Directrices para aplicar filtros de firewall estándar
Información general sobre la aplicación de filtros de firewall
Puede aplicar un filtro de firewall estándar a una interfaz de circuito cerrado en el enrutador o a una interfaz física o lógica en el enrutador. Puede aplicar un filtro de firewall a una sola interfaz o a varias interfaces del enrutador.Tabla 1 Resume el comportamiento de los filtros de firewall en función del punto al que se adjunta el filtro.
Punto de conexión del filtro |
Comportamiento del filtro |
---|---|
Interfaz de circuito cerrado |
La interfaz de circuito cerrado del enrutador, , es la interfaz con el motor de enrutamiento y no contiene paquetes de datos. Nota:
|
Interfaz física o interfaz lógica |
Cuando se aplica un filtro a una interfaz física en el enrutador o a una interfaz lógica (o miembro de un paquete Ethernet agregado definido en la interfaz), el filtro evalúa todos los paquetes de datos que pasan a través de esa interfaz. |
Múltiples interfaces |
Puede utilizar el mismo filtro de firewall una o más veces. En los enrutadores de la serie M, excepto los enrutadores M120 y M320, si aplica un filtro de firewall a varias interfaces, el filtro actúa sobre la suma del tráfico que entra o sale de esas interfaces. En los enrutadores serie T, M120, M320 y MX, las interfaces se distribuyen entre varios componentes de reenvío de paquetes. En estos enrutadores, puede configurar filtros de firewall y filtros de servicio que, cuando se aplican a varias interfaces, actúan sobre los flujos de tráfico individuales que entran o salen de cada interfaz, independientemente de la suma del tráfico en las distintas interfaces. Para obtener más información, consulte Descripción general de instancias de filtro de firewall específicas de la interfaz.Descripción general de las instancias de filtro de firewall específicas de la interfaz |
Interfaz única con filtros de firewall independientes del protocolo y específicos del protocolo adjuntos |
Solo para interfaces alojadas en el siguiente hardware, puede adjuntar simultáneamente un filtro de firewall independiente del protocolo () y un filtro de firewall específico del protocolo ( o ).
Nota:
Las interfaces hospedadas en el siguiente hardware no admiten filtros de firewall independientes del protocolo:
|
Jerarquía de instrucciones para aplicar filtros de firewall
Para aplicar un filtro de firewall estándar a una interfaz lógica, configure la instrucción para la interfaz lógica definida en el nivel de jerarquía or .filter
[edit]
[edit logical-systems logical-system-name]
Debajo de la instrucción, puede incluir una o varias de las siguientes instrucciones:filter
, , , , o .group group-number
input filter-name
input-list filter-name
output filter-name
output-list filter-name
El nivel de jerarquía en el que se adjunta la instrucción depende del tipo de filtro y del tipo de dispositivo que esté configurando.filter
- Filtros de firewall independientes del protocolo en enrutadores de la serie MX
- Todos los demás filtros de firewall en interfaces lógicas
Filtros de firewall independientes del protocolo en enrutadores de la serie MX
Para aplicar un filtro de firewall independiente del protocolo a una interfaz lógica en un enrutador de la serie MX, configure la instrucción directamente en la unidad lógica:filter
interfaces { interface-name { unit logical-unit-number { filter { group group-number; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } } } }
Todos los demás filtros de firewall en interfaces lógicas
Para aplicar un filtro de firewall estándar a una interfaz lógica para todos los casos que no sean filtros independientes del protocolo en un enrutador de la serie MX, configure la instrucción en la familia de protocolos:filter
interfaces { interface-name { unit logical-unit-number { family family-name { ... filter { group group-number; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } } } } }
Restricciones en la aplicación de filtros de firewall
- Número de filtros de entrada y salida por interfaz lógica
- Filtros de firewall MPLS y CCC de capa 2 en listas
- Filtros de firewall CCC de capa 2 en enrutadores serie MX y conmutadores serie EX
- Filtros de firewall IPv6 en enrutadores de transporte de paquetes de la serie PTX
Número de filtros de entrada y salida por interfaz lógica
Input filters: aunque puede utilizar el mismo filtro varias veces, sólo puede aplicar un filtro de entrada o una lista de filtros de entrada a una interfaz.
Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes recibidos en la interfaz, incluya la instrucción en la estrofa.
input filter-name
filter
Para especificar una lista ordenada de filtros de firewall que se utilizarán para evaluar los paquetes recibidos en la interfaz, incluya la instrucción en la estrofa.
input-list [ filter-names ]
filter
Puede especificar hasta 16 filtros de firewall para la lista de entrada de filtros.
Output filters: aunque puede utilizar el mismo filtro varias veces, sólo puede aplicar un filtro de salida o una lista de filtros de salida a una interfaz.
Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes transmitidos en la interfaz, incluya la instrucción en la estrofa.
output filter-name
filter
Para especificar una lista ordenada de filtros de firewall que se utilizarán para evaluar los paquetes transmitidos en la interfaz, incluya la instrucción en la estrofa.
output-list [ filter-names ]
filter
Puede especificar hasta 16 filtros de firewall en una lista de salida de filtros.
Filtros de firewall MPLS y CCC de capa 2 en listas
Las instrucciones y de los filtros de firewall para las familias de protocolos y se admiten en todas las interfaces, excepto las siguientes:input-list filter-names
output-list filter-names
ccc
mpls
Interfaces de administración e interfaces Ethernet internas ( o )
fxp
em0
Interfaces de circuito cerrado ()
lo0
Interfaces de módem USB ()
umd
Filtros de firewall CCC de capa 2 en enrutadores serie MX y conmutadores serie EX
Solo en enrutadores serie MX y conmutadores serie EX, no puede aplicar un filtro de firewall sin estado CCC de capa 2 (un filtro de firewall configurado en el nivel de jerarquía) como filtro de salida.[edit firewall filter family ccc]
En los enrutadores serie MX y conmutadores serie EX, los filtros de firewall configurados para la instrucción solo se pueden aplicar como filtros de entrada.family ccc
Filtros de firewall IPv6 en enrutadores de transporte de paquetes de la serie PTX
En enrutadores PTX10001-20C, no puede aplicar filtros de firewall IPv6 a:
Interfaz de túnel
Interfaces del IRB
Interfaces de salida
Filtros específicos de la interfaz, configurados en el nivel de jerarquía.
[edit firewall family inet6 filter filter-name]
Policías de tráfico
Interfaz de telemetría de Junos