Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Visão geral dos filtros de firewall (Série OCX)

Os filtros de firewall fornecem regras que definem se aceitam ou descartam pacotes que estão transitando por uma interface. Se um pacote for aceito, você pode configurar ações adicionais para executar no pacote, como a marcação de classe de serviço (CoS) (agrupando tipos semelhantes de tráfego e tratando cada tipo de tráfego como uma classe com seu próprio nível de prioridade de serviço) e policiamento de tráfego (controlando a taxa máxima de tráfego enviado ou recebido). Você configura filtros de firewall para determinar se aceita ou descarta um pacote antes que ele entre ou saia de uma interface de Camada 3 (roteada).

Um filtro de firewall de entrada é aplicado a pacotes que estão entrando em uma interface, e um filtro de firewall de saída é aplicado a pacotes que estão saindo de uma interface .

Nota:

Os filtros de firewall às vezes são chamados de listas de controle de acesso (ACLs).

Onde você pode aplicar filtros

Você pode aplicar um filtro de firewall de roteador em direções de entrada e saída em interfaces IPv4 ou IPv6 camada 3 (roteada) e uma interface de loopback, que filtra o tráfego enviado para o próprio switch ou gerado pelo switch.

Você aplica um filtro em uma interface de loopback na direção de entrada para proteger o switch contra tráfego indesejado. Você também pode querer aplicar um filtro em uma interface de loopback na direção de saída para que você possa definir a classe de encaminhamento e o valor de bit DSCP para pacotes que se originam no próprio switch. Esse recurso oferece controle muito bom sobre a classificação de pacotes gerados por CPU. Por exemplo, você pode querer atribuir diferentes valores de DSCP e aulas de encaminhamento ao tráfego geradas por diferentes protocolos de roteamento para que o tráfego para esses protocolos possa ser tratado de maneira diferenciada por outros dispositivos.

Nota:

Em QFX5220 switches, você só pode aplicar um filtro a uma interface de loopback na direção de entrada.

Nota:

Se você aplicar filtros de entrada e saída na mesma interface, o filtro de entrada é processado primeiro.

Para aplicar um filtro de firewall:

  1. Configure o filtro de firewall.

  2. Aplique o filtro de firewall em uma interface de Camada 3 e especifique a direção. Se você especificar a direção, o tráfego é filtrado na entrada.input Se você especificar a direção, o tráfego é filtrado na saída.output

Nota:

Você pode aplicar apenas um filtro de firewall em uma interface de Camada 3 para uma determinada direção. Por exemplo, para uma determinada interface, você pode aplicar um filtro para entrada e outro para saída.family inet

Os switches OCX oferecem suporte aos números máximos de termos de filtro de firewall por tipo de ponto de anexo mostrado em .Tabela 1

Tabela 1: Números de filtro de firewall suportados
Tipo de filtro Número máximo de filtros

Entrada

1536

Saída

1024

Componentes do filtro de firewall

Em um filtro de firewall, você primeiro define o tipo de endereço da família ( para IPv4 ou IPv6) e depois define um ou mais termos que especificam os critérios de filtragem e a ação a ser tomada se ocorrer uma correspondência.inetinet6

Cada termo consiste nos seguintes componentes:

  • Condições de correspondência — Especifique os valores que um pacote deve conter para ser considerado compatível.

  • Ação — especifica o que fazer se um pacote corresponder às condições da correspondência. Um filtro pode aceitar, descartar ou rejeitar um pacote correspondente e, em seguida, realizar ações adicionais, como contagem, classificação e policiamento. Se nenhuma ação for especificada para um termo, o padrão é aceitar o pacote correspondente.

Processamento de filtros de firewall

Se houver vários termos em um filtro, a ordem dos termos é importante. Se um pacote corresponde ao primeiro termo, o switch executa a ação definida por esse termo, e nenhum outro termos é avaliado. Se o switch não encontrar uma correspondência entre o pacote e o primeiro termo, ele compara o pacote com o próximo termo. Se não ocorrer correspondência entre o pacote e o segundo termo, o sistema continua a comparar o pacote com cada termo sucessivo no filtro até que uma correspondência seja encontrada. Se o pacote não corresponder a nenhum termos no filtro, o switch descarta o pacote por padrão.

Tópicos relacionados