Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción de varios filtros de Firewall aplicados como una lista

 

En este tema se trata la siguiente información:

El desafío: Simplificar la administración de filtros de Firewall a gran escala

Normalmente, se aplica un filtro de Firewall único a una interfaz en la dirección de entrada o de salida o ambos. Sin embargo, es posible que este enfoque no sea práctico cuando hay un dispositivo configurado con muchas interfaces. En los entornos de gran tamaño, se desea disponer de la flexibilidad de poder modificar los términos de filtrado comunes a varias interfaces sin tener que volver a configurar el filtro de todas las interfaces afectadas.

En general, la solución consiste en aplicar una “” estructura encadenada eficazmente de varios filtros de Firewall a una sola interfaz. Los términos de filtrado se dividen en varios filtros de cortafuegos, cada uno de los cuales realiza una tarea de filtrado. A continuación, puede elegir qué tareas de filtrado desea llevar a cabo para una interfaz dada y aplicar las tareas de filtrado a dicha interfaz. De este modo, solo se administra la configuración de una tarea de filtrado en un único filtro de Firewall.

El marco de políticas de Junos OS ofrece dos opciones para administrar la aplicación de varios filtros de Firewall independientes a interfaces de enrutadores individuales. Una opción es aplicar varios filtros como una sola lista de entrada o una lista de resultados. La otra opción es hacer referencia a un filtro de Firewall desde dentro del término de otro filtro de Firewall. Esta opción no es compatible con el enrutador PTX10003.

Una solución: Aplicar listas de filtros de cortafuegos

La manera más sencilla de evitar configurar los términos de filtrado de duplicados comunes a varios filtros de Firewall consiste en configurar varios filtros de firewall y, a continuación, aplicar una lista personalizada de filtros a cada interfaz. El sistema operativo Junos utiliza los—filtros en el orden en el que aparecen en la—lista para evaluar los paquetes que transitan por la interfaz. Si necesita modificar los términos de filtrado compartidos en varias interfaces, solo tiene que modificar un filtro de firewall que contenga dichos términos.

Configuración de varios filtros para listas de filtros

La configuración de filtros de firewall que se aplicarán en listas únicas para cada interfaz de enrutador implica separar las reglas de filtrado de paquetes compartidas de las reglas de filtro de paquetes específicas de la interfaz de la siguiente manera:

  • Unique filters—Para cada conjunto de reglas de filtrado de paquetes únicas para una interfaz específica, configure un filtro de Firewall independiente que contenga solo los términos de filtrado de la interfaz.

  • Shared filters—Para cada conjunto de reglas de filtrado de paquetes común en dos o más interfaces, considere la posibilidad de configurar un filtro de Firewall independiente que contenga los términos de filtrado compartido.

    Sugerencia

    Cuando se planea aplicar filtros de cortafuegos de gran número mediante listas de filtros, los administradores suelen organizar los filtros compartidos por criterios de filtrado, por los servicios a los que se suscriben los clientes o por el propósito de las interfaces.

Aplicación de listas de filtros a una interfaz de enrutador

La aplicación de una lista de filtros de cortafuegos a una interfaz es una cuestión de seleccionar los filtros que cumplen los requisitos de filtrado de paquetes de la interfaz. Para cada interfaz, puede incluir una input-list instrucción or output-list (o ambas) en filter Stanza para especificar los filtros relevantes en el orden en que se van a utilizar:

  • Incluya todos los filtros que contengan términos de filtrado comunes relevantes para la interfaz.

  • Incluya el filtro que contenga únicamente los términos de filtrado exclusivos de la interfaz.

Nombres específicos de interfaces para listas de filtros

Dado que una lista de filtros se configura en una interfaz, el filtro concatenado resultante es específico de la interfaz.

Nota

Cuando se configura una lista de filtros en una interfaz, el filtro concatenado resultante depende de la interfaz, independientemente de si los filtros de Firewall de la lista de filtros se configuran como específicos de la interfaz o no. Además, la creación de instancias de filtros de Firewall de interfaz specfic no solo crea instancias independientes de ningún contador de filtro de firewall, sino que también separa instancias de cualquier acción de políticas. Cualquier policía aplicada mediante una acción especificada en la configuración del filtro del cortafuegos se aplica por separado a cada interfaz del grupo de interfaces.

El nombre generado por el sistema de un filtro específico de una interfaz consiste en el nombre completo de la ’-i’ interfaz, seguido de una lista ’-o’ de filtros de entrada o de una lista de filtros de salida.

  • Input filter list name—Por ejemplo, si input-list utiliza la instrucción para aplicar una cadena de filtros a la interfaz ge-1/3/0.0lógica, el Junos sistema operativo utiliza el siguiente nombre para el filtro:

  • Output filter list name—Por ejemplo, si utiliza la output-list instrucción para aplicar una cadena de filtros a la interfaz fe-0/1/2.0lógica, el Junos sistema operativo utiliza el siguiente nombre para el filtro:

Nota

Por lo que Junos OS ha evolucionado, los nombres de filtro son distintos. Por ejemplo, si los filtros se enlazan a la familia inet, los filtros se denominarán ge-1/3/0/0-inet-i y fe-0/1/2.0-inet-o.

Puede utilizar el nombre específico de una interfaz de una lista de filtros cuando escribe una Junos comando del modo operativo del SO que especifica un nombre de filtro de Firewall.

Cómo evaluar listas de filtros los paquetes cuando el término coincidente incluye acciones de finalización o de término siguiente 

El dispositivo evalúa un paquete secuencialmente con los filtros de una lista, comenzando por el primer filtro de la lista hasta que se haya producido una acción de terminación o hasta que se descarte el paquete de forma implícita.

Tabla 1describe cómo una lista de filtros de Firewall evalúa un paquete basándose en si el término coincidente especifica una acción de terminación next term y la acción. La next term acción no es ni una acción de terminación ni una acción de no terminación, sino una acción de control de flujo  .

Tabla 1: Comportamiento de lista de filtros de Firewall

Acciones  de filtro de Firewall incluidas en el término coincidente

Descripción del término

Comportamiento del filtrado de paquetes

Anula

siguiente término

El término coincidente incluye una acción de terminación (como discard) pero no la acción next term

El dispositivo ejecuta la acción de finalización. No hay ningún término posterior en el filtro y no se utilizan los filtros subsiguientes de la lista para evaluar el paquete.

El término coincidente incluye la next term acción, pero no incluye ninguna acción de terminación.

El dispositivo ejecuta cualquier acción de no terminación y, a continuación, el dispositivo evalúa el paquete según el siguiente término del filtro o el siguiente filtro de la lista.

Nota: En Junos OS con Linux, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

El término coincidente no incluye ninguna acción next term ni acciones de terminación.

El dispositivo ejecuta cualquier acción de no terminación y, a continuación, el dispositivo acepta implícitamente el paquete. Dado que accept la acción es una acción de terminación, no se utilizarán los siguientes términos en el filtro, ni los filtros subsiguientes de la lista para evaluar el paquete.

Para obtener información sobre cómo terminar acciones, consulte Firewall Filter Terminating Actions.

Nota

No puede configurar la next term acción con una acción de terminación en el mismo término de filtro de Firewall.

Cómo evalúa listas de filtros los paquetes cuando incluye filtros de Firewall IP y independiente de protocolo

En una interfaz única asociada con un filtro de Firewall independientefamily anydel Protocolo () y un filtro de Firewallfamily inet específico family inet6del Protocolo (o) simultáneamente, se ejecuta primero el filtro de Firewall independiente del protocolo.

La acción de terminación del primer filtro determina si el segundo filtro también evalúa el paquete:

  • Si el primer filtro termina con la ejecución de la accept acción, el segundo filtro también evalúa el paquete.

  • Si el primer filtro termina sin ningún término que coincida con el paquete (una acción implícita discard ), el segundo filtro también evalúa el paquete.

  • Si el primer filtro termina mediante la ejecución de una acción explícita discard , el segundo filtro no evalúa el paquete.

El enrutador de PTX10003 no es compatible con una combinación de filtros independientes de Protocolo ni con ningún otro filtro en listas de filtros.