Entendendo como os filtros de firewall são avaliados
Um filtro de firewall consiste em um ou mais termos, e a ordem dos termos dentro de um filtro de firewall é importante. Antes de configurar filtros de firewall, você deve entender como os switches de ethernet da Série EX da Juniper Networks avaliam os termos dentro de um filtro de firewall e como os pacotes são avaliados em relação aos termos.
Quando um filtro de firewall consiste em um único termo, o filtro é avaliado da seguinte forma:
Se o pacote corresponde a todas as condições, a ação na declaração será tomada.
then
Se o pacote corresponde a todas as condições e nenhuma ação for especificada na declaração, a ação padrão será tomada.
then
accept
Quando um filtro de firewall consiste em mais de um termo, o filtro de firewall é avaliado sequencialmente:
O pacote é avaliado em relação às condições da declaração no primeiro mandato.
from
Se o pacote corresponde a todas as condições do termo, a ação na declaração é tomada e a avaliação termina.
then
Os termos subsequentes no filtro não são avaliados.Se o pacote não corresponder a todas as condições do termo, o pacote será avaliado em relação às condições da declaração no segundo mandato.
from
Esse processo continua até que o pacote corresponda às condições da declaração em um dos termos subsequentes ou não haja mais termos no filtro.
from
Se um pacote passar por todos os termos do filtro sem combinar, o pacote será descartado.
Figura 1 mostra como um switch da Série EX avalia os termos dentro de um filtro de firewall.
Se um termo não conter uma declaração, o pacote é considerado compatível e a ação na declaração do termo é tomada.from
then
Se um termo não conter uma declaração ou se uma ação não tiver sido configurada na declaração, e o pacote corresponde às condições na declaração do termo, o pacote é aceito.then
then
from
Cada filtro de firewall contém uma declaração implícita no final do filtro, o que equivale ao seguinte termo de filtro explícito:deny
term implicit-rule { then discard; }
Consequentemente, se um pacote passar por todos os termos em um filtro sem corresponder a nenhuma condição, o pacote será descartado. Se você configurar um filtro de firewall sem termos, todos os pacotes que passam pelo filtro serão descartados.