Filtros de firewall stateless que fazem referência à visão geral dos policiais
O policiamento, ou limitação de taxa, é um componente importante dos filtros de firewall que permite limitar a quantidade de tráfego que passa para dentro ou fora de uma interface.
Um filtro de firewall que faz referência a um policial pode fornecer proteção contra ataques de negação de serviço (DOS). O tráfego que excede os limites de taxa configurados para o policiador é descartado ou marcado como prioridade menor do que o tráfego que está em conformidade com os limites de taxa configurados. Os pacotes podem ser marcados para uma prioridade menor, sendo definidos em uma fila de saída específica, definido para um nível específico de prioridade de perda de pacotes (PLP) ou ambos. Quando necessário, o tráfego de baixa prioridade pode ser descartado para evitar congestionamentos.
Um policial especifica dois tipos de limites de taxa no tráfego:
Limite de largura de banda — a taxa média de tráfego permitida, especificada como uma série de bits por segundo.
Tamanho máximo de explosão — o tamanho do pacote permitido para rajadas de dados que excedem o limite de largura de banda.
O policiamento usa um algoritmo para aplicar um limite na largura de banda média, ao mesmo tempo em que permite rajadas de até um valor máximo especificado. Você pode usar o policiamento para definir classes específicas de tráfego em uma interface e aplicar um conjunto de limites de taxa a cada classe. Depois de nomear e configurar um policial, ele é armazenado como um modelo. Em seguida, você pode aplicar o policial em uma configuração de interface ou, apenas para limitar a taxa de tráfego filtrado por pacotes, em uma configuração de filtro de firewall.
Apenas para um termo de filtro de firewall IPv4, você também pode especificar uma ação específica de prefixo como uma ação não sufocante que aplica um policiador aos pacotes combinados. Uma ação específica de prefixo aplica critérios adicionais de correspondência nos pacotes combinados com filtro com base em bits de prefixo de endereço especificados e, em seguida, associa os pacotes combinados com um contador e instância policial para esse termo de filtro ou para todos os termos no filtro de firewall.
Para aplicar um policiador ou uma ação de prefixo ao tráfego filtrado por pacotes, você pode usar o seguinte filtro de firewall para ações não sufocantes:
policer policer-name
three-color-policer (single-rate | two-rate) policer-name
prefix-action action-name
O comprimento do pacote que um policial considera depende da família de endereços do filtro de firewall. Veja Entendendo o comprimento do quadro para policiamento de pacotes.