Descripción de cómo los filtros de firewall prueban el protocolo de un paquete
Al examinar las condiciones de coincidencia, el sistema operativo Junos de Juniper Networks (Junos OS) para conmutadores Ethernet de la serie EX de Juniper Networks solo prueba el campo especificado. El software no prueba implícitamente el encabezado IP para determinar si un paquete es un paquete IP. Por lo tanto, en algunos casos, debe especificar condiciones de coincidencia de campo junto con otras condiciones de coincidencia para asegurarse de que los filtros realizan las coincidencias esperadas.protocol
Si especifica una condición de coincidencia de protocolo o una coincidencia del campo Tipo ICMP o Indicadores TCP, no hay ninguna coincidencia de protocolo implícita. Para las siguientes condiciones de coincidencia, debe especificar explícitamente la condición de coincidencia de protocolo en el mismo término:
: especifique la coincidencia o .destination-portprotocol tcpprotocol udp
: especifique la coincidencia o .source-portprotocol tcpprotocol udp
Si no especifica el protocolo al utilizar los campos anteriores, diseñe los filtros cuidadosamente para asegurarse de que cumplen las coincidencias esperadas. Por ejemplo, si especifica una coincidencia de , el conmutador coincide de forma determinística con cualquier paquete que tenga un valor de en el campo de dos bytes que está dos bytes más allá del final del encabezado IP sin comprobar nunca el campo de protocolo IP.destination-port ssh22