Componentes de filtro de firewall sem estado
Este tópico abrange as seguintes informações:
Família de protocolos
firewall Pela declaração, você pode especificar a família de protocolo para a qual deseja filtrar o tráfego.
Tabela 1 descreve as famílias de protocolo de filtro de firewall .
Tipo de tráfego a ser filtrado |
Declaração de configuração |
Comentários |
|---|---|---|
Independente de protocolo |
|
Todas as famílias de protocolo configuradas em uma interface lógica. |
Protocolo de Internet versão 4 (IPv4) |
|
A |
Protocolo de Internet versão 6 (IPv6) |
|
|
MPLS |
|
|
IPv4 com tag MPLS |
|
Oferece suporte à correspondência em endereços e portas IP, até cinco rótulos em pilha MPLS. |
IPv6 com tag MPLS |
|
Oferece suporte à correspondência em endereços e portas IP, até cinco rótulos em pilha MPLS. |
Serviço de LAN privada virtual (VPLS) |
|
|
Inter-conexão entre circuitos de camada 2 |
|
|
Pontes de camada 2 |
|
Apenas roteadores da Série MX e switches da Série EX. |
Tipo de filtro
Sob a family family-name declaração, você pode especificar o tipo e o nome do filtro que deseja configurar.
Tabela 2 descreve os tipos de filtro de firewall.
Tipo de filtro |
Declaração de configuração |
Descrição |
|---|---|---|
| Filtro de firewall padrão |
|
Filtra os seguintes tipos de tráfego:
|
| Filtro de serviço |
|
Define a filtragem de pacotes a ser aplicada à entrada ou saída antes de ser aceita para processamento de serviços ou aplicada ao tráfego de serviços de retorno após a conclusão do processamento do serviço. Filtra os seguintes tipos de tráfego:
Suportado em interfaces lógicas configuradas apenas no seguinte hardware:
|
| Filtro simples |
|
Define a filtragem de pacotes a ser aplicada apenas no tráfego de entrada. Filtra o seguinte tipo de tráfego:
Suportado em interfaces lógicas configuradas apenas no seguinte hardware:
|
Termos
Sob a filter, service-filterou simple-filter declaração, você deve configurar pelo menos um termo de filtro de firewall. Um termo é uma estrutura nomeada na qual as condições e ações de correspondência são definidas. Dentro de um filtro de firewall, você deve configurar um nome único para cada termo.
Para cada família de protocolo em uma interface, você não pode aplicar mais do que um filtro em cada direção. Se você tentar aplicar filtros adicionais para a mesma família de protocolo na mesma direção, o último filtro substitui o filtro anterior. Você pode, no entanto, aplicar filtros da mesma família de protocolo à direção de entrada e saída da mesma interface.
Todos os filtros de firewall sem estado contêm um ou mais termos, e cada termo consiste em dois componentes — condições e ações de correspondência. As condições de correspondência definem os valores ou campos que o pacote deve conter para serem considerados compatíveis. Se um pacote for compatível, a ação correspondente é tomada. Por padrão, um pacote que não corresponda a um filtro de firewall é descartado.
Se um pacote chegar em uma interface para a qual nenhum filtro de firewall é aplicado para o tráfego de entrada nessa interface, o pacote é aceito por padrão.
Um filtro de firewall com um grande número de termos pode afetar negativamente tanto o tempo de confirmação da configuração quanto o desempenho do Mecanismo de Roteamento.
Além disso, você pode configurar um filtro de firewall sem estado dentro do termo de outro filtro. Esse método permite que você adicione termos comuns a vários filtros sem precisar modificar todas as definições de filtro. Você pode configurar um filtro com os termos comuns desejados e configurar este filtro como um termo em outros filtros. Consequentemente, para fazer uma mudança nesses termos comuns, você precisa modificar apenas um filtro que contenha os termos comuns, em vez de vários filtros.
Condições de correspondência
Um termo de filtro de firewall deve conter pelo menos um critério de filtragem de pacotes, chamado de condição de correspondência, para especificar o campo ou o valor que um pacote deve conter para ser considerado compatível com o termo filtro de firewall. Para que a correspondência ocorra, o pacote deve corresponder a todas as condições do termo. Se um pacote corresponde a um termo de filtro de firewall, o roteador (ou switch) toma a ação configurada no pacote.
Se um termo de filtro de firewall contém várias condições de correspondência, um pacote deve atender a todas as condições de correspondência para ser considerado compatível com o termo filtro de firewall.
Se uma única condição de correspondência estiver configurada com vários valores, como uma variedade de valores, um pacote deve combinar apenas com um dos valores a serem considerados compatíveis com o termo filtro de firewall.
O escopo das condições de correspondência que você pode especificar em um termo de filtro de firewall depende da família de protocolo sob a qual o filtro de firewall está configurado. Você pode definir várias condições de correspondência, incluindo o campo de endereços de origem IP, campo de endereço de destino IP, campo de porta de origem TCP ou UDP, campo de protocolo IP, tipo de pacote de protocolo de controle de Internet (ICMP), opções de IP, bandeiras TCP, interface lógica ou física de entrada e interface lógica ou física de saída. Estas são condições de correspondência pré-definidas ou fixas.
Nos roteadores de borda universal 3D da Série MX com MPCs ou MICs, é possível criar condições flexíveis de correspondência para famílias de protocolo IPv4, IPv6, Camada 2, CCC e VPLS. Essas condições flexíveis de correspondência permitem que o usuário especifique a localização do início, byte offset, comprimento da correspondência e outros parâmetros dentro do pacote.
Cada família de protocolo oferece suporte a um conjunto diferente de condições de correspondência, e algumas condições de correspondência são suportadas apenas em determinados dispositivos de roteamento. Por exemplo, várias condições de correspondência para tráfego VPLS são suportadas apenas nos roteadores de borda universais 3D da Série MX.
from Na declaração em um termo de filtro de firewall, você especifica características que o pacote deve ter para que a ação na declaração subsequente then seja realizada. As características são referidas como condições de correspondência. O pacote deve corresponder a todas as condições na from declaração para que a ação seja realizada, o que também significa que a ordem das condições na from declaração não é importante.
Se uma condição de correspondência individual pode especificar uma lista de valores (como vários endereços de origem e destino) ou uma variedade de valores numéricos, uma correspondência ocorre se algum dos valores corresponder ao pacote.
Se um termo de filtro não especificar condições de correspondência, o termo aceita todos os pacotes e as ações especificadas na declaração do then termo são opcionais.
Algumas das condições de correspondência de campo numérico e numérico permitem que você especifique um sinônimo de texto. Para uma lista completa de sinônimos:
Se você estiver usando a interface J-Web, selecione o sinônimo da lista apropriada.
Se estiver usando a CLI, digite um ponto de interrogação (
?) após afromdeclaração.
Ações
As ações especificadas em um termo de filtro de firewall definem as ações a serem tomadas para qualquer pacote que corresponda às condições especificadas no termo.
Ações configuradas em um único prazo são todas tomadas no tráfego que correspondem às condições configuradas.
Recomendamos fortemente que você configure explicitamente uma ou mais ações por termo de filtro de firewall. Qualquer pacote que corresponda a todas as condições do termo é aceito automaticamente a menos que o termo especifique outras ou outras ações.
As ações de filtro de firewall se enquadram nas seguintes categorias:
Ações que terminam com filtros
Uma ação de terminação de filtro interrompe toda a avaliação de um filtro de firewall para um pacote específico. O roteador (ou switch) realiza a ação especificada, e nenhum termo adicional é analisado.
Ações sem acordo
Ações não sufocantes são usadas para executar outras funções em um pacote, como incrementar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema.
A presença de uma ação não terminante, como, ou, sem uma ação de encerramento explícita, comoaccept, discardoureject, resulta em uma ação padrão de terminação de accept.sysloglogcount Se você não quiser que a ação do filtro de firewall seja terminada, use a ação next term após a ação sem gerenciamento.
No Junos OS Evolved, next term não pode aparecer como o último termo da ação. Um termo de filtro em que next term é especificado como uma ação, mas sem qualquer condição de correspondência configurada não é suportado.
Neste exemplo, o termo 2 nunca é avaliado, porque o termo 1 tem o padrão accept implícito de encerrar a ação.
[edit firewall filter test]
term 1 {
from {
source-address {
0.0.0.0/0;
}
}
then {
log;
<accept> #By default if not specified
}
}
term 2 {
then {
reject;
}
}
Neste exemplo, o termo 2 é avaliado, porque o termo 1 tem a ação explícita next term de controle de fluxo.
[edit firewall filter test]
term 1 {
from {
source-address {
0.0.0.0/0;
}
}
then {
log;
next term;
}
}
term 2 {
then {
reject;
}
}
Ação de controle de fluxo
Somente para filtros de firewall sem estado padrão, a ação next term permite que o roteador (ou switch) execute ações configuradas no pacote e, em seguida, avalie o termo a seguir no filtro, em vez de encerrar o filtro.
Um máximo de 1024 next term ações são suportadas por configuração padrão de filtro de firewall sem estado. Se você configurar um filtro padrão que exceda esse limite, a configuração do seu candidato resultará em um erro de confirmação.