Entendendo o planejamento de filtros de firewall

Antes de criar um filtro de firewall e aplicá-lo a uma interface, determine o que você deseja que o filtro de firewall realize e como usar suas condições e ações de correspondência para atingir suas metas. Você deve entender como os pacotes são compatíveis com as condições de correspondência, as ações padrão e configuradas do filtro de firewall e o posicionamento adequado do filtro de firewall.

Você pode configurar e aplicar não mais do que um filtro de firewall por porta, VLAN ou interface de roteador, por direção. Os limites a seguir aplicam-se ao número de termos de filtro de firewall permitidos por filtro em vários modelos de switches:

Nos switches EX3300, o número de termos por filtro não pode exceder 1436.
Nos switches EX3200 e EX4200, o número de termos por filtro não pode exceder 7042.

Nos switches EX2300, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para filtros de firewall configurados em uma interface de porta, VLAN e Camada 3:
- Para tráfego de entrada:
  - 256 termos para filtros de firewall configurados em uma porta
  - 256 termos para filtros de firewall configurados em uma VLAN
  - 256 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4
  - 256 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6
- Para tráfego de saída:
  - 512 termos para filtros de firewall configurados em uma porta
  - 128 termos para filtros de firewall configurados em uma VLAN
  - 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4
  - 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6
Nos switches EX3400, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para filtros de firewall configurados em uma interface de porta, VLAN e Camada 3:
- Para tráfego de entrada:
  - 512 termos para filtros de firewall configurados em uma porta
  - 512 termos para filtros de firewall configurados em uma VLAN
  - 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4
  - 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6
- Para tráfego de saída:
  - 512 termos para filtros de firewall configurados em uma porta
  - 256 termos para filtros de firewall configurados em uma VLAN
  - Termos de 1024 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4
  - Termos de 1024 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6
Nos switches EX4300, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para arquivos de firewall configurados em uma interface de porta, VLAN e Camada 3:
- Para tráfego de entrada:
  - 3500 termos para filtros de firewall configurados em uma porta
  - 3500 termos para filtros de firewall configurados em uma VLAN
  - Termos 7000 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4
  - Termos 3500 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6
  Nota:
  O limite de memória endereçada a conteúdo ternário (TCAM) para tráfego de entrada no switch EX4300 é de 256 entradas.
- Para tráfego de saída:
  - 512 termos para filtros de firewall configurados em uma porta
  - 256 termos para filtros de firewall configurados em uma VLAN
  - 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4
  - 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6
  Nota:
  Você só pode configurar o número máximo de termos quando configura um tipo de filtro de firewall (porta, VLAN ou filtro de firewall de roteador (Camada 3) no switch, e quando o controle de tempestade não estiver habilitado em nenhuma interface no switch.
Nos switches EX4500 e EX4550, o número de termos por filtro não pode exceder 1200.
Nos switches EX6200, o número de termos por filtro não pode exceder 1400.
Nos switches EX8200, o número de termos por filtro não pode exceder 32.768.

Além disso, tente ser conservador no número de termos (regras) que você inclui em cada filtro de firewall, pois um grande número de termos requer um tempo de processamento mais longo durante um compromisso e também pode tornar o teste de filtro de firewall e a resolução de problemas mais difícil. Da mesma forma, a aplicação de filtros de firewall em muitas interfaces de switch e roteador pode dificultar o teste e a resolução de problemas das regras desses filtros.

Antes de configurar e aplicar filtros de firewall, responda às seguintes perguntas para cada um desses filtros de firewall:

Qual é a finalidade do filtro de firewall?

Por exemplo, você pode usar um filtro de firewall para limitar o tráfego a endereços MAC de origem e destino, protocolos específicos ou determinadas taxas de dados ou para evitar ataques de negação de serviço (DoS).
Quais são as condições adequadas de correspondência?
1. Determine os campos de cabeçalho de pacote que o pacote deve conter para combinar. Os campos possíveis incluem:
  - Campos de cabeçalho de camada 2 — endereços MAC de origem e destino, tag dot1q, tipo Ethernet e VLAN
  - Campos de cabeçalho de camada 3 — endereços IP de origem e destino, protocolos e opções de IP (precedência de IP, bandeiras de fragmentação de IP, tipo TTL)
  - Campos de cabeçalho de TCP — portas e bandeiras de origem e destino
  - Campos de cabeçalho de ICMP — Tipo de pacote e código
2. Determine a interface de porta, VLAN ou roteador em que o pacote foi recebido.
Quais são as ações apropriadas a tomar se ocorrer uma correspondência?

Possíveis ações a serem tomadas se uma correspondência ocorrer são aceitas, descartadas e encaminhadas para uma instância de roteamento.
Quais modificadores de ação adicionais podem ser necessários?

Determine se ações adicionais são necessárias se um pacote corresponde a uma condição de correspondência; por exemplo, você pode especificar um modificador de ação para contar, analisar ou policiar pacotes.
Em que interface o filtro de firewall deve ser aplicado?

Comece com as seguintes diretrizes básicas:
- Se todos os pacotes que entram em uma porta precisarem ser expostos à filtragem, use filtros de firewall de porta.
- Se todos os pacotes que são conectados precisarem ser filtrados, use filtros de firewall VLAN.
- Se todos os pacotes que são roteados precisarem de filtragem, use filtros de firewall de roteador.
Antes de escolher a interface na qual aplicar um filtro de firewall, entenda como essa colocação pode afetar o fluxo de tráfego para outras interfaces. Em geral, aplique um filtro de firewall que filtra endereços IP de origem e destino, protocolos IP ou informações de protocolo — como tipos de mensagem do ICMP e números de porta TCP e UDP — mais próximos dos dispositivos de origem. No entanto, normalmente aplique um filtro de firewall que filtra apenas em um endereço IP de origem mais próximo dos dispositivos de destino. Quando aplicado muito perto do dispositivo de origem, um filtro de firewall que filtra apenas em um endereço IP de origem poderia potencialmente impedir esse dispositivo de origem de acessar outros serviços que estão disponíveis na rede.

Nota:
Os filtros de firewall de saída não afetam o fluxo de pacotes de controle gerados localmente a partir do Mecanismo de Roteamento.
Em que direção o filtro de firewall deve ser aplicado?

Você pode aplicar filtros de firewall nas portas do switch para filtrar pacotes que estão entrando em uma porta. Você pode aplicar filtros de firewall em VLANs e interfaces de Camada 3 (roteada) para filtrar pacotes que estão entrando ou saindo de uma VLAN ou interface roteada. Normalmente, você configura diferentes conjuntos de ações para o tráfego entrando em uma interface do que configura para o tráfego saindo de uma interface.

Entendendo o planejamento de filtros de firewall

Tópicos relacionados