Directrices para configurar filtros de firewall
En este tema se trata la siguiente información:
Jerarquía de instrucciones para configurar filtros de firewall
Para configurar un filtro de firewall estándar, puede incluir las siguientes instrucciones. Para un filtro de firewall estándar IPv4, la instrucción es opcional.family inet Para un filtro de firewall estándar IPv6, la instrucción es obligatoria.family inet6
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Puede incluir la configuración del firewall en uno de los siguientes niveles de jerarquía:
-
[edit] -
[edit logical-systems logical-system-name]
Para el filtrado de firewall sin estado, debe permitir el tráfico del túnel de salida a través del filtro de firewall aplicado al tráfico de entrada en la interfaz que es la interfaz del próximo salto hacia el destino del túnel. El filtro de firewall sólo afecta a los paquetes que salen del enrutador (o conmutador) a través del túnel.
En ACX7100 plataformas, los filtros de firewall VPLS se configuran en y no en .familyethernet-switchingfamilyVPLS Los filtros de administración se configuran en familia o y la sintaxis es de esta forma:inetinet6
set interfaces re0:mgmt-0 unit logical-unit-number family family-name filter input filter-name.Familias de protocolos de filtro de firewall
Una configuración de filtro de firewall es específica de una familia de protocolos determinada. En la instrucción, incluya una de las siguientes instrucciones para especificar la familia de protocolos para la que desea filtrar el tráfico:firewall
family any: para filtrar el tráfico independiente del protocolo.family inet: para filtrar el tráfico del protocolo de Internet versión 4 (IPv4).family inet6: para filtrar el tráfico del protocolo de Internet versión 6 (IPv6).family mpls: para filtrar el tráfico MPLS.family vpls: para filtrar el tráfico del servicio de LAN privada virtual (VPLS).family ccc: para filtrar el tráfico de conexión cruzada de circuitos (CCC) de capa 2.family bridge: para filtrar el tráfico de puente de capa 2 solo para enrutadores de borde universal 3D de la serie MX.family ethernet-switching: para filtrar el tráfico de capa 2 (Ethernet).
La instrucción sólo es necesaria para especificar una familia de protocolos distinta de IPv4.family family-name Para configurar un filtro de firewall IPv4, puede configurar el filtro en el nivel de jerarquía sin incluir la instrucción, ya que los niveles de jerarquía y son equivalentes.[edit firewall]family inet[edit firewall][edit firewall family inet]
Para el filtro de familia de puente, los criterios de coincidencia solo se admiten para IPv4 y no para IPv6.ip-protocol Esto se aplica a las tarjetas de línea compatibles con el chipset Junos Trio, como las tarjetas de línea MX 3D MPC.
Nombres y opciones de filtro de firewall
Bajo la instrucción, puede incluir instrucciones para crear y asignar nombres a filtros de firewall.family family-namefilter filter-name El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").
En el nivel de jerarquía, las siguientes instrucciones son opcionales:[edit firewall family family-name filter filter-name]
accounting-profileinstance-shared(Solo enrutadores de la serie MX con concentradores de puertos modulares (MPCS))interface-specificphysical-interface-filter
Términos del filtro de firewall
Bajo la instrucción, puede incluir instrucciones para crear y asignar nombres a los términos de filtro.filter filter-nameterm term-name
Debe configurar al menos un término en un filtro de firewall.
Debe especificar un nombre único para cada término dentro de un filtro de firewall. El nombre del término puede contener letras, números y guiones (-) y puede tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").
El orden en que se especifican los términos dentro de una configuración de filtro de firewall es importante. Los términos del filtro de firewall se evalúan en el orden en que están configurados. De forma predeterminada, los términos nuevos siempre se agregan al final del filtro existente. Puede utilizar el comando de modo de configuración para reordenar los términos de un filtro de firewall.
insert
En el nivel jerárquico, la instrucción no es válida en el mismo término que las instrucciones.[edit firewall family family-name filter filter-name term term-name]filter filter-namefromthen Cuando se incluye en este nivel de jerarquía, la instrucción se utiliza para anidar filtros de firewall.filter filter-name
Condiciones de coincidencia del filtro de firewall
Las condiciones de coincidencia del filtro del firewall son específicas del tipo de tráfico que se filtra.
Con la excepción del tráfico IPv4 o IPv6 etiquetado con MPLS, las condiciones de coincidencia del término se especifican en la instrucción.from Para el tráfico IPv4 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de la dirección IPv4 del término en la instrucción y las condiciones de coincidencia específicas del puerto IPv4 del término en la instrucción.ip-version ipv4protocol (tcp | udp)
Para el tráfico IPv6 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de la dirección IPv6 del término en la instrucción y las condiciones de coincidencia específicas del puerto IPv6 del término en la instrucción.ip-version ipv6protocol (tcp | udp)
Tabla 1 Describe los tipos de tráfico para los que puede configurar filtros de firewall.
Tipo de tráfico |
Nivel de jerarquía en el que se especifican las condiciones de coincidencia |
|---|---|
Independiente del protocolo |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para tráfico independiente del protocolo.Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo |
IPv4 |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para tráfico IPv4.Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 |
IPv6 |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv6.Condiciones de coincidencia del filtro de firewall para el tráfico IPv6 |
MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico MPLS.Condiciones de coincidencia del filtro de firewall para el tráfico MPLS |
Direcciones IPv4 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS |
Puertos IPv4 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS |
Direcciones IPv6 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS |
Puertos IPv6 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS |
VPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para tráfico VPLS.Condiciones de coincidencia del filtro de firewall para el tráfico VPLS |
CCC de capa 2 |
Para obtener la lista completa de las condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2.Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2 |
Puente de capa 2 (Solo enrutadores serie MX y conmutadores serie EX) |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2.Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2 |
Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o de coincidencia), use la sintaxis para las representaciones de texto descritas en RFC 4291, Arquitectura de direccionamiento IP versión 6.addressdestination-addresssource-address Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y Estándares IPv6 compatibles.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
Acciones de filtro de firewall
En la instrucción para un término de filtro de firewall, puede especificar las acciones que se deben realizar en un paquete que coincida con el término.then
Tabla 2 Resume los tipos de acciones que puede especificar en un término de filtro de firewall.
Tipo de acción |
Description |
Comentario |
|---|---|---|
Terminación |
Detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se utilizan términos adicionales para examinar el paquete. Solo puede especificar una acción de finalización en un término de filtro de firewall. Si intenta especificar más de una acción de terminación dentro del término de filtro, la última acción de terminación reemplazará a la acción de terminación existente. Sin embargo, puede especificar una acción de terminación con una o más acciones de no terminación en un solo término. Por ejemplo, dentro de un término, puede especificar con y . |
Consulte Acciones de terminación del filtro de firewall.Acciones de finalización del filtro de firewall |
No terminación |
Realiza otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, muestrear los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan términos adicionales para examinar el paquete. |
Todas las acciones que no terminan incluyen una acción de aceptación implícita. Esta acción de aceptación se lleva a cabo si no se configura ninguna otra acción de terminación en el mismo plazo. Consulte Acciones de no terminación del filtro de firewall.Acciones de no terminación del filtro de firewall |
Control de flujo |
Solo para filtros de firewall estándar, la acción indica al enrutador (o conmutador) que realice acciones configuradas en el paquete y, luego, en lugar de terminar el filtro, use el siguiente término del filtro para evaluar el paquete. Por ejemplo, cuando se configura un término con la acción de no terminación , la acción del término cambia de un archivo . |
No puede configurar la acción con una acción de finalización en el mismo término de filtro. Se admite un máximo de 1024 acciones por configuración de filtro de firewall estándar. Nota:
En Junos OS evolucionado, no puede aparecer como el último término de la acción. |