Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la planeación del filtro de firewall

Antes de crear un filtro de firewall y aplicarlo, determine qué desea que logre el filtro y cómo usar sus condiciones y acciones de coincidencia para lograr sus objetivos. Es importante que comprenda cómo coinciden los paquetes, las acciones predeterminadas y configuradas del filtro de firewall y dónde aplicar el filtro de firewall.

No puede aplicar más de un filtro de firewall por interfaz de enrutador por dirección (entrada y salida). Por ejemplo, para una interfaz determinada puede aplicar como máximo un filtro en la dirección de entrada y un filtro en la dirección de salida. Debe intentar ser conservador en el número de términos (reglas) que incluye en cada filtro de firewall, ya que un gran número de términos requiere un tiempo de procesamiento más largo durante una operación de confirmación y puede dificultar las pruebas y la solución de problemas.

Antes de configurar y aplicar filtros de firewall, responda las siguientes preguntas para cada uno de ellos:

  1. ¿Cuál es el propósito del filtro?

    Por ejemplo, el sistema puede colocar paquetes en función de la información del encabezado, limitar la velocidad del tráfico, clasificar los paquetes en clases de reenvío, registrar y contar paquetes o evitar ataques de denegación de servicio.

  2. ¿Cuáles son las condiciones de coincidencia adecuadas? Determine los campos de encabezado de paquete que debe contener el paquete para una coincidencia. Los campos posibles incluyen:

    • Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (prioridad de IP, indicadores de fragmentación de IP o tipo TTL).

    • Campos de encabezado TCP: puertos y indicadores de origen y destino.

    • Campos de encabezado ICMP: tipo de paquete y código.

  3. ¿Cuáles son las acciones apropiadas que se deben tomar si se produce una coincidencia?

    El sistema puede aceptar, descartar o rechazar paquetes.

  4. ¿Qué modificadores de acción adicionales podrían ser necesarios?

    Por ejemplo, puede configurar el sistema para reflejar (copiar) paquetes en un puerto especificado, contar paquetes coincidentes, aplicar administración de tráfico o controlar paquetes.

  5. ¿En qué interfaz de capa 3 se debe aplicar el filtro de firewall?

    Antes de elegir la interfaz en la que aplicar un filtro de firewall, comprenda cómo esa ubicación puede afectar el flujo de tráfico a otras interfaces. En general, aplique un filtro cerca del dispositivo de origen si el filtro coincide con las direcciones IP de origen o destino, los protocolos IP o la información del protocolo, como los tipos de mensajes ICMP y los números de puerto TCP o UDP. Sin embargo, debe aplicar un filtro cerca del dispositivo de destino si el filtro solo coincide con una dirección IP de origen. Cuando se aplica un filtro demasiado cerca del dispositivo de origen, el filtro podría impedir que ese dispositivo de origen tenga acceso a otros servicios que están disponibles en la red.

  6. ¿En qué dirección se debe aplicar el filtro de firewall?

    Normalmente, se configuran acciones diferentes para el tráfico que entra en una interfaz que para el tráfico que sale de una interfaz.

  7. ¿Cuántos filtros debo crear?