Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de varios filtros de firewall en una configuración anidada

El desafío: Simplifique la administración de filtros de firewall a gran escala

Normalmente, se aplica un único filtro de firewall a una interfaz en la dirección de entrada o salida, o en ambas. Sin embargo, este enfoque puede no ser práctico cuando tiene un enrutador (o conmutador) configurado con muchas, incluso cientos de interfaces. En un entorno de esta escala, desea la flexibilidad de poder modificar los términos de filtrado comunes a varias interfaces sin tener que volver a configurar el filtro de cada interfaz afectada.

En general, la solución es aplicar una estructura efectivamente "encadenada" de múltiples filtros de firewall sin estado a una sola interfaz. Los términos de filtrado se dividen en varios filtros de firewall configurados para poder aplicar un filtro único a cada interfaz de enrutador (o conmutador), pero también aplicar filtros comunes a varias interfaces de enrutador (o conmutador) según sea necesario. El marco de políticas de Junos OS ofrece dos opciones para administrar la aplicación de varios filtros de firewall independientes a interfaces de enrutador (o conmutador) individuales. Una opción es aplicar varios filtros como una sola lista de entrada o lista de salida. La otra opción es hacer referencia a un filtro de firewall sin estado desde el término de otro filtro de firewall sin estado.

Una solución: Configurar referencias anidadas a filtros de firewall

La forma más estructurada de evitar configurar términos de filtrado duplicados comunes a varios filtros de firewall es configurar varios filtros de firewall para que cada filtro incluya los términos de filtrado compartidos haciendo referencia a un filtro independiente que contenga los términos de filtrado comunes. Junos OS utiliza los términos de filtro (en el orden en que aparecen en la definición de filtro) para evaluar los paquetes que transitan por la interfaz. Si necesita modificar términos de filtrado compartidos entre varias interfaces, solo necesita modificar un filtro de firewall.

Nota:

De manera similar al enfoque alternativo (aplicar una lista de filtros de firewall), la configuración de un filtro de firewall anidado combina varios filtros de firewall en una nueva definición de filtro de firewall.

Configuración de filtros de firewall anidados

La configuración de un filtro de firewall anidado para cada interfaz de enrutador (o conmutador) implica separar las reglas de filtrado de paquetes compartidas de las reglas de filtrado de paquetes específicas de la interfaz de la siguiente manera:

  • Para cada conjunto de reglas de filtrado de paquetes comunes en varias interfaces, configure un filtro de firewall independiente que contenga los términos de filtrado compartidos.

  • Para cada interfaz de enrutador (o conmutador), configure un filtro de firewall independiente que contenga:

    • Todos los términos de filtrado exclusivos de esa interfaz.

    • Un término de filtrado adicional que incluye una referencia al filtro de firewall que contiene los términos de filtrado comunes.filter

Aplicación de filtros de firewall anidados a una interfaz de enrutador o conmutador

La aplicación de filtros de firewall anidados no difiere de la aplicación de un filtro de firewall no anidado. Para cada interfaz, puede incluir una instrucción o (o ambas) dentro de la estrofa para especificar el filtro de firewall anidado adecuado.inputoutputfilter

Al aplicar filtros de firewall anidados a una interfaz, los términos de filtrado compartidos y los filtros de firewall específicos de la interfaz se aplican a través de un único filtro de firewall anidado que incluye otros filtros a través de la instrucción dentro de un término de filtrado independiente.filter

Nota:

Confirmar, comprobar y confirmar no fallar para filtros anidados no compatibles. Los filtros anidados no compatibles son las combinaciones de filtros que no se mencionan en el comando vty show jexpr dfw filter-types.

Temas relacionados