Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la planeación de filtros de firewall

Antes de crear un filtro de firewall y aplicarlo a una interfaz, determine qué desea que logre el filtro de firewall y cómo usar sus condiciones y acciones de coincidencia para lograr sus objetivos. Debe comprender cómo se combinan los paquetes para que coincidan con las condiciones, las acciones predeterminadas y configuradas del filtro de firewall y la ubicación correcta del filtro de firewall.

Puede configurar y aplicar no más de un filtro de firewall por puerto, VLAN o interfaz de enrutador, por dirección. Se aplican los siguientes límites al número de términos de filtro de firewall permitidos por filtro en varios modelos de conmutador:

  • En los conmutadores EX3300, el número de términos por filtro no puede superar los 1436.

  • En los conmutadores EX3200 y EX4200, el número de términos por filtro no puede superar los 7042.

  • En los conmutadores EX2300, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para filtros de firewall configurados en un puerto, VLAN e interfaz de capa 3:

    • Para el tráfico de entrada:

      • 256 términos para filtros de firewall configurados en un puerto

      • 256 términos para filtros de firewall configurados en una VLAN

      • 256 términos para los filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 256 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    • Para el tráfico de salida:

      • 512 términos para filtros de firewall configurados en un puerto

      • 128 términos para filtros de firewall configurados en una VLAN

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    En los conmutadores EX3400, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para los filtros de firewall configurados en un puerto, VLAN e interfaz de capa 3:

    • Para el tráfico de entrada:

      • 512 términos para filtros de firewall configurados en un puerto

      • 512 términos para filtros de firewall configurados en una VLAN

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    • Para el tráfico de salida:

      • 512 términos para filtros de firewall configurados en un puerto

      • 256 términos para filtros de firewall configurados en una VLAN

      • 1024 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 1024 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    En los conmutadores EX4300, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para los archivadores de firewall configurados en un puerto, VLAN e interfaz de capa 3:

    • Para el tráfico de entrada:

      • 3500 términos para filtros de firewall configurados en un puerto

      • 3500 términos para filtros de firewall configurados en una VLAN

      • 7000 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 3500 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota:

      El límite de memoria direccionable de contenido ternario (TCAM) para el tráfico de entrada en el conmutador EX4300 es de 256 entradas.

    • Para el tráfico de salida:

      • 512 términos para filtros de firewall configurados en un puerto

      • 256 términos para filtros de firewall configurados en una VLAN

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota:

      Puede configurar el número máximo de términos solo cuando configure un tipo de filtro de firewall (filtro de firewall de puerto, VLAN o enrutador (capa 3)) en el conmutador y cuando el control de tormentas no esté habilitado en ninguna interfaz del conmutador.

  • En los conmutadores EX4500 y EX4550, el número de términos por filtro no puede superar los 1200.

  • En los conmutadores EX6200, el número de términos por filtro no puede superar los 1400.

  • En los conmutadores EX8200, el número de términos por filtro no puede superar los 32.768.

Además, trate de ser conservador en el número de términos (reglas) que incluye en cada filtro de firewall, ya que un gran número de términos requiere un tiempo de procesamiento más largo durante una confirmación y también puede dificultar las pruebas y la solución de problemas del filtro de firewall. Del mismo modo, la aplicación de filtros de firewall en muchas interfaces de conmutadores y enrutadores puede dificultar las pruebas y la solución de problemas de las reglas de esos filtros.

Antes de configurar y aplicar filtros de firewall, responda a las siguientes preguntas para cada uno de esos filtros de firewall:

  1. ¿Cuál es el propósito del filtro de firewall?

    Por ejemplo, puede utilizar un filtro de firewall para limitar el tráfico a las direcciones MAC de origen y destino, protocolos específicos o determinadas velocidades de datos, o para evitar ataques de denegación de servicio (DoS).

  2. ¿Cuáles son las condiciones de coincidencia adecuadas?

    1. Determine los campos de encabezado de paquete que debe contener el paquete para una coincidencia. Los campos posibles incluyen:

      • Campos de encabezado de capa 2: direcciones MAC de origen y destino, etiqueta dot1q, tipo de Ethernet y VLAN

      • Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (prioridad de IP, indicadores de fragmentación de IP, tipo TTL)

      • Campos de encabezado TCP: puertos y indicadores de origen y destino

      • Campos de encabezado ICMP: tipo de paquete y código

    2. Determine el puerto, VLAN o interfaz de enrutador en el que se recibió el paquete.

  3. ¿Cuáles son las acciones apropiadas que se deben tomar si se produce una coincidencia?

    Las posibles acciones que se deben realizar si se produce una coincidencia son aceptar, descartar y reenviar a una instancia de enrutamiento.

  4. ¿Qué modificadores de acción adicionales podrían ser necesarios?

    Determinar si se requieren acciones adicionales si un paquete coincide con una condición de coincidencia; Por ejemplo, puede especificar un modificador de acción para contar, analizar o controlar paquetes.

  5. ¿En qué interfaz se debe aplicar el filtro de firewall?

    Comience con las siguientes pautas básicas:

    • Si todos los paquetes que entran en un puerto deben exponerse al filtrado, utilice filtros de firewall de puertos.

    • Si todos los paquetes que se puentean necesitan filtrado, utilice filtros de firewall VLAN.

    • Si todos los paquetes que se enrutan necesitan filtrado, utilice filtros de firewall del enrutador.

    Antes de elegir la interfaz en la que aplicar un filtro de firewall, comprenda cómo esa ubicación puede afectar el flujo de tráfico a otras interfaces. En general, aplique un filtro de firewall que filtre las direcciones IP de origen y destino, los protocolos IP o la información de protocolo, como los tipos de mensajes ICMP y los números de puerto TCP y UDP, más cercanos a los dispositivos de origen. Sin embargo, normalmente se aplica un filtro de firewall que filtra solo en una dirección IP de origen más cercana a los dispositivos de destino. Cuando se aplica demasiado cerca del dispositivo de origen, un filtro de firewall que filtra solo en una dirección IP de origen podría impedir que ese dispositivo de origen acceda a otros servicios que están disponibles en la red.

    Nota:

    Los filtros de firewall de salida no afectan al flujo de paquetes de control generados localmente desde el motor de enrutamiento.

  6. ¿En qué dirección se debe aplicar el filtro de firewall?

    Puede aplicar filtros de firewall a los puertos del conmutador para filtrar los paquetes que ingresan a un puerto. Puede aplicar filtros de firewall a las VLAN e interfaces de capa 3 (enrutadas) para filtrar paquetes que entran o salen de una VLAN o de una interfaz enrutada. Normalmente, se configuran conjuntos de acciones diferentes para el tráfico que entra en una interfaz que los que se configuran para el tráfico que sale de una interfaz.