Comment créer un filtre de pare-feu Junos - des nuls

Pour concevoir correctement un filtre de pare-feu Junos, vous devez savoir comment Junos traite les filtres. Vous devez tenir compte de deux considérations de base pour vous assurer que vos filtres de pare-feu Junos se comportent comme vous l'entendez:

• Sur la plupart des périphériques, vous pouvez appliquer plusieurs filtres de pare-feu dans une chaîne ordonnée. Si vous appliquez le filtre limit-ssh-telnet à l'interface de bouclage du routeur, cette interface accepte le trafic SSH et Telnet mais rien d'autre. Ainsi, si vous avez configuré d'autres protocoles, tels que SNMP, BGP, OSPF et IS-IS, pour utiliser l'adresse de bouclage comme adresse de routeur, les paquets de ces protocoles sont bloqués et n'atteignent pas le routeur.

  Cependant, vous pouvez écrire plusieurs filtres de pare-feu plus petits et les appliquer dans une chaîne, ce qui vous permet de réutiliser des filtres de pare-feu plus petits au lieu d'écrire des filtres de pare-feu personnalisés pour chaque interface.

  Lorsque vous configurez une chaîne de filtres de pare-feu, le système d'exploitation Junos agit comme si vous veniez de créer un grand filtre de pare-feu, composé des termes de chaque filtre dans l'ordre. (Cela signifie que si vous mettez ce filtre limit-ssh-telnet en premier dans une chaîne, tout autre trafic est rejeté indépendamment des filtres de pare-feu restants, car le second terme de la chaîne rejette tout le trafic.)

  Junos OS évalue les termes dans un filtre de pare-feu (ou une chaîne de filtres de pare-feu) dans l'ordre, en commençant par le premier. Le routeur traite chaque paquet à travers les termes d'un filtre de pare-feu jusqu'à ce qu'il trouve une correspondance.

• Lorsque le routeur trouve une correspondance, il prend les actions indiquées par la clause then de ce terme, ce qui signifie que vous devez vous assurer que le trafic sera accepté ou rejeté au bon endroit, mais pas avant.

• Par exemple, si vous voulez autoriser tout le trafic Telnet, mais refuser tout autre trafic TCP, vous devez placer le terme permettant le trafic Telnet avant le terme refusant le trafic TCP. Si vous les mettez dans l'ordre inverse, le routeur refusera le trafic Telnet (parce que Telnet utilise TCP) et n'atteindra jamais le terme pour autoriser le trafic Telnet.

  Vous n'avez cependant pas besoin de vous préoccuper de l'optimisation de vos filtres de pare-feu, car le système d'exploitation Junos le fait pour vous. Avoir le logiciel s'occuper de votre filtrage rend votre travail facile. Vous vous souciez juste de vous assurer que la logique du filtre est dans le bon ordre, et le routeur prend soin de l'optimiser pour vous.