Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de los filtros de firewall (serie QFX)

Los filtros de firewall, a veces denominados listas de control de acceso (ACL), proporcionan reglas que definen si se aceptan o descartan paquetes que transitan por una interfaz. Si se acepta un paquete, puede configurar más acciones en el paquete, como el marcado de clase de servicio (CoS) (agrupar tipos similares de tráfico y tratar cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y la vigilancia del tráfico (controlar la tasa máxima de tráfico enviado o recibido).

Puede configurar filtros de firewall para determinar dónde aceptar o descartar un paquete antes de que entre o salga de un puerto, VLAN, CCC de capa 2, interfaz de capa 3 (enrutada), interfaz VLAN enrutada (RVI) o interfaz MPLS.

Se aplica un filtro de firewall de entrada (entrada) a los paquetes que ingresan a una interfaz o VLAN, y un filtro de firewall de salida (salida) a los paquetes que salen de una interfaz o VLAN.

Nota:

Los aplicadores de políticas en el puerto de red, las capas 2 y 3 o las interfaces IRB no vigilan el tráfico dirigido al host. Pero si desea evitar ataques DDoS, puede crear un filtro de firewall en el lo0 que proteja el motor de enrutamiento.

Dónde puedes aplicar filtros

Después de configurar el filtro de firewall, puede aplicarlo a lo siguiente:

  • Puerto: filtra los puertos del sistema de tránsito de tráfico de capa 2.

  • VLAN: filtra y proporciona control de acceso para los paquetes de capa 2 que entran en una VLAN, se puentean dentro de una VLAN o salen de una VLAN.

  • Interfaz de capa 3 (enrutada): filtra el tráfico en las interfaces IPv4 e IPv6, las interfaces VLAN enrutadas (RVI) y la interfaz de circuito cerrado. La interfaz de circuito cerrado filtra el tráfico enviado al propio conmutador o generado por el conmutador.

  • Interfaz CCC de capa 2: filtros Interfaces de conexión cruzada de circuitos (CCC) de capa 2.

  • MPLS: filtra interfaces MPLS.

También puede aplicar un filtro de firewall a una interfaz de administración (por ejemplo, me0) en un conmutador independiente QFX y EX4600. No puede aplicar un filtro a una interfaz de administración en un sistema QFX3000-G o QFX3000-M.

Nota:

Solo puede aplicar un filtro de firewall a un puerto, VLAN o interfaz CCC de capa 2 para una dirección determinada. Por ejemplo, para la interfaz ge-0/0/6.0, puede aplicar un filtro para la dirección de entrada y otro para la dirección de salida.

  • (Serie QFX) A partir de Junos OS versión 13.2X51-D15, puede aplicar un filtro a una interfaz de circuito cerrado en la dirección de salida.

  • (QFX10000) A partir de Junos OS versión 18.2R1, puede aplicar filtros de firewall de entrada y salida con y como acciones de policía en interfaces de circuito de capa 2.countdiscard

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir de Junos OS versión 19.2R1, puede aplicar las condiciones , , y hacer coincidir en la dirección de salida en interfaces IPv4 e IPv6.interfaceforwarding-classloss-priority

Nota:

Los conmutadores de las series EX4600, QFX5000 y QFX5000 EVO no dependen de la coincidencia de VRF para los filtros de circuito cerrado configurados en diferentes instancias de enrutamiento. Los filtros de circuito cerrado por instancia de enrutamiento (como lo0.100, lo0.103, lo0.105) no son compatibles y pueden provocar un comportamiento impredecible. Se recomienda aplicar únicamente el filtro de circuito cerrado (lo0.0) a la instancia de enrutamiento principal.

Qué constituye un filtro de firewall

Cuando se configura un filtro de firewall, se define el tipo de dirección de familia (conmutación Ethernet, inet (para IPv4), inet6 (para IPv6), conexión cruzada de circuitos (CCC) o MPLS), los criterios de filtrado (términos, con condiciones de coincidencia) y la acción que se debe realizar si se produce una coincidencia.

Cada término consta de lo siguiente

  • Condición de coincidencia: valores que debe contener un paquete para que se considere una coincidencia. Puede especificar valores para la mayoría de los campos de los encabezados IP, TCP, UDP o ICMP. También puede hacer coincidir los nombres de las interfaces.

  • Acción: acción que se realiza si un paquete coincide con una condición de coincidencia. Puede configurar un filtro de firewall para aceptar, descartar o rechazar un paquete coincidente y, a continuación, realizar más acciones, como contar, clasificar y controlar. La acción predeterminada es aceptar.

Cómo se procesan los filtros de firewall

Si hay varios términos en un filtro, el orden de los términos es importante. Si un paquete coincide con el primer término, el conmutador realiza la acción definida por ese término y no se evalúa ningún otro término. Si el conmutador no encuentra una coincidencia entre el paquete y el primer término, compara el paquete con el siguiente. Si no se produce ninguna coincidencia entre el paquete y el segundo término, el sistema continúa comparando el paquete con cada término sucesivo en el filtro hasta que se encuentre una coincidencia. Si no coincide ningún término, el conmutador descarta el paquete de forma predeterminada.

Temas relacionados

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) A partir de Junos OS versión 19.2R1, puede aplicar las condiciones , , y hacer coincidir en la dirección de salida en interfaces IPv4 e IPv6.interfaceforwarding-classloss-priority
18.2R1
(QFX10000) A partir de Junos OS versión 18.2R1, puede aplicar filtros de firewall de entrada y salida con y como acciones de policía en interfaces de circuito de capa 2.countdiscard
13.2X51-D15
(Serie QFX) A partir de Junos OS versión 13.2X51-D15, puede aplicar un filtro a una interfaz de circuito cerrado en la dirección de salida.