Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Directrices para aplicar filtros de firewall estándar

Información general sobre la aplicación de filtros de firewall

Puede aplicar un filtro de firewall estándar a una interfaz de circuito cerrado en el enrutador o a una interfaz física o lógica en el enrutador. Puede aplicar un filtro de firewall a una sola interfaz o a varias interfaces del enrutador.Tabla 1 Resume el comportamiento de los filtros de firewall en función del punto al que se adjunta el filtro.

Tabla 1: Comportamiento del filtro del firewall por punto de conexión del filtro

Punto de conexión del filtro

Comportamiento del filtro

Interfaz de circuito cerrado

La interfaz de circuito cerrado del enrutador, , es la interfaz con el motor de enrutamiento y no contiene paquetes de datos.lo0 Cuando se aplica un filtro de firewall a la interfaz de circuito cerrado, el filtro evalúa los paquetes locales recibidos o transmitidos por el motor de enrutamiento.

Nota:

  • ACX5048 y enrutadores ACX5096 no admiten la evaluación de paquetes transmitidos por el motor de enrutamiento para el filtro de interfaz de circuito cerrado.

Interfaz física o interfaz lógica

Cuando se aplica un filtro a una interfaz física en el enrutador o a una interfaz lógica (o miembro de un paquete Ethernet agregado definido en la interfaz), el filtro evalúa todos los paquetes de datos que pasan a través de esa interfaz.

Múltiples interfaces

Puede utilizar el mismo filtro de firewall una o más veces.

En los enrutadores de la serie M, excepto los enrutadores M120 y M320, si aplica un filtro de firewall a varias interfaces, el filtro actúa sobre la suma del tráfico que entra o sale de esas interfaces.

En los enrutadores serie T, M120, M320 y MX, las interfaces se distribuyen entre varios componentes de reenvío de paquetes. En estos enrutadores, puede configurar filtros de firewall y filtros de servicio que, cuando se aplican a varias interfaces, actúan sobre los flujos de tráfico individuales que entran o salen de cada interfaz, independientemente de la suma del tráfico en las distintas interfaces.

Para obtener más información, consulte Descripción general de instancias de filtro de firewall específicas de la interfaz.Descripción general de las instancias de filtro de firewall específicas de la interfaz

Interfaz única con filtros de firewall independientes del protocolo y específicos del protocolo adjuntos

Solo para interfaces alojadas en el siguiente hardware, puede adjuntar simultáneamente un filtro de firewall independiente del protocolo () y un filtro de firewall específico del protocolo ( o ).family anyfamily inetfamily inet6 El firewall independiente del protocolo se ejecuta primero.

  • Enrutadores de Metro universales serie ACX

  • Concentradores PIC flexibles (FPC) en enrutadores perimetrales multiservicio M7i y M10i

  • Tarjetas de interfaz modular (MIC) y concentradores de puertos modulares (MPC) en plataformas de enrutamiento universal 5G serie MX

  • Enrutadores de núcleo de la serie T

Nota:

Las interfaces hospedadas en el siguiente hardware no admiten filtros de firewall independientes del protocolo:

  • Placas de motor de reenvío (FEB) en enrutadores M120

  • FPC III mejoradas en enrutadores M320

  • Módulos FPC2 y FPC3 en enrutadores de la serie MX

  • Concentradores de puerto denso (DPC) en enrutadores de la serie MX

  • Enrutadores de transporte de paquetes serie PTX

Jerarquía de instrucciones para aplicar filtros de firewall

Para aplicar un filtro de firewall estándar a una interfaz lógica, configure la instrucción para la interfaz lógica definida en el nivel de jerarquía or .filter[edit][edit logical-systems logical-system-name] Debajo de la instrucción, puede incluir una o varias de las siguientes instrucciones:filter , , , , o .group group-numberinput filter-nameinput-list filter-nameoutput filter-nameoutput-list filter-name El nivel de jerarquía en el que se adjunta la instrucción depende del tipo de filtro y del tipo de dispositivo que esté configurando.filter

Filtros de firewall independientes del protocolo en enrutadores de la serie MX

Para aplicar un filtro de firewall independiente del protocolo a una interfaz lógica en un enrutador de la serie MX, configure la instrucción directamente en la unidad lógica:filter

Todos los demás filtros de firewall en interfaces lógicas

Para aplicar un filtro de firewall estándar a una interfaz lógica para todos los casos que no sean filtros independientes del protocolo en un enrutador de la serie MX, configure la instrucción en la familia de protocolos:filter

Restricciones en la aplicación de filtros de firewall

Número de filtros de entrada y salida por interfaz lógica

Input filters: aunque puede utilizar el mismo filtro varias veces, sólo puede aplicar un filtro de entrada o una lista de filtros de entrada a una interfaz.

  • Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes recibidos en la interfaz, incluya la instrucción en la estrofa.input filter-namefilter

  • Para especificar una lista ordenada de filtros de firewall que se utilizarán para evaluar los paquetes recibidos en la interfaz, incluya la instrucción en la estrofa.input-list [ filter-names ]filter Puede especificar hasta 16 filtros de firewall para la lista de entrada de filtros.

Output filters: aunque puede utilizar el mismo filtro varias veces, sólo puede aplicar un filtro de salida o una lista de filtros de salida a una interfaz.

  • Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes transmitidos en la interfaz, incluya la instrucción en la estrofa.output filter-namefilter

  • Para especificar una lista ordenada de filtros de firewall que se utilizarán para evaluar los paquetes transmitidos en la interfaz, incluya la instrucción en la estrofa.output-list [ filter-names ]filter Puede especificar hasta 16 filtros de firewall en una lista de salida de filtros.

Filtros de firewall MPLS y CCC de capa 2 en listas

Las instrucciones y de los filtros de firewall para las familias de protocolos y se admiten en todas las interfaces, excepto las siguientes:input-list filter-namesoutput-list filter-namescccmpls

  • Interfaces de administración e interfaces Ethernet internas ( o )fxpem0

  • Interfaces de circuito cerrado ()lo0

  • Interfaces de módem USB ()umd

Filtros de firewall CCC de capa 2 en enrutadores serie MX y conmutadores serie EX

Solo en enrutadores serie MX y conmutadores serie EX, no puede aplicar un filtro de firewall sin estado CCC de capa 2 (un filtro de firewall configurado en el nivel de jerarquía) como filtro de salida.[edit firewall filter family ccc] En los enrutadores serie MX y conmutadores serie EX, los filtros de firewall configurados para la instrucción solo se pueden aplicar como filtros de entrada.family ccc

Filtros de firewall IPv6 en enrutadores de transporte de paquetes de la serie PTX

En enrutadores PTX10001-20C, no puede aplicar filtros de firewall IPv6 a:

  • Interfaz de túnel

  • Interfaces del IRB

  • Interfaces de salida

  • Filtros específicos de la interfaz, configurados en el nivel de jerarquía.[edit firewall family inet6 filter filter-name]

  • Policías de tráfico

  • Interfaz de telemetría de Junos

Temas relacionados