Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Cómo los filtros de firewall estándar evalúan los paquetes

En este tema se trata la siguiente información:

Descripción general de la evaluación de paquetes de filtro de firewall

La siguiente secuencia describe cómo el dispositivo evalúa un paquete que entra o sale de una interfaz si el tráfico de entrada o salida en una interfaz de dispositivo está asociado a un filtro de firewall. La evaluación de paquetes se lleva a cabo de la siguiente manera:

  1. El dispositivo evalúa el paquete con respecto a los términos del filtro de firewall secuencialmente, comenzando con el primer término del filtro.

    • Si el paquete cumple todas las condiciones especificadas en un término, el dispositivo realiza todas las acciones especificadas en ese término.

    • Si el paquete no cumple todas las condiciones especificadas en un término, el dispositivo pasa al siguiente término en el filtro (si existe un término posterior) y evalúa el paquete con respecto a ese término.

    • Si el paquete no coincide con ningún término del filtro de firewall, el dispositivo lo descarta implícitamente.

  2. A diferencia de los filtros de servicio y los filtros simples, los filtros de firewall admiten la acción, que no es una acción de terminación ni una acción de no terminación, sino una acción de control de flujo.next term

    Nota:

    En Junos y Junos OS evolucionado, no puede aparecer como el último término de la acción.next term No se admite un término de filtro en el que se especifica como una acción pero sin ninguna condición de coincidencia configurada.next term

    • Si el término coincidente incluye la acción, el dispositivo continúa la evaluación del paquete en el siguiente término dentro del filtro del firewall.next term

    • Si el término coincidente no incluye la acción, la evaluación del paquete con respecto al filtro de firewall dado finaliza en este término.next term El dispositivo no evalúa el paquete con respecto a los términos posteriores de este filtro.

    Se admite un máximo de 1024 acciones por configuración de filtro de firewall.next term Si configura un filtro de firewall que supera este límite, la configuración candidata dará como resultado un error de confirmación.

  3. El dispositivo deja de evaluar un paquete con respecto a un filtro de firewall determinado cuando el paquete coincide con un término sin la acción o cuando el paquete no coincide con el último término del filtro de firewall.next term

  4. Si un paquete local llega a una interfaz de enrutador asociada con un filtro de firewall de entrada, el filtro evalúa el paquete dos veces. La primera evaluación ocurre en el motor de reenvío de paquetes, que es el elemento de procesamiento central del plano de reenvío del enrutador, y la segunda evaluación ocurre en el motor de enrutamiento, que ejecuta el software del plano de control del enrutador.

    Nota:

    Los paquetes locales (fragmentos de datos destinados o enviados por el propio enrutador) generalmente contienen datos de protocolo de enrutamiento, datos para servicios IP como Telnet o SSH, y datos para protocolos administrativos como el Protocolo de mensajes de control de Internet (ICMP).

    Si la primera evaluación del filtro de firewall modifica los valores de contexto de paquete o paquete local entrante, la segunda evaluación del filtro de firewall se basa en los valores actualizados de contexto de paquete o paquete.

    Por ejemplo, supongamos que el filtro incluye una condición de coincidencia basada en la clase de reenvío o el valor de prioridad de pérdida asociado con el paquete y que el filtro incluye una acción que modifica la clase de reenvío o el valor de prioridad de pérdida asociado con el paquete. Si un paquete local de entrada llega a una interfaz asociada y la evaluación del filtro en el motor de reenvío de paquetes modifica (en lugar de descartar) el paquete, la evaluación del filtro en el motor de enrutamiento se basa en el contexto del paquete modificado (en lugar del contexto del paquete original).

Evaluación de paquetes en un solo filtro de firewall

Tabla 1 Describe los comportamientos de filtrado de paquetes en una interfaz de dispositivo asociada a un único filtro de firewall.

Nota:

En Junos OS evolucionado, no puede aparecer como el último término de la acción.next term No se admite un término de filtro en el que se especifica como una acción pero sin ninguna condición de coincidencia configurada.next term

Tabla 1: Evaluación de paquetes en un solo filtro de firewall

Evento de filtro de firewall

Acción

Acción posterior

El término filtro de firewall no especifica ninguna condición de coincidencia.

El término coincide con todos los paquetes de forma predeterminada, por lo que el dispositivo realiza las acciones especificadas por ese término.

Si el término acciones incluye la acción, el dispositivo continúa la evaluación del paquete con respecto al siguiente término dentro del filtro del firewall (si existe un término posterior).next term

El paquete cumple con todas las condiciones especificadas por el término de filtro del firewall.

El dispositivo realiza las acciones especificadas por ese término.

Si el término acciones incluye la acción, el dispositivo continúa la evaluación del paquete con respecto al siguiente término dentro del filtro del firewall (si existe un término posterior).next term

El paquete coincide con todas las condiciones especificadas por el término de filtro del firewall, pero el término no especifica ninguna acción.

El dispositivo acepta implícitamente el paquete.

Si el término acciones incluye la acción, el dispositivo continúa la evaluación del paquete con respecto al siguiente término dentro del filtro del firewall (si existe un término posterior).next term

El paquete no coincide con todas las condiciones especificadas por el término de filtro del firewall.

El dispositivo no realiza las acciones especificadas por ese término.

El dispositivo continúa la evaluación del paquete contra el siguiente término dentro del filtro (si existe un término posterior).

El paquete no coincide con ningún término del filtro

El dispositivo descarta implícitamente el paquete

Cada configuración de filtro de firewall incluye una acción implícita al final del filtro.discard Esta acción de terminación implícita equivale a incluir el siguiente término de ejemplo como término final en el filtro de firewall:t_explicit_discard

term t_explicit_discard {
    then discard;
}

Práctica recomendada: Aceptar explícitamente cualquier tráfico que no se descarte específicamente

Es posible que desee que un filtro de firewall acepte cualquier tráfico que el filtro no descarte específicamente. En este caso, se recomienda configurar el filtro de firewall con un término final que especifique la acción de terminación.accept

En el siguiente fragmento de ejemplo, al configurar el término como el término final en el filtro de firewall se configura explícitamente el filtro de firewall para aceptar cualquier tráfico que el filtro no haya descartado específicamente:t_allow_all_else

Seguir esta práctica recomendada puede simplificar la solución de problemas del filtro de firewall.

Práctica recomendada: Rechazar explícitamente cualquier tráfico que no se acepte específicamente

Por otro lado, es posible que desee que un filtro de firewall rechace cualquier tráfico que el filtro de firewall no acepte específicamente. En este caso, se recomienda configurar el filtro de firewall con un término final que especifique la acción de terminación.reject

En el siguiente fragmento de ejemplo, configurar el término como el término final en el filtro de firewall configura explícitamente el filtro de firewall para rechazar cualquier tráfico que el filtro no haya aceptado específicamente:t_deny_all_else

Seguir esta práctica recomendada puede simplificar la solución de problemas del filtro de firewall.

Varios filtros de firewall conectados a una sola interfaz

En las interfaces de dispositivos compatibles, puede adjuntar varios filtros de firewall a una sola interfaz. Para obtener más información, consulte Descripción de varios filtros de firewall aplicados como una lista.

Nota:

En las interfaces compatibles, puede adjuntar un filtro de firewall independiente del protocolo () y un filtro de firewall específico del protocolo ( o ) a la misma interfaz.family anyfamily inetfamily inet6 El filtro de firewall independiente del protocolo se ejecuta primero. Para obtener más información, consulte Directrices para aplicar filtros de firewall estándar.

Filtro de firewall único conectado a varias interfaces

En las interfaces compatibles, puede asociar un único filtro de firewall a varias interfaces, y Junos OS crea una instancia específica de la interfaz de ese filtro de firewall para cada interfaz asociada.

  • Junos OS asocia cada instancia específica de la interfaz de un filtro de firewall con un nombre específico de la interfaz generado por el sistema.

  • Para cualquier acción en los términos de filtro, el motor de reenvío de paquetes mantiene contadores separados y específicos de la interfaz, y Junos OS asocia cada contador con un nombre específico de la interfaz generado por el sistema.count

  • Para cualquier acción en términos de filtro, Junos OS crea instancias independientes y específicas de la interfaz de las acciones del aplicador de policía.policer

Para obtener más información, consulte Descripción general de las instancias de filtro de firewall específicas de la interfaz.