Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compreender o planejamento de filtros de firewall

Antes de criar um filtro de firewall e aplicá-lo a uma interface, determine o que deseja que o filtro de firewall realize e como usar suas condições e ações de combinação para atingir seus objetivos. Você deve entender como os pacotes são combinando as condições, as ações padrão e configuradas do filtro de firewall e a localização adequada do filtro de firewall.

Você pode configurar e aplicar não mais do que um filtro de firewall por porta, VLAN ou interface do roteador, por direção. Os limites a seguir aplicam-se ao número de termos de filtro de firewall permitidos por filtro em vários modelos de switch:

  • Nos EX3300 switches, o número de termos por filtro não pode exceder 1436.

  • Nos switches EX3200 e EX4200, o número de termos por filtro não pode exceder 7042.

  • Nos switches EX2300, os seguintes termos máximos são suportados para tráfego de entrada e saída, para filtros de firewall configurados em uma porta, interface VLAN e Camada 3:

    • Para tráfego de entrada:

      • 256 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • 256 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 256 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 128 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    Nos switches EX3400, os seguintes termos máximos são suportados para tráfego de entrada e saída, para filtros de firewall configurados em uma porta, interface VLAN e Camada 3:

    • Para tráfego de entrada:

      • 512 termos para filtros de firewall configurados em uma porta

      • 512 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • 1.024 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 1.024 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    Nos switches EX4300, os seguintes termos máximos são suportados para tráfego de entrada e saída, para filers de firewall configurados em uma porta, interface VLAN e Camada 3:

    • Para tráfego de entrada:

      • 3.500 termos para filtros de firewall configurados em uma porta

      • 3.500 termos para filtros de firewall configurados em uma VLAN

      • 7.000 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 3.500 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      Nota:

      O limite de memória de endereço de conteúdo ternário (TCAM) para tráfego de entrada no switch EX4300 é de 256 entradas.

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      Nota:

      Você pode configurar o número máximo de termos somente quando configurar um tipo de filtro de firewall (porta, VLAN ou filtro de firewall do roteador (Camada 3) no switch, e quando o controle de tempestade não estiver ativado em qualquer interface do switch.

  • Nos switches EX4500 e EX4550, o número de termos por filtro não pode exceder 1.200.

  • Nos EX6200 switches, o número de termos por filtro não pode exceder 1400.

  • Nos EX8200 switches, o número de termos por filtro não pode exceder 32.768.

Além disso, tente ser conservador na quantidade de termos (regras) que você inclui em cada filtro de firewall, porque um grande número de termos requer mais tempo de processamento durante um commit e também pode tornar mais difícil o teste e a solução de problemas de filtro de firewall. Da mesma forma, a aplicação de filtros de firewall em muitas interfaces de switch e roteador pode tornar difíceis os testes e a solução de problemas das regras desses filtros.

Antes de configurar e aplicar filtros de firewall, responda às seguintes perguntas para cada um desses filtros de firewall:

  1. Qual é a finalidade do filtro de firewall?

    Por exemplo, você pode usar um filtro de firewall para limitar o tráfego a endereços MAC de origem e destino, protocolos específicos ou determinadas taxas de dados ou para evitar ataques negação de serviço (DoS).

  2. Quais são as condições de combinação adequadas?

    1. Determine os campos de cabeamento de pacote que o pacote deve conter para uma combinação. Os campos possíveis incluem:

      • Campos de cabeador de Camada 2 — Endereços MAC de origem e destino, tags dot1q, tipo Ethernet e VLAN

      • Campos de header de Camada 3 — Endereços IP de origem e destino, protocolos e opções de IP (precedência de IP, bandeiras de fragmentação de IP, tipo TTL)

      • Campos de cabeamento TCP — Portas e bandeiras de origem e destino

      • Campos de header ICMP — tipo de pacote e código

    2. Determine a porta, a VLAN ou a interface do roteador na qual o pacote foi recebido.

  3. Quais são as ações adequadas a ser tomadas se ocorrer uma combinação?

    Ações possíveis a realizar se ocorrer uma combinação são aceitas, descartadas e encaminhadas para uma instância de roteamento.

  4. Quais modificadores de ação adicionais podem ser necessários?

    Determinar se ações adicionais são necessárias se um pacote bate com uma condição de combinação; por exemplo, você pode especificar um modificador de ação para contar, analisar ou políciar pacotes.

  5. Em qual interface o filtro de firewall deve ser aplicado?

    Comece com as seguintes orientações básicas:

    • Se todos os pacotes que entram em uma porta precisam ser expostos à filtragem, use filtros de firewall de porta.

    • Se todos os pacotes que são pontes precisam de filtragem, use filtros de firewall VLAN.

    • Se todos os pacotes que são roteados precisam de filtragem, use filtros de firewall do roteador.

    Antes de escolher a interface na qual aplicar um filtro de firewall, entenda como essa colocação pode afetar o fluxo de tráfego para outras interfaces. Em geral, aplique um filtro de firewall que filtra endereços IP de origem e destino, protocolos IP ou informações de protocolo — como tipos de mensagens ICMP e números de porta TCP e UDP — mais próximos dos dispositivos de origem. Entretanto, normalmente aplique um filtro de firewall que filtra somente em um endereço IP de origem mais próximo dos dispositivos de destino. Quando aplicado muito perto do dispositivo de origem, um filtro de firewall que filtra apenas em um endereço IP de origem pode impedir que esse dispositivo de origem acesse outros serviços disponíveis na rede.

    Nota:

    Filtros de firewall de saída não afeta o fluxo de pacotes de controle gerados localmente do Mecanismo de Roteamento.

  6. Em qual direção o filtro de firewall deve ser aplicado?

    Você pode aplicar filtros de firewall às portas do switch para filtrar pacotes que estão entrando em uma porta. Você pode aplicar filtros de firewall a VLANs e interfaces de Camada 3 (roteados) para filtrar pacotes que estão entrando ou saindo de uma VLAN ou interface roteada. Normalmente, você configura diferentes conjuntos de ações para tráfego que entram em uma interface do que configuram para o tráfego que sai de uma interface.