Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender o planejamento de filtros de firewall

Antes de criar um filtro de firewall e aplicá-lo a uma interface, determine o que deseja que o filtro de firewall realize e como usar suas condições e ações de correspondência para atingir seus objetivos. Você deve entender como os pacotes são compatíveis com as condições, as ações padrão e configuradas do filtro de firewall e a colocação adequada do filtro de firewall.

Você pode configurar e aplicar não mais do que um filtro de firewall por porta, VLAN ou interface de roteador, por direção. Os limites a seguir aplicam-se ao número de termos de filtro de firewall permitidos por filtro em vários modelos de switches:

  • Nos switches EX3300, o número de termos por filtro não pode exceder 1436.

  • Nos switches EX3200 e EX4200, o número de termos por filtro não pode exceder 7042.

  • Nos switches EX2300, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para filtros de firewall configurados em uma interface de porta, VLAN e Camada 3:

    • Para tráfego de entrada:

      • 256 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • 256 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 256 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 128 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    Nos switches EX3400, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para filtros de firewall configurados em uma interface de porta, VLAN e Camada 3:

    • Para tráfego de entrada:

      • 512 termos para filtros de firewall configurados em uma porta

      • 512 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • Termos de 1024 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • Termos de 1024 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

    Nos switches EX4300, o seguinte número máximo de termos é suportado para tráfego de entrada e saída, para arquivos de firewall configurados em uma porta, VLAN e interface de Camada 3:

    • Para tráfego de entrada:

      • 3500 termos para filtros de firewall configurados em uma porta

      • 3500 termos para filtros de firewall configurados em uma VLAN

      • Termos 7000 para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 3500 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      Nota:

      O limite de memória endereçada por conteúdo ternário (TCAM) para tráfego de entrada no switch EX4300 é de 256 entradas.

    • Para tráfego de saída:

      • 512 termos para filtros de firewall configurados em uma porta

      • 256 termos para filtros de firewall configurados em uma VLAN

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv4

      • 512 termos para filtros de firewall configurados em interfaces de Camada 3 para tráfego IPv6

      Nota:

      Você só pode configurar o número máximo de termos quando configurar um tipo de filtro de firewall (porta, VLAN ou filtro de firewall (Camada 3) no switch, e quando o controle de tempestade não estiver habilitado em nenhuma interface no switch.

  • Nos switches EX4500 e EX4550, o número de termos por filtro não pode exceder 1200.

  • Nos switches EX6200, o número de termos por filtro não pode exceder 1400.

  • Nos switches EX8200, o número de termos por filtro não pode exceder 32.768.

Além disso, tente ser conservador no número de termos (regras) que você inclui em cada filtro de firewall, porque um grande número de termos requer mais tempo de processamento durante um commit e também pode tornar mais difícil o teste de filtro de firewall e a resolução de problemas. Da mesma forma, a aplicação de filtros de firewall em muitas interfaces de switch e roteador pode tornar difícil testar e solucionar problemas das regras desses filtros.

Antes de configurar e aplicar filtros de firewall, responda às seguintes perguntas para cada um desses filtros de firewall:

  1. Qual é a finalidade do filtro de firewall?

    Por exemplo, você pode usar um filtro de firewall para limitar o tráfego a endereços MAC de origem e destino, protocolos específicos ou determinadas taxas de dados ou para evitar ataques de negação de serviço (DoS).

  2. Quais são as condições adequadas de correspondência?

    1. Determine os campos de cabeçalho de pacote que o pacote deve conter para combinar. Os campos possíveis incluem:

      • Campos de cabeçalho de camada 2 — endereços MAC de origem e destino, tag dot1q, tipo Ethernet e VLAN

      • Campos de cabeçalho de Camada 3 — endereços IP de origem e destino, protocolos e opções de IP (precedência de IP, bandeiras de fragmentação de IP, tipo TTL)

      • Campos de cabeçalho TCP — portas e bandeiras de origem e destino

      • Campos de cabeçalho ICMP — tipo de pacote e código

    2. Determine a interface de porta, VLAN ou roteador na qual o pacote foi recebido.

  3. Quais são as ações apropriadas a tomar se uma correspondência ocorrer?

    Possíveis ações a tomar se uma correspondência ocorrer são aceitas, descartadas e encaminhadas para uma instância de roteamento.

  4. Quais modificadores de ação adicionais podem ser necessários?

    Determine se ações adicionais são necessárias se um pacote corresponde a uma condição de correspondência; por exemplo, você pode especificar um modificador de ação para contar, analisar ou pacotes policiais.

  5. Em qual interface o filtro de firewall deve ser aplicado?

    Comece com as seguintes diretrizes básicas:

    • Se todos os pacotes que entram em uma porta precisarem ser expostos à filtragem, use filtros de firewall de porta.

    • Se todos os pacotes que são superados precisarem de filtragem, use filtros de firewall VLAN.

    • Se todos os pacotes roteados precisarem de filtragem, use filtros de firewall de roteador.

    Antes de escolher a interface para aplicar um filtro de firewall, entenda como essa colocação pode afetar o fluxo de tráfego para outras interfaces. Em geral, aplique um filtro de firewall que filtra endereços IP de origem e destino, protocolos IP ou informações de protocolo — como tipos de mensagem ICMP e números de porta TCP e UDP — mais próximos dos dispositivos de origem. No entanto, normalmente aplicar um filtro de firewall que filtra apenas em um endereço IP de origem mais próximo dos dispositivos de destino. Quando aplicado muito perto do dispositivo de origem, um filtro de firewall que filtra apenas em um endereço IP de origem poderia potencialmente impedir que esse dispositivo de origem acessasse outros serviços disponíveis na rede.

    Nota:

    Os filtros de firewall de saída não afetam o fluxo de pacotes de controle gerados localmente a partir do Mecanismo de Roteamento.

  6. Em qual direção o filtro de firewall deve ser aplicado?

    Você pode aplicar filtros de firewall em portas no switch para filtrar pacotes que estão entrando em uma porta. Você pode aplicar filtros de firewall em VLANs e interfaces de Camada 3 (roteadas) para filtrar pacotes que estão entrando ou saindo de uma VLAN ou interface roteada. Normalmente, você configura diferentes conjuntos de ações para o tráfego entrando em uma interface do que configura para o tráfego saindo de uma interface.