Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Descripción de la planificación de filtros de cortafuegos

 

Antes de crear un filtro de Firewall y aplicarlo a una interfaz, determine qué debe hacer el filtro firewall y cómo usar las condiciones y acciones de coincidencia para lograr sus objetivos. Debe comprender cómo se colocan los paquetes para que coincidan con las condiciones, las acciones predeterminadas y las configuradas del filtro de firewall, y la colocación correcta del filtro de Firewall.

Puede configurar y aplicar no más de un filtro de Firewall por puerto, VLAN, o interfaz de enrutador, por dirección. Los siguientes límites se aplican por el número de términos de filtro de Firewall permitido por filtro en varios modelos de conmutador:

  • En los conmutadores EX3300, el número de términos por filtro no puede ser superior a 1436.

  • En conmutadores super3200 y EX4200, el número de términos por filtro no puede ser superior a 7042.

  • En los conmutadores EX2300, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para filtros de cortafuegos configurados en una interfaz de puerto, VLAN y capa 3:

    • Para el tráfico de entrada:

      • 256 términos para filtros de cortafuegos configurados en un puerto

      • 256 términos para filtros de cortafuegos configurados en una VLAN

      • 256 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 256 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

    • Para el tráfico de salida:

      • 512 términos para filtros de cortafuegos configurados en un puerto

      • 128 términos para filtros de cortafuegos configurados en una VLAN

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

    En los conmutadores EX3400, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para filtros de cortafuegos configurados en una interfaz de puerto, VLAN y capa 3:

    • Para el tráfico de entrada:

      • 512 términos para filtros de cortafuegos configurados en un puerto

      • 512 términos para filtros de cortafuegos configurados en una VLAN

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

    • Para el tráfico de salida:

      • 512 términos para filtros de cortafuegos configurados en un puerto

      • 256 términos para filtros de cortafuegos configurados en una VLAN

      • 1024 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 1024 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

    En los conmutadores EX4300, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para los archivadores Firewall configurados en una interfaz de puerto, VLAN y capa 3:

    • Para el tráfico de entrada:

      • 3500 términos para filtros de cortafuegos configurados en un puerto

      • 3500 términos para filtros de cortafuegos configurados en una VLAN

      • 7000 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 3500 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota

      El límite de la memoria direccionable a dirección (TCAM) de contenido ternario para el tráfico de entrada en el conmutador EX4300 es 256 entradas.

    • Para el tráfico de salida:

      • 512 términos para filtros de cortafuegos configurados en un puerto

      • 256 términos para filtros de cortafuegos configurados en una VLAN

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota

      Sólo puede configurar el número máximo de términos al configurar un tipo de filtro de cortafuegos (puerto, VLAN o enrutador (Layer 3) Firewall Filter) en el conmutador y cuando no está activado el control de tormentas en ninguna interfaz del conmutador.

  • En los conmutadores EX4500 y EX4550, el número de términos por filtro no puede ser superior a 1200.

  • En los conmutadores EX6200, el número de términos por filtro no puede ser superior a 1400.

  • En los conmutadores EX8200, el número de términos por filtro no puede ser superior a 32.768.

Además, intente ser conservador en el número de términos (reglas) que se incluyen en cada filtro de firewall, ya que una gran cantidad de términos requiere tiempo de procesamiento más largo durante una confirmación, además de hacer más difícil las pruebas y los problemas de los filtros de Firewall. De manera similar, aplicar filtros de firewall en muchas interfaces de enrutadores y conmutadores puede dificultar las pruebas y solucionar problemas de las reglas de dichos filtros.

Antes de configurar y aplicar filtros de firewall, responda a las siguientes preguntas para cada uno de estos filtros de Firewall:

  1. ¿Cuál es el propósito del filtro Firewall?

    Por ejemplo, puede usar un filtro de Firewall para limitar el tráfico a las direcciones MAC de origen y destino, a protocolos específicos o a determinadas velocidades de datos, o bien para evitar ataques de denegación de servicio (DoS).

  2. ¿Cuáles son las condiciones de coincidencia adecuadas?
    1. Determine los campos de encabezado de paquetes que debe contener el paquete para una coincidencia. Entre los campos posibles se incluyen:

      • Campos—de encabezado de capa 2 direcciones MAC de origen y destino, etiqueta dot1q, tipo de Ethernet y VLAN

      • Campos—de encabezado de capa 3 direcciones IP de origen y destino, protocolos y opciones IP (prioridad de IP, indicadores de fragmentación IP, tipo TTL)

      • Campos—de encabezado de TCP puertos e indicadores de origen y destino

      • Campos—de encabezado de ICMP tipo de paquete y código

    2. Determine el puerto, la VLAN o la interfaz de enrutador en la que se recibió el paquete.
  3. ¿Cuáles son las acciones apropiadas que deben llevarse a cabo si se produce una coincidencia?

    Acciones que pueden llevarse a cabo si se produce una coincidencia son aceptar, descartar y reenviar a una instancia de enrutamiento.

  4. ¿Qué otros modificadores de acciones podrían ser necesarios?

    Determine si es necesario realizar acciones adicionales si un paquete coincide con una condición de coincidencia; por ejemplo, puede especificar un modificador de acción para contar, analizar o paquetes policiales.

  5. ¿En qué interfaz debe aplicarse el filtro de cortafuegos?

    Empiece con las siguientes directrices básicas:

    • Si todos los paquetes que entran en un puerto deben exponerse al filtrado, utilice filtros de Firewall de puerto.

    • Si es necesario filtrar todos los paquetes que tienen puentes, utilice filtros de cortafuegos VLAN.

    • Si es necesario filtrar todos los paquetes que se enrutan, utilice filtros de firewall del enrutador.

    Antes de elegir la interfaz en la que se va a aplicar un filtro de firewall, comprenda cómo puede afectar esa ubicación al flujo de tráfico de otras interfaces. En general, aplique un filtro de firewall que filtre las direcciones IP de origen y destino, los protocolos IP o—la información de protocolo, como los tipos de mensajes ICMP,—y los números de puerto TCP y UDP más cercanos a los dispositivos de origen. Sin embargo, por lo general aplica un filtro de firewall que filtre únicamente en una dirección IP de origen más cercana a los dispositivos de destino. Cuando se aplica demasiado cerca del dispositivo de origen, un filtro de firewall que filtre únicamente en una dirección IP de origen podría impedir que ese dispositivo de origen tenga acceso a otros servicios que están disponibles en la red.

    Nota

    Los filtros del firewall de salida no afectan al flujo de paquetes de control generados localmente desde el motor de enrutamiento.

  6. ¿En qué dirección se debe aplicar el filtro de cortafuegos?

    Puede aplicar filtros de cortafuegos a los puertos del conmutador para filtrar paquetes que estén entrando en un puerto. Puede aplicar filtros de cortafuegos a VLANs y interfaces de capa 3 (enrutadas) para filtrar paquetes que estén entrando o saliendo en una VLAN o interfaz enrutada. Normalmente, puede configurar distintos conjuntos de acciones para el tráfico que entra en una interfaz a la que configura para el tráfico que sale de una interfaz.