Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo o planejamento de filtros de firewall

Antes de criar um filtro de firewall e aplicá-lo, determine o que deseja que o filtro realize e como usar suas condições e ações de correspondência para atingir suas metas. É importante que você entenda como os pacotes são combinados, as ações padrão e configuradas do filtro de firewall e onde aplicar o filtro de firewall.

Você não pode aplicar mais do que um filtro de firewall por interface de roteador por direção (entrada e saída). Por exemplo, para uma determinada interface, você pode aplicar no máximo um filtro na direção de entrada e um filtro na direção de saída. Você deve tentar ser conservador no número de termos (regras) que você inclui em cada filtro de firewall, pois um grande número de termos requer um tempo de processamento mais longo durante uma operação de confirmação e pode tornar o teste e a resolução de problemas mais difíceis.

Antes de configurar e aplicar filtros de firewall, responda às seguintes perguntas para cada uma delas:

  1. Qual é a finalidade do filtro?

    Por exemplo, o sistema pode soltar pacotes com base em informações de cabeçalho, tráfego com limite de taxa, classificar pacotes em aulas de encaminhamento, pacotes de registro e contagem, ou evitar ataques de negação de serviço.

  2. Quais são as condições adequadas de correspondência? Determine os campos de cabeçalho de pacote que o pacote deve conter para combinar. Os campos possíveis incluem:

    • Campos de cabeçalho de camada 3 — endereços IP de origem e destino, protocolos e opções de IP (precedência de IP, bandeiras de fragmentação de IP ou tipo TTL).

    • Campos de cabeçalho de TCP — portas e bandeiras de origem e destino.

    • Campos de cabeçalho de ICMP — tipo de pacote e código.

  3. Quais são as ações apropriadas a tomar se ocorrer uma correspondência?

    O sistema pode aceitar, descartar ou rejeitar pacotes.

  4. Quais modificadores de ação adicionais podem ser necessários?

    Por exemplo, você pode configurar o sistema para espelhar pacotes (cópia) em uma porta especificada, contar pacotes correspondentes, aplicar gerenciamento de tráfego ou pacotes policiais.

  5. Em que interface de Camada 3 o filtro de firewall deve ser aplicado?

    Antes de escolher a interface na qual aplicar um filtro de firewall, entenda como essa colocação pode afetar o fluxo de tráfego para outras interfaces. Em geral, aplique um filtro próximo ao dispositivo de origem se o filtro estiver compatível com endereços IP de origem ou destino, protocolos IP ou informações de protocolo — como tipos de mensagem do ICMP e números de porta TCP ou UDP. No entanto, você deve aplicar um filtro próximo ao dispositivo de destino se o filtro corresponde apenas em um endereço IP de origem. Quando você aplica um filtro muito próximo do dispositivo de origem, o filtro pode impedir que esse dispositivo de origem acesse outros serviços que estão disponíveis na rede.

  6. Em que direção o filtro de firewall deve ser aplicado?

    Você normalmente configura ações diferentes para o tráfego entrar em uma interface do que configura para tráfego saindo de uma interface.

  7. Quantos filtros devo criar?