações de direção são levadas junto com ele.

Com um conjunto de serviços de interface, a direção do pacote é determinada por se um pacote está entrando ou deixando a interface em que o conjunto de serviços é aplicado.

Com um conjunto de serviços de próximo salto, a direção de pacotes é determinada pela interface usada para encaminhar o pacote para o AS ou Multiservices PIC. Se a interface interna for usada para rotear o pacote, a direção do pacote é a entrada. Se a interface externa for usada para direcionar o pacote para o PIC, a direção do pacote será a saída. Para obter mais informações sobre interfaces internas e externas, consulte Configurando conjuntos de serviço a serem aplicados a interfaces de serviços.

No PIC, uma busca por fluxo é realizada. Se nenhum fluxo for encontrado, o processamento de regras é realizado. As regras neste conjunto de serviços são consideradas em sequência até que uma correspondência seja encontrada. Durante o processamento de regras, a direção do pacote é comparada com as instruções de regra. Considera-se apenas regras com informações de direção que correspondam à direção do pacote. A maioria dos pacotes resulta na criação de fluxos bidirecionais.

Configuração de condições de correspondência em regras de firewall stateful

Para configurar condições de correspondência de firewall stateful, inclua a from declaração no nível de [edit services stateful-firewall rule rule-name term term-name] hierarquia:

Nota:

Os roteadores ACX500 não oferecem suporte a aplicativos e conjuntos de aplicativos no nível [edit services stateful-firewall rule rule-name term term-name from] de hierarquia.

O endereço de origem e o endereço de destino podem ser IPv4 ou IPv6.

Você pode usar o endereço de origem ou o endereço de destino como condição de correspondência, da mesma forma que configuraria um filtro de firewall; para obter mais informações, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego. Você pode usar os valores curingas any-unicast, que denota a correspondência de todos os endereços unicast, any-ipv4que denota a correspondência de todos os endereços IPv4 ou any-ipv6, que denota a correspondência de todos os endereços IPv6.

Alternativamente, você pode especificar uma lista de prefixos de origem ou destino configurando a prefix-list declaração no nível de [edit policy-options] hierarquia e, em seguida, incluindo a declaração ou a destination-prefix-list source-prefix-list declaração na regra de firewall stateful. Por exemplo, veja Exemplos: Configuração de regras de firewall stateful.

Se você omitir o from termo, o firewall stateful aceita todo o tráfego e os manipuladores de protocolo padrão fazem efeito:

  • O protocolo de datagram do usuário (UDP), o Protocolo de Controle de Transmissão (TCP) e o Protocolo de Mensagem de Controle de Internet (ICMP) criam um fluxo bidirecional com um fluxo reverso previsto.

  • O IP cria um fluxo unidirecional.

Você também pode incluir definições de protocolo de aplicativo configuradas no nível de [edit applications] hierarquia; para obter mais informações, veja Configurando propriedades de aplicativos.

  • Para aplicar uma ou mais definições específicas de protocolo de aplicativo, inclua a applications declaração no nível de [edit services stateful-firewall rule rule-name term term-name from] hierarquia.

  • Para aplicar um ou mais conjuntos de definições de protocolo de aplicativo que você definiu, inclua a application-sets declaração no nível hierárquico [edit services stateful-firewall rule rule-name term term-name from] .

    Nota:

    Se você incluir uma das declarações que especifica protocolos de aplicativo, o roteador deriva informações de porta e protocolo da configuração correspondente no [edit applications] nível de hierarquia; você não pode especificar essas propriedades como condições de correspondência.

Configuração de ações em regras de firewall stateful

Para configurar ações de firewall stateful, inclua a then declaração no nível de [edit services stateful-firewall rule rule-name term term-name] hierarquia:

Você deve incluir uma das seguintes ações:

  • accept— O pacote é aceito e enviado para o seu destino.

  • accept skip-ids— O pacote é aceito e enviado para o seu destino, mas o processamento de regras de IDS configurado em um MS-MPC é ignorado.

  • discard— O pacote não é aceito e não é processado mais adiante.

  • reject— O pacote não é aceito e uma mensagem de rejeição é devolvida; O UDP envia um código ICMP inalcançável e o TCP envia o RST. Os pacotes rejeitados podem ser registrados ou amostrados.

Nota:

Os roteadores internos ACX500 não suportam a ação accept skip-ids.

Você pode configurar opcionalmente o firewall para registrar informações na instalação de registro do sistema, incluindo a syslog declaração no [edit services stateful-firewall rule rule-name term term-name then] nível de hierarquia. Essa declaração substitui qualquer syslog configuração incluída no conjunto de serviços ou na configuração padrão da interface.

Configuração do manuseio de opções de IP

Você pode configurar opcionalmente o firewall para inspecionar informações de cabeçalho IP, incluindo a allow-ip-options declaração no nível de [edit services stateful-firewall rule rule-name term term-name then] hierarquia. Ao configurar essa declaração, todos os pacotes que correspondam aos critérios especificados na from declaração são submetidos a critérios adicionais de correspondência. Um pacote só é aceito quando todos os tipos de opções de IP são configurados como valores na allow-ip-options declaração. Se você não configurar allow-ip-options, serão aceitos apenas pacotes sem opções de cabeçalho IP.

Nota:

Os roteadores internos ACX500 não suportam a configuração da allow-ip-options declaração.

A inspeção adicional de opção de cabeçalho IP se aplica apenas às accept reject ações de firewall stateful. Essa configuração não afeta a ação discard . Quando a inspeção de cabeçalho IP falha, os quadros de rejeição não são enviados; neste caso, a ação reject tem o mesmo efeito que discard.

Se um pacote de opção de IP for aceito pelo firewall stateful, a tradução de endereços de rede (NAT) e o serviço de detecção de intrusão (IDS) são aplicados da mesma forma que em pacotes sem cabeçalhos de opção de IP. A configuração de opção de IP aparece apenas nas regras de firewall stateful; O NAT se aplica a pacotes com ou sem opções de IP.

Quando um pacote é descartado porque falha na inspeção de opção de IP, este evento de exceção gera eventos IDS e mensagens de log do sistema. O tipo de evento depende do primeiro campo de opção de IP rejeitado.

A Tabela 1 lista os possíveis valores para a allow-ip-options declaração. Você pode incluir um intervalo ou um conjunto de valores numéricos, ou uma ou mais das configurações de opção de IP predefinidas. Você pode inserir o nome da opção ou seu equivalente numérico. Para obter mais informações, consulte http://www.iana.org/assignments/ip-parameters.

Tabela 1: Valores das opções de IP

Nome da opção IP

Valor numérico

Comentário

any

0

Qualquer opção de IP

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

Veja também

Configuração de conjuntos de regras de firewall stateful

A rule-set declaração define uma coleção de regras de firewall stateful que determinam quais ações o software do roteador executa em pacotes no fluxo de dados. Você define cada regra especificando um nome de regra e configurando termos. Em seguida, você especifica a ordem das regras, incluindo a rule-set declaração no nível de [edit services stateful-firewall] hierarquia com uma rule declaração para cada regra:

O software do roteador processa as regras na ordem em que você as especifica na configuração. Se um termo em uma regra corresponder ao pacote, o roteador realizará a ação correspondente e o processamento de regra será interrompido. Se nenhum termo em uma regra corresponde ao pacote, o processamento continua à próxima regra no conjunto de regras. Se nenhuma das regras corresponde ao pacote, o pacote será descartado por padrão.

Exemplos: Configuração de regras de firewall stateful

O exemplo a seguir mostra uma configuração de firewall stateful contendo duas regras, uma para a correspondência de entrada em um conjunto de aplicativos especificado e outra para correspondência de saída em um endereço de origem especificado:

O exemplo a seguir tem uma única regra com dois termos. O primeiro termo rejeita todo o tráfego my-application-group que se origina do endereço de origem especificado, e fornece um registro detalhado de log do sistema dos pacotes rejeitados. O segundo termo aceita o tráfego do Hypertext Transfer Protocol (HTTP) de qualquer pessoa para o endereço de destino especificado.

O exemplo a seguir mostra o uso de listas de prefixo de origem e destino. Isso requer dois itens de configuração separados.

Você configura a lista de prefixo no nível de [edit policy-options] hierarquia:

Você faz referência à lista de prefixo configurado na regra de firewall stateful:

Isso equivale à seguinte configuração:

Você pode usar o except qualificador com as listas de prefixo, como no exemplo a seguir. Neste caso, a except qualificação se aplica a todos os prefixos incluídos na lista p2de prefixo.

Para exemplos adicionais que combinam a configuração de firewall stateful com outros serviços e com tabelas de roteamento e encaminhamento de redes privadas virtuais (VPN), veja os exemplos de configuração.

Nota:

Você pode definir o conjunto de serviços e atribuí-lo como estilo de interface ou estilo next-hop.

Veja também

Exemplo: endereços BOOTP e Broadcast

O exemplo a seguir oferece suporte ao Bootstrap Protocol (BOOTP) e endereços de broadcast:

Exemplo: configuração de serviços de camada 3 e SDK de serviços em dois PICs

Você pode configurar o pacote de serviços de Camada 3 e o SDK de serviços em dois PICs. Para este exemplo, você deve configurar um cliente FTP ou HTTP e um servidor. Nesta configuração, o lado cliente da interface do roteador é ge-1/2/2.1 e o lado servidor da interface do roteador é ge-1/1/0,48. Essa configuração permite a tradução de endereços de rede (NAT) com firewall stateful (SFW) no uKernel PIC e identificação de aplicativos (APPID), lista de acesso consciente de aplicativos (AACL) e detecção e prevenção de intrusões (IDP) no SDK PIC de serviços para tráfego FTP ou HTTP.

Nota:

O SDK de serviços ainda não oferece suporte ao NAT. Quando o NAT é necessário, você pode configurar o pacote de serviços de Camada 3 para implantar NAT junto com o SDK de serviços, como APPID, AACL ou IDP.
Nota:

A funcionalidade IDP é preterida para a Série MX para o junos OS versão 17.1R1 ou superior.

Para implantar o pacote de serviços de Camada 3 e o SDK de serviços em dois PICs:

  1. No modo de configuração, vá para o seguinte nível de hierarquia:
  2. No nível de hierarquia, configure as condições para a regra r1 da regra do firewall stateful.

    Neste exemplo, o termo firewall stateful é ALLOWED-SERVICES. Inclua os nomes dos aplicativos — junos-ftp, junos-http e junos-icmp-ping — entre parênteses para application-name.

  3. Configure as condições para a regra de firewall stateful r2.

    Neste exemplo, o termo firewall stateful é o termo1.

  4. Vá para o nível de hierarquia a seguir e verifique a configuração:
  5. Vá para o seguinte nível de hierarquia:
  6. No nível de hierarquia, configure o pool de NAT.

    Neste exemplo, o pool de NAT é OUTBOUND-SERVICES e o endereço IP é 10.48.0.2/32.

  7. Configure a regra de NAT.

    Neste exemplo, a regra nat é SET-MSR-ADDR, o termo NAT é TRANSLATE-SOURCE-ADDR, e o pool de origem é OUTBOUND-SERVICES. Inclua os nomes dos aplicativos — junos-ftp, junos-http e junos-icmp-ping — em parênteses para application-name.

  8. Vá para o nível de hierarquia a seguir e verifique a configuração:
  9. Vá para o seguinte nível de hierarquia:
    Nota:

    As declarações [editar o idp de segurança] estão preteridas para a Série MX para o lançamento do Junos OS 17.1R1 ou superior.
  10. No nível de hierarquia, configure a política de IDP.

    Neste exemplo, a política de IDP é o teste1, a regra é r1, o ataque predefinido é FTP:USER:ROOT, e o grupo de ataque predefinido é "Ataques recomendados".

  11. Configure as opções de rastreamento para serviços IDP.

    Neste exemplo, o nome do arquivo de log é idp-demo.log.

  12. Vá para o nível de hierarquia a seguir e verifique a configuração:
  13. Vá para o seguinte nível de hierarquia:
  14. No nível de hierarquia, configure as regras da AACL.

    Neste exemplo, a regra da AACL é consciente do aplicativo e o termo é t1.

  15. Vá para o nível de hierarquia a seguir e verifique a configuração:
  16. Vá para o seguinte nível de hierarquia:
  17. Configure o perfil APPID.

    Neste exemplo, o perfil APPID é um perfil fictício.

  18. Configure o perfil do IDP.

    Neste exemplo, o perfil IDP é o teste1.

  19. Configure o perfil das estatísticas de decisão de políticas.

    Neste exemplo, o perfil das estatísticas de decisão de políticas é lpdf-stats.

  20. Configure as regras da AACL.

    Neste exemplo, o nome de regra da AACL é consciente do aplicativo.

  21. Configure duas regras de firewall stateful.

    Neste exemplo, a primeira regra é r1 e a segunda regra é r2.

  22. No nível de hierarquia, configure o conjunto de serviços para ignorar o tráfego em falha pic de serviço.
  23. Configure opções de conjunto de serviços específicas de interface.

    Neste exemplo, a interface de serviços é ms-0/1/0.

  24. Vá para o nível de hierarquia a seguir e verifique a configuração:
  25. Vá para o seguinte nível de hierarquia:
  26. No nível de hierarquia, configure parâmetros de notificação opcionais para a interface de serviços. Observe que ele é necessário apenas para depuração.

    Neste exemplo, o host para notificar é local.

  27. Configure duas regras de firewall stateful.

    Neste exemplo, a primeira regra é r1 e a segunda regra é r2.

  28. Configure as regras do NAT.

    Neste exemplo, a regra nat é SET-MSR-ADDR.

  29. Configure opções de conjunto de serviços específicas de interface.

    Neste exemplo, a interface de serviços é sp-3/1/0.

  30. Vá para o nível de hierarquia a seguir e verifique a configuração:
  31. Vá para o seguinte nível de hierarquia:
  32. No nível de hierarquia, configure a interface.

    Neste exemplo, a interface é ge-1/2/2.1.

  33. Vá para o seguinte nível de hierarquia:
  34. No nível de hierarquia, configure o conjunto de serviços para pacotes recebidos.

    Neste exemplo, o conjunto de serviços de entrada é App-Aware-Set.

  35. Configure o conjunto de serviços para pacotes transmitidos.

    Neste exemplo, o conjunto de serviços de saída é App-Aware-Set.

  36. Vá para o seguinte nível de hierarquia:
  37. No nível de hierarquia, configure o endereço da interface.

    Neste exemplo, o endereço da interface é 10.10.9.10/30.

  38. Vá para o nível de hierarquia a seguir e verifique a configuração:
  39. Vá para o seguinte nível de hierarquia:
  40. No nível de hierarquia, configure a interface.

    Neste exemplo, a interface é ge-1/1/0,48.

  41. Vá para o seguinte nível de hierarquia:
  42. No nível de hierarquia, configure o conjunto de serviços para pacotes recebidos.

    Neste exemplo, o conjunto de serviços é NAT-SFW-SET.

  43. Configure o conjunto de serviços para pacotes transmitidos.

    Neste exemplo, o conjunto de serviços é NAT-SFW-SET.

  44. Vá para o seguinte nível de hierarquia:
  45. Configure o endereço da interface.

    Neste exemplo, o endereço da interface é 10.48.0.1/31.

  46. Vá para o nível de hierarquia a seguir e verifique a configuração:
  47. Vá para o seguinte nível de hierarquia:
  48. No nível de hierarquia, configure a interface.

    Neste exemplo, a interface é ms-0/1/0.0.

  49. Vá para o seguinte nível de hierarquia:
  50. No nível de hierarquia, configure a família de protocolo.
  51. Vá para o nível de hierarquia a seguir e verifique a configuração:
  52. Vá para o seguinte nível de hierarquia:
  53. No nível de hierarquia, configure a interface.

    Neste exemplo, a interface é sp-3/1/0,0.

  54. Vá para o seguinte nível de hierarquia:
  55. No nível de hierarquia, configure parâmetros de notificação opcionais para a interface de serviços. Observe que ele é necessário apenas para depuração.

    Neste exemplo, o host para notificar é local.

  56. Vá para o seguinte nível de hierarquia:
  57. No nível de hierarquia, configure a família de protocolo.
  58. Vá para o nível de hierarquia a seguir e verifique a configuração:
  59. Vá para o seguinte nível de hierarquia:
  60. No nível de hierarquia, configure as configurações de redundância.
  61. Configure o FPC e o PIC.

    Neste exemplo, o FPC está no slot 0 e o PIC está no slot 1.

  62. Configure o número de núcleos dedicados para executar a funcionalidade de controle.

    Neste exemplo, o número de núcleos de controle é 1.

  63. Configure o número de núcleos de processamento dedicados aos dados.

    Neste exemplo, o número de núcleos de dados é de 7.

  64. Configure o tamanho do cache do objeto em megabytes. Somente são permitidos valores em incrementos de 128 MB e o valor máximo do cache de objetos pode ser de 1280 MB. Na MS-100, o valor é de 512 MB.

    Neste exemplo, o tamanho do cache de objeto é de 1280 MB.

  65. Configure o tamanho do banco de dados de políticas em megabytes.

    Neste exemplo, o tamanho do banco de dados de políticas é de 64 MB.

  66. Configure os pacotes.

    Neste exemplo, o primeiro pacote é jservices-appid, o segundo pacote é jservices-aacl, o terceiro pacote é jservices-llpdf, o quarto pacote é jservices-idp, e o quinto pacote é jservices-sfw. jservices-sfw está disponível apenas no Junos OS Release 10.1 e posterior.

  67. Configure os serviços de rede IP.
  68. Vá para o nível de hierarquia a seguir e verifique a configuração:

Exemplo: Roteamento e encaminhamento virtual (VRF) e configuração de serviços

O exemplo a seguir combina roteamento e encaminhamento virtual (VRF) e configuração de serviços:

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Lançamento
Descrição
17.1R1
A funcionalidade IDP é preterida para a Série MX para o junos OS versão 17.1R1 ou superior.
17.1R1
As declarações [editar o idp de segurança] estão preteridas para a Série MX para o lançamento do Junos OS 17.1R1 ou superior.
17.1
accept skip-ids— O pacote é aceito e enviado para o seu destino, mas o processamento de regras de IDS configurado em um MS-MPC é ignorado.
14.2
A partir do Junos OS Release 14.2, as placas de interface MS-MPC e MS-MIC oferecem suporte ao tráfego IPv6 para o Junos Network Secure Stateful Firewall.