Puntos de aplicación de filtro de firewall sin estado
Después de definir el filtro de firewall, debe aplicarlo a un punto de aplicación. Estos puntos de aplicación incluyen interfaces lógicas, interfaces físicas, interfaces de enrutamiento e instancias de enrutamiento.
En la mayoría de los casos, puede aplicar un filtro de firewall como filtro de entrada o como filtro de salida , o como ambos al mismo tiempo. Los filtros de entrada actúan sobre los paquetes que se reciben en la interfaz especificada, mientras que los filtros de salida actúan sobre los paquetes que se transmiten a través de la interfaz especificada.
Normalmente, se aplica un filtro con varios términos a una única interfaz lógica, al tráfico entrante, saliente o a ambos. Sin embargo, hay ocasiones en las que es posible que desee encadenar varios filtros de firewall (con uno o varios términos) y aplicarlos a una interfaz. Utilice una lista de entradas para aplicar varios filtros de firewall al tráfico entrante en una interfaz. Utilice una lista de salida para aplicar varios filtros de firewall al tráfico saliente en una interfaz. Puede incluir hasta 16 filtros en una lista de entrada o en una lista de salida.
No hay límite para el número de filtros y contadores que puede establecer, pero hay algunas consideraciones prácticas. Más contadores requieren más términos, y un gran número de términos puede tardar mucho tiempo en procesarse durante una operación de confirmación. Sin embargo, los filtros con más de 4000 términos y contadores se han implementado con éxito.
Tabla 1 Describe cada punto al que se puede aplicar un filtro de firewall. Para cada punto de aplicación, la tabla describe los tipos de filtros de firewall admitidos en ese punto, el nivel de jerarquía del enrutador (o conmutador) en el que se puede aplicar el filtro y cualquier limitación específica de la plataforma.
Tipo de filtro |
Punto de aplicación |
Restricciones |
---|---|---|
Filtro de firewall sin estado Configure incluyendo la instrucción el nivel de jerarquía: filter filter-name; Nota:
Si no incluye la instrucción, el filtro de firewall procesa el tráfico IPv4 de forma predeterminada. |
Interfaz lógica Aplique en el nivel jerárquico incluyendo las instrucciones o : filter { input filter-name; output filter-name; } Nota:
Un filtro configurado con la familia de protocolos implícitos no se puede incluir en una lista de filtros de entrada o de filtros de salida. Nota:
En las FPC T4000 de tipo 5, un filtro conectado en el punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete establecido por un clasificador de capa 3 como DSCP, DSCP V6 y . |
Compatible con los siguientes enrutadores:
También es compatible con los siguientes concentradores de puertos modulares (MPC) de enrutadores de la serie MX:
|
Filtro de firewall sin estado Configure en el nivel de jerarquía incluyendo la siguiente instrucción: filter filter-name; Puede ser cualquiera de las siguientes familias de protocolos:
|
Familia de protocolos en una interfaz lógica Aplicar en el nivel jerárquico, incluyendo las instrucciones, , , o: filter { input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } |
La familia de protocolos solo se admite en enrutadores de la serie MX. |
Filtro de firewall sin estado |
Interfaz de circuito cerrado del motor de enrutamiento |
|
Filtro de servicio Configure en el nivel de jerarquía incluyendo la siguiente instrucción: service-filter service-filter-name; |
Familia o en una interfaz lógica Aplicar en el nivel de jerarquía mediante la instrucción para aplicar un filtro de servicio como filtro de entrada o salida a un conjunto de servicios: service { input { service-set service-set-name service-filter filter-name; } output { service-set service-set-name service-filter filter-name; } } Configure un conjunto de servicios en el nivel de jerarquía incluyendo la instrucción siguiente:
|
Solo se admite en PIC de servicios adaptables (AS) y multiservicios (MS). |
Filtro posterior al servicio Configure en el nivel de jerarquía incluyendo la siguiente instrucción: service-filter service-filter-name; |
Familia o en una interfaz lógica Aplique en el nivel de jerarquía incluyendo la instrucción para aplicar un filtro de servicio como filtro de entrada: service { input { post-service-filter filter-name; } } |
Se aplica un filtro posterior al servicio al tráfico que regresa a la interfaz de servicios después del procesamiento del servicio. El filtro sólo se aplica si se configura y selecciona un conjunto de servicios. |
Filtro simple Configure en el nivel de jerarquía incluyendo la siguiente instrucción: simple-filter filter-name |
Familia en una interfaz lógica Aplique en el nivel de jerarquía incluyendo la siguiente instrucción: simple-filter simple-filter-name; |
Los filtros simples solo se pueden aplicar como filtros de entrada. Solo es compatible con las siguientes plataformas:
|
Filtro de comprobación del reenvío inverso de paquetes (RPF) Se configura en el nivel de jerarquía mediante la siguiente instrucción: filter filter-name; |
Familia o en una interfaz lógica Aplique en el nivel de jerarquía incluyendo la siguiente instrucción: rpf-check fail-filter filter-name para aplicar el filtro de firewall sin estado como filtro de comprobación de RPF. rpf-check { fail-filter filter-name; mode loose; } |
Solo es compatible con enrutadores de la serie MX y conmutadores de la serie EX. |