Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Puntos de aplicación de filtro de firewall sin estado

Después de definir el filtro de firewall, debe aplicarlo a un punto de aplicación. Estos puntos de aplicación incluyen interfaces lógicas, interfaces físicas, interfaces de enrutamiento e instancias de enrutamiento.

En la mayoría de los casos, puede aplicar un filtro de firewall como filtro de entrada o como filtro de salida , o como ambos al mismo tiempo. Los filtros de entrada actúan sobre los paquetes que se reciben en la interfaz especificada, mientras que los filtros de salida actúan sobre los paquetes que se transmiten a través de la interfaz especificada.

Normalmente, se aplica un filtro con varios términos a una única interfaz lógica, al tráfico entrante, saliente o a ambos. Sin embargo, hay ocasiones en las que es posible que desee encadenar varios filtros de firewall (con uno o varios términos) y aplicarlos a una interfaz. Utilice una lista de entradas para aplicar varios filtros de firewall al tráfico entrante en una interfaz. Utilice una lista de salida para aplicar varios filtros de firewall al tráfico saliente en una interfaz. Puede incluir hasta 16 filtros en una lista de entrada o en una lista de salida.

No hay límite para el número de filtros y contadores que puede establecer, pero hay algunas consideraciones prácticas. Más contadores requieren más términos, y un gran número de términos puede tardar mucho tiempo en procesarse durante una operación de confirmación. Sin embargo, los filtros con más de 4000 términos y contadores se han implementado con éxito.

Tabla 1 Describe cada punto al que se puede aplicar un filtro de firewall. Para cada punto de aplicación, la tabla describe los tipos de filtros de firewall admitidos en ese punto, el nivel de jerarquía del enrutador (o conmutador) en el que se puede aplicar el filtro y cualquier limitación específica de la plataforma.

Tabla 1: Configuración del filtro de firewall sin estado y resumen de la aplicación

Tipo de filtro

Punto de aplicación

Restricciones

Filtro de firewall sin estado

Configure incluyendo la instrucción el nivel de jerarquía:filter filter-name[edit firewall]

filter filter-name;
Nota:

Si no incluye la instrucción, el filtro de firewall procesa el tráfico IPv4 de forma predeterminada.family

Interfaz lógica

Aplique en el nivel jerárquico incluyendo las instrucciones o :[edit interfaces interface-name unit unit-number family inet]input filter-nameoutput filter-name

filter {
    input filter-name;
    output filter-name;
}
Nota:

Un filtro configurado con la familia de protocolos implícitos no se puede incluir en una lista de filtros de entrada o de filtros de salida.inet

Nota:

En las FPC T4000 de tipo 5, un filtro conectado en el punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete establecido por un clasificador de capa 3 como DSCP, DSCP V6 y .inet-precedencempls-exp

Compatible con los siguientes enrutadores:

  • Enrutadores serie T

  • Enrutadores M320

  • Enrutadores M7i con CFEB mejorado (CFEB-e)

  • Enrutadores M10i con el CFEB-e mejorado

También es compatible con los siguientes concentradores de puertos modulares (MPC) de enrutadores de la serie MX:

  • MPC de 10 Gigabit Ethernet

  • MPC de cola de 60 Gigabit Ethernet

  • MPC de cola mejorada de 60 Gigabit Ethernet

  • MPC de 100 Gigabit Ethernet

  • También se admite en conmutadores de la serie EX

Filtro de firewall sin estado

Configure en el nivel de jerarquía incluyendo la siguiente instrucción:[edit firewall family family-name]

filter filter-name;

Puede ser cualquiera de las siguientes familias de protocolos:family-name

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Familia de protocolos en una interfaz lógica

Aplicar en el nivel jerárquico, incluyendo las instrucciones, , , o:[edit interfaces interface-name unit unit-number family family-name]inputinput-listoutputoutput-list

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

La familia de protocolos solo se admite en enrutadores de la serie MX.bridge

Filtro de firewall sin estado

Interfaz de circuito cerrado del motor de enrutamiento

  

Filtro de servicio

Configure en el nivel de jerarquía incluyendo la siguiente instrucción:[edit firewall family (inet | inet6)]

service-filter service-filter-name;

Familia o en una interfaz lógicainetinet6

Aplicar en el nivel de jerarquía mediante la instrucción para aplicar un filtro de servicio como filtro de entrada o salida a un conjunto de servicios:[edit interfaces interface-name unit unit-number family (inet | inet6)]service-set 

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
}

Configure un conjunto de servicios en el nivel de jerarquía incluyendo la instrucción siguiente:[edit services]

 service-set service-set-name;

Solo se admite en PIC de servicios adaptables (AS) y multiservicios (MS).

Filtro posterior al servicio

Configure en el nivel de jerarquía incluyendo la siguiente instrucción:[edit firewall family (inet | inet6)]

service-filter service-filter-name;

Familia o en una interfaz lógicainetinet6

Aplique en el nivel de jerarquía incluyendo la instrucción para aplicar un filtro de servicio como filtro de entrada:[edit interfaces interface-name unit unit-number family (inet | inet6)]post-service-filter

service {
    input {
        post-service-filter filter-name;
    }
}

Se aplica un filtro posterior al servicio al tráfico que regresa a la interfaz de servicios después del procesamiento del servicio. El filtro sólo se aplica si se configura y selecciona un conjunto de servicios.

Filtro simple

Configure en el nivel de jerarquía incluyendo la siguiente instrucción:[edit firewall family inet]

simple-filter filter-name

Familia en una interfaz lógicainet

Aplique en el nivel de jerarquía incluyendo la siguiente instrucción:[edit interfaces interface-name unit unit-number family inet]

simple-filter simple-filter-name;

Los filtros simples solo se pueden aplicar como filtros de entrada.

Solo es compatible con las siguientes plataformas:

  • PIC de cola inteligente Gigabit Ethernet (IQ2) en los enrutadores serie M120, M320 y T.

  • Concentradores de puerto denso de cola mejorados (EQ DPC) en enrutadores de la serie MX (y conmutadores de la serie EX).

Filtro de comprobación del reenvío inverso de paquetes (RPF)

Se configura en el nivel de jerarquía mediante la siguiente instrucción:[edit firewall family (inet | inet6)]

filter filter-name;

Familia o en una interfaz lógicainetinet6

Aplique en el nivel de jerarquía incluyendo la siguiente instrucción:[edit interfaces interface-name unit unit-number family (inet | inet6)]

rpf-check fail-filter filter-name

para aplicar el filtro de firewall sin estado como filtro de comprobación de RPF.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Solo es compatible con enrutadores de la serie MX y conmutadores de la serie EX.