Entendendo o planejamento de filtros de firewall
Antes de criar um filtro de firewall e aplicá-lo, determine o que deseja que o filtro realize e como usar suas condições e ações de correspondência para atingir suas metas. É importante que você entenda como os pacotes são combinados, as ações padrão e configuradas do filtro de firewall e onde aplicar o filtro de firewall.
Você não pode aplicar mais do que um filtro de firewall por porta, VLAN ou interface de roteador por direção (entrada e saída). Por exemplo, para uma determinada porta, você pode aplicar no máximo um filtro na direção de entrada e um filtro na direção de saída. Você deve tentar ser conservador no número de termos (regras) que você inclui em cada filtro de firewall, pois um grande número de termos requer um tempo de processamento mais longo durante uma operação de confirmação e pode tornar o teste e a resolução de problemas mais difíceis.
Antes de configurar e aplicar filtros de firewall, responda às seguintes perguntas para cada uma delas:
Qual é a finalidade do filtro?
Por exemplo, o sistema pode soltar pacotes com base em informações de cabeçalho, tráfego com limite de taxa, classificar pacotes em aulas de encaminhamento, pacotes de registro e contagem, ou evitar ataques de negação de serviço.
Quais são as condições adequadas de correspondência? Determine os campos de cabeçalho de pacote que o pacote deve conter para combinar. Os campos possíveis incluem:
Campos de cabeçalho de camada 2 — endereços MAC de origem e destino, tag 802.1Q, tipo Ethernet ou VLAN.
Campos de cabeçalho de camada 3 — endereços IP de origem e destino, protocolos e opções de IP (precedência de IP, bandeiras de fragmentação de IP ou tipo TTL).
Campos de cabeçalho de TCP — portas e bandeiras de origem e destino.
Campos de cabeçalho de ICMP — tipo de pacote e código.
Quais são as ações apropriadas a tomar se ocorrer uma correspondência?
O sistema pode aceitar, descartar ou rejeitar pacotes.
Quais modificadores de ação adicionais podem ser necessários?
Por exemplo, você pode configurar o sistema para espelhar pacotes (cópia) em uma porta especificada, contar pacotes correspondentes, aplicar gerenciamento de tráfego ou pacotes policiais.
Em que porta, interface de roteador ou VLAN o filtro de firewall deve ser aplicado?
Comece com as seguintes diretrizes básicas:
Se os pacotes que entram ou saem de uma interface (porta) de Camada 2 precisarem ser filtrados, aplique o filtro no nível de hierarquia.
[edit family ethernet switching filter]Este é um filtro de porta.Se os pacotes entrarem ou deixarem qualquer porta em um VLAN específico precisarem ser filtrados, use um filtro VLAN.
Se os pacotes que entram ou saem de uma interface de Camada 3 (roteada) ou interface VLAN roteada (RVI) precisarem ser filtrados, use um filtro de firewall de roteador. Aplique o filtro na interface no nível de hierarquia.
[edit family inet]Você também pode aplicar um filtro de firewall de roteador em uma interface de loopback.
Antes de escolher a interface ou a VLAN para aplicar um filtro de firewall, entenda como essa colocação pode afetar o fluxo de tráfego para outras interfaces. Em geral, aplique um filtro próximo ao dispositivo de origem se o filtro estiver compatível com endereços IP de origem ou destino, protocolos IP ou informações de protocolo — como tipos de mensagem do ICMP e números de porta TCP ou UDP. No entanto, você deve aplicar um filtro próximo ao dispositivo de destino se o filtro corresponde apenas em um endereço IP de origem. Quando você aplica um filtro muito próximo do dispositivo de origem, o filtro pode impedir que esse dispositivo de origem acesse outros serviços que estão disponíveis na rede.
Nota:Os filtros de firewall de saída não afetam o fluxo de pacotes de controle gerados localmente a partir do Mecanismo de Roteamento.
Em que direção o filtro de firewall deve ser aplicado?
Você normalmente configura ações diferentes para o tráfego entrar em uma interface do que configura para tráfego saindo de uma interface.
Quantos filtros devo criar?
Veja o planejamento do número de filtros de firewall para criar informações sobre quantos filtros de firewall você pode aplicar.Planejando o número de filtros de firewall para criar