Firewall Filter Junos

Home » Blog » Configuration Template » Juniper » Firewall Filter Junos

Firewall Filter Junos

07.02 2024 | by massimiliano

Firewall Filter sono equivalente a dire Access Control List (ACL) per Cisco. Stateless firewall filter esamina ogni pacchetto singolarmente (viceversa […]



Firewall Filter sono equivalente a dire Access Control List (ACL) per Cisco.

Stateless firewall filter esamina ogni pacchetto singolarmente (viceversa uno stateful firewall filter, traccia connessioni e ci permette di specificare un azione da prendere per tutti i pacchetti compresi in un flusso di comunicazione).

La natura stateless del firewall filter, quindi, ci porta a considerare la scrittura di un filtro esplicitando il permit del traffico in entrambe le direzioni per ciascuna connessione da permettere.

Viceversa uno stateful firewall filter (non supportato su EX switches) richiede solo di permettere una comunicazione all’inizio eppoi in modo automatico consente il suo passaggio in modo bidirezionale.

E’ possibile usare firewall filter per monitoring task.

In EX series switches le firewall filter hanno il controllo in hardware (non in software process).

I tipi di filtri che possiamo applicare sono:

Port-based: applied to layer 2 switch port in ingress and egress directions

Vlan-based: applied to layer 2 switch Vlans in the ingress and egress directions

Router-based : applied to layer 3 routed interfaces in ingress and egress directions

Esempio di Configurazione:

[ edit firewall ]

  edit family any  # protocol-independent filter

  edit family ethernet-switching  # protocol family ethernet switching for firewall filter

  edit family inet  # protocol family IPv4 for firewall filter

  edit family inet6   # protocol family IPv6 for firewall filter

Firewall Filter Building Block

«Term» è il fondamentale building block per un firewall filter; un «term» contiene zero o più match conditions and una o più actions.

Firewall Filter Matching

Lo switch processa ogni pacchetto attraverso le sue firewall filter configurate.

Match based on header fields

Match condition categories:

Numeric range

Address

Bit field

Firewall Filter Action

Lo switch processa ogni pacchetto attraverso le sue firewall filter configurate.

Actions:

accept

discard

reject

Action Modifiers:

analyzer.count.log and syslog

forwarding-class and loss-priority

policer

Action Default:

discard (in caso di nessuna firewall filter configurata, l’azione di default è accept)

Torna in alto