Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Cómo evalúan los paquetes los filtros estándar del cortafuegos

 

En este tema se trata la siguiente información:

Descripción general de evaluación de paquetes del filtro Firewall

La siguiente secuencia describe cómo el dispositivo evalúa un paquete entrando o saliendo de una interfaz si el tráfico de entrada o salida de una interfaz de dispositivo está asociado con un filtro de Firewall. La evaluación de paquetes se realiza de la siguiente manera:

  1. El dispositivo evalúa el paquete según los términos del filtro de Firewall secuencialmente, empezando por el primer término del filtro.

    • Si el paquete coincide con todas las condiciones especificadas en un término, el dispositivo realiza todas las acciones especificadas en dicho término.

    • Si el paquete no coincide con todas las condiciones especificadas en un término, el dispositivo continúa con el siguiente término del filtro (si el término subsiguiente existe) y evalúa el paquete para ese término.

    • Si el paquete no coincide con ningún término del filtro firewall, el dispositivo descarta implícitamente el paquete.

  2. A diferencia de los filtros de servicio y los filtros simples, next term los filtros de cortafuegos admiten la acción, que no es ni una acción de terminación ni una acción de no terminación, sino una acción de control de flujo.

    Nota

    En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

    • Si el término buscado incluye la next term acción, el dispositivo continúa la evaluación del paquete en el siguiente término del filtro del firewall.

    • Si el término coincidente no incluye la next term acción, la evaluación del paquete comparándolo con el filtro del firewall especificado finaliza en este período. El dispositivo no evalúa el paquete con ningún término subsiguiente de este filtro.

    Se admite un máximo next term de 1024 acciones por configuración de filtro de Firewall. Si configura un filtro de firewall que supere este límite, la configuración candidata provocará un error de confirmación.

  3. El dispositivo detiene la evaluación de un paquete contra un filtro de Firewall determinado cuando el paquete coincide con un next term término sin la acción o cuando el paquete no puede coincidir con el último término del filtro del firewall.

  4. Si un paquete local llega a una interfaz de enrutador asociada con un filtro de Firewall de entrada, el filtro evalúa el paquete dos veces. La primera evaluación tiene lugar en el motor de reenvío de paquetes, que es el elemento de procesamiento central del plano de reenvío del enrutador, y la segunda evaluación tiene lugar en el motor de enrutamiento, que ejecuta el software del plano de control del enrutador.

    Nota

    Paquetes locales: fragmentos de datos que están destinados o enviados por el propio enrutador; normalmente contienen datos de protocolo de enrutamiento, datos para servicios IP como telnet o SSH, y datos para protocolos administrativos como el protocolo de mensajes de control de Internet (ICMP).

    Si la primera evaluación del filtro del firewall modifica el paquete local entrante o los valores del contexto del paquete, la segunda evaluación del filtro del firewall se basa en el paquete o los valores del contexto del paquete actualizados.

    Por ejemplo, supongamos que el filtro incluye una condición de coincidencia basada en la clase de reenvío o el valor de prioridad de pérdida asociado al paquete, y que el filtro incluye una acción que modifica la clase de reenvío o el valor de prioridad de pérdida asociado al paquete . Si un paquete local de entrada llega a una interfaz asociada y la evaluación del filtro en el motor de reenvío de paquetes modifica (en lugar de colocar) el paquete, la evaluación del filtro en el motor de enrutamiento se basa en el contexto modificado del paquete (en lugar de en el contexto del paquete original).

Evaluación de paquetes en un único filtro de Firewall

Tabla 1describe los comportamientos de filtrado de paquetes en una interfaz de dispositivo asociada con un filtro de Firewall único.

Nota

En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

Tabla 1: Evaluación de paquetes en un único filtro de Firewall

Evento de filtro de Firewall

Intervención

Acción subsiguiente

El término de filtro de Firewall no especifica ninguna condición de coincidencia.

El término busca todos los paquetes de forma predeterminada y, por lo tanto, el dispositivo realiza las acciones especificadas por dicho término.

Si el término acciones incluye la next term acción, el dispositivo continúa la evaluación del paquete con el siguiente término dentro del filtro del firewall (si existe un término subsiguiente).

El paquete coincide con todas las condiciones especificadas por el término de filtro del firewall.

El dispositivo realiza las acciones especificadas por dicho término.

Si el término acciones incluye la next term acción, el dispositivo continúa la evaluación del paquete con el siguiente término dentro del filtro del firewall (si existe un término subsiguiente).

El paquete coincide con todas las condiciones especificadas por el término de filtro del Firewall , pero el término no especifica ninguna acción.

El dispositivo acepta implícitamente el paquete.

Si el término acciones incluye la next term acción, el dispositivo continúa la evaluación del paquete con el siguiente término dentro del filtro del firewall (si existe un término subsiguiente).

El paquete no cumple todas las condiciones especificadas por el término de filtro del firewall.

El dispositivo no realiza las acciones especificadas por dicho término.

El dispositivo continúa la evaluación del paquete comparándolo con el siguiente término del filtro (si existe un término subsiguiente).

El paquete no coincide con ninguno de los términos del filtro

El dispositivo descarta implícitamente el paquete

Cada configuración de filtro de Firewall incluye discard una acción implícita al final del filtro. Esta acción de terminación implícita equivale a incluir el siguiente término t_explicit_discard de ejemplo como término final en el filtro del firewall:

term t_explicit_discard {
then discard;
}

Procedimiento recomendado: Aceptar explícitamente cualquier tráfico que no se descarte específicamente

Puede que desee que un filtro de Firewall acepte cualquier tráfico que el filtro no descarte específicamente. En este caso, le recomendamos que configure el filtro de firewall con un último término que accept especifique la acción de finalización.

En el siguiente fragmento de código de ejemplo t_allow_all_else , si se configura el término como término final en el filtro firewall, el filtro de Firewall se configura de forma explícita para aceptar cualquier tráfico que el filtro no haya descartado específicamente:

Seguir este procedimiento recomendado puede simplificar la solución de problemas del filtro de Firewall.

Procedimiento recomendado: Rechazar explícitamente todo el tráfico que no esté aceptado específicamente

Por otro lado, puede que desee que un filtro de Firewall rechace cualquier tráfico que el filtro de Firewall no acepte específicamente. En este caso, le recomendamos que configure el filtro de firewall con un último término que reject especifique la acción de finalización.

En el siguiente fragmento de código de ejemplo t_deny_all_else , si se configura el término como término final en el filtro firewall, el filtro de Firewall se configura de forma explícita para rechazar cualquier tráfico que el filtro no haya aceptado específicamente:

Seguir este procedimiento recomendado puede simplificar la solución de problemas del filtro de Firewall.

Varios filtros de cortafuegos conectados a una sola interfaz

En las interfaces de dispositivo compatibles, puede conectar varios filtros de cortafuegos a una sola interfaz. Para obtener más información, consulte Understanding Multiple Firewall Filters Applied as a List.

Nota

En las interfaces compatibles, puede asociar un filtro de Firewallfamily anyindependiente del Protocolo () y un filtro defamily inet Firewall family inet6específico de un protocolo (o) a la misma interfaz. Primero se ejecuta el filtro de cortafuegos independiente del protocolo. Para obtener más información, consulte Guidelines for Applying Standard Firewall Filters.

Filtro único de cortafuegos conectado a varias interfaces

En interfaces compatibles, puede asociar un único filtro de firewall con varias interfaces y Junos OS crea una instancia específica de la interfaz de ese filtro de Firewall para cada interfaz asociada.

  • Junos OS asocia cada instancia específica de interfaz de un filtro de firewall con un nombre específico de la interfaz generado por el sistema.

  • Para cualquier count acción en los términos del filtro, el motor de reenvío de paquetes mantiene contadores independientes específicos de la interfaz, y Junos os asocia cada contador a un nombre específico de la interfaz generado por el sistema.

  • Para cualquier policer acción en los términos del filtro, Junos os crea instancias independientes, específicas de la interfaz, de las acciones del responsable de la policía.

Para obtener más información, consulte Interface-Specific Firewall Filter Instances Overview.