Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo como os filtros de firewall são avaliados

Um filtro de firewall consiste em um ou mais termos, e a ordem dos termos dentro de um filtro é importante. Antes de configurar filtros de firewall, você deve entender como os switches avaliam os termos dentro de um filtro e como os pacotes são avaliados em relação aos termos.

Quando um filtro de firewall consiste em um único termo, o filtro é avaliado da seguinte forma:

  • Se o pacote corresponde a todas as condições, a ação na declaração será tomada.then

  • Se o pacote corresponde a todas as condições e nenhuma ação for especificada na declaração, a ação padrão será tomada.thenaccept

  • Se o pacote não corresponder a todas as condições, o switch o descarta.

Quando um filtro de firewall consiste em mais de um termo, o filtro é avaliado sequencialmente:

  1. O pacote é avaliado em relação às condições da declaração no primeiro mandato.from

  2. Se o pacote corresponde a todas as condições do termo, a ação na declaração é tomada e a avaliação termina.then Os termos subsequentes no filtro não são avaliados.

  3. Se o pacote não corresponder a todas as condições do termo, o pacote será avaliado em relação às condições da declaração no segundo mandato.from

    Esse processo continua até que o pacote corresponda a todas as condições da declaração em um dos termos subsequentes ou não há mais termos no filtro.from

  4. Se um pacote passar por todos os termos do filtro sem combinar, o switch o descarta.

Nota:

A ordem das condições em uma declaração não é importante porque um pacote deve corresponder a todas as condições a serem consideradas compatíveis.from

Figura 1 mostra como os switches avaliam os termos dentro de um filtro de firewall.

Figura 1: Avaliação dos termos dentro de um filtro de firewallAvaliação dos termos dentro de um filtro de firewall

Se você não incluir uma declaração em um termo, todos os pacotes corresponderão ao termo e serão processados pela declaração.fromthen Se um termo não conter uma declaração ou se uma ação não tiver sido configurada na declaração, o termo aceita quaisquer pacotes correspondentes.thenthen

Cada filtro de firewall contém uma declaração implícita no final do filtro, o que equivale ao seguinte termo de filtro explícito:deny

Consequentemente, um pacote que não corresponda a nenhum dos termos em um filtro de firewall é descartado. Se você configurar um filtro sem termos, todos os pacotes que passam pelo filtro serão descartados.

Nota:

A filtragem de firewall é suportada em pacotes com pelo menos 64 bytes de comprimento.

Tópicos relacionados