Descripción general del filtro de firewall sin estado
Control de flujo de paquetes
Para influir en qué paquetes pueden transitar por el sistema y aplicar acciones especiales a los paquetes según sea necesario, puede configurar filtros de firewall sin estado. Un firewall sin estado especifica una secuencia de una o más reglas de filtrado de paquetes, denominadas términos de filtro. Un término de filtro especifica las condiciones de coincidencia que se utilizarán para determinar una coincidencia y las acciones que se deben realizar en un paquete coincidente. Un filtro de firewall sin estado le permite manipular cualquier paquete de una familia de protocolos determinada, incluidos los paquetes fragmentados, en función de la evaluación de los campos de encabezado de capa 3 y capa 4. Normalmente, se aplica un filtro de firewall sin estado a una o varias interfaces que se han configurado con características de familia de protocolos. Puede aplicar un filtro de firewall sin estado a una interfaz de entrada, una interfaz de salida o ambas.
- Control de flujo de paquetes de datos
- Control de flujo de paquetes local
- Control de flujo de paquetes local evolucionado de Junos OS
Control de flujo de paquetes de datos
Para controlar el flujo de paquetes de datos que transitan por el dispositivo a medida que los paquetes se reenvían desde un origen a un destino, puede aplicar filtros de firewall sin estado a la entrada o salida de las interfaces físicas del enrutador o conmutador.
Para exigir un ancho de banda especificado y un tamaño máximo de ráfaga para el tráfico enviado o recibido en una interfaz, puede configurar políticas de aplicación. Los aplicadores de políticas son un tipo especializado de filtro de firewall sin estado y un componente principal de la clase de servicio (CoS) de Junos OS.
Control de flujo de paquetes local
Para controlar el flujo de paquetes locales entre las interfaces físicas y el motor de enrutamiento, puede aplicar filtros de firewall sin estado a la entrada o salida de la interfaz de circuito cerrado. La interfaz de circuito cerrado () es la interfaz del motor de enrutamiento y no contiene paquetes de datos.lo0
Control de flujo de paquetes local evolucionado de Junos OS
En Junos OS Evolved, puede tener dos filtros diferentes: uno para el tráfico de control de red (tráfico de circuito cerrado) y otro para el tráfico de administración. Con dos filtros, tienes más flexibilidad. Por ejemplo, puede configurar un filtro más estricto en el tráfico de la interfaz de administración que en el tráfico de control de red.
El filtrado de administración utiliza filtros de motor de enrutamiento basados en netfilters, un marco proporcionado por el kernel de Linux. Esta diferencia da como resultado que solo se admitan ciertas coincidencias y acciones.Consulte Filtros de firewall del motor de enrutamiento para obtener más información.https://www.juniper.net/documentation/us/en/software/junos/overview-evo/topics/concept/evo-top-differences.html#top-differences-between-junos-os-evolved-and-junos-os__section-routing-engine-firewall-filters
Debe agregar explícitamente el filtro en la interfaz de administración, ya que para Junos OS Evolved, el filtro lo ya no se aplica al tráfico de administración, como es el caso de Junos OS.
Filtros de firewall sin estado y con estado
Un filtro de firewall sin estado, también conocido como lista de control de acceso (ACL), no inspecciona el tráfico de forma estatal. En su lugar, evalúa el contenido de los paquetes estáticamente y no realiza un seguimiento del estado de las conexiones de red. Por el contrario, un filtro de firewall con estado utiliza información de estado de conexión derivada de otras aplicaciones y comunicaciones pasadas en el flujo de datos para tomar decisiones de control dinámico.
En la Guía del usuario Políticas de enrutamiento, filtros de firewall y políticas de tráfico se describen los filtros de firewall sin estado.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Propósito de los filtros de firewall sin estado
El propósito básico de un filtro de firewall sin estado es mejorar la seguridad mediante el uso del filtrado de paquetes. El filtrado de paquetes le permite inspeccionar los componentes de los paquetes entrantes o salientes y, a continuación, realizar las acciones que especifique en los paquetes que coincidan con los criterios especificados. El uso típico de un filtro de firewall sin estado es proteger los procesos y recursos del motor de enrutamiento de paquetes maliciosos o que no son de confianza.