Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de firewalls con estado para servicios de próxima generación

Para configurar firewalls con estado, configure reglas de firewall con estado y aplique esas reglas a un conjunto de servicios. También puede configurar conjuntos de reglas de firewall con estado, que contienen un conjunto de reglas de firewall con estado.

Configuración de reglas de firewall con estado para servicios de próxima generación

Una regla de firewall con estado especifica qué tráfico se procesa y qué acción aplicar al tráfico.

Para configurar una regla de firewall con estado:

  1. Configure un nombre para la regla de firewall con estado.
  2. Especifique la dirección del flujo de tráfico a la que se aplica la regla de firewall con estado.

    Si configura input-output, la regla se aplica a las sesiones iniciadas desde cualquier dirección.

    Si esta regla de firewall con estado se aplica a un conjunto de servicios de tipo interfaz, la dirección viene determinada por si un paquete entra o sale de la interfaz en la que se aplica el conjunto de servicios. Si esta regla de firewall con estado se aplica a un conjunto de servicios del salto siguiente, la dirección se ingresa si se usa la interfaz interna para enrutar el paquete y la dirección se genera si se usa la interfaz externa para enrutar el paquete.

  3. Configure un nombre para una directiva.

    Puede configurar varias directivas para una regla de firewall con estado. Cada política identifica las condiciones coincidentes para un flujo y si se debe permitir o no el flujo. Una vez que una política de la regla coincide con un paquete, se aplica dicha política y no se procesa ninguna otra directiva de la regla.

  4. Especifique la dirección de destino de los flujos a los que se aplica la directiva.

    Como alternativa, puede especificar una address-book jerarquía de configuración inferior a la services que desea utilizar en este paso.

    La dirección de destino puede ser IPv4 o IPv6.

  5. Especifique la dirección de destino de los flujos a los que no se aplica la directiva.

    La dirección de destino puede ser IPv4 o IPv6.

  6. Especifique la dirección de origen de los flujos a los que se aplica la directiva.

    Como alternativa, puede especificar una address-book jerarquía de configuración inferior a la services que desea utilizar en este paso.

    La dirección de origen puede ser IPv4 o IPv6.

  7. Especifique la dirección de origen de los flujos a los que no se aplica la directiva.

    La dirección de origen puede ser IPv4 o IPv6.

  8. Especifique uno o más protocolos de aplicación a los que se aplica la directiva.

    Utilice una definición de protocolo de aplicación que haya configurado en el nivel de [edit applications] jerarquía.

  9. Especifique una acción que realice la directiva.

    Dónde:

    count

    Permite un recuento, en bytes o kilobytes, de todo el tráfico de red que la directiva permite pasar.

    deny

    Suelte los paquetes.
    permit

    Acepte los paquetes y envíelos a su destino.
    reject

    Suelte los paquetes. Para el tráfico TCP, envíe un segmento de restablecimiento de TCP (RST) al host de origen. Para el tráfico UDP, envíe un mensaje ICMP destination unreachable, port unreachable (tipo 3, código 3) al host de origen.

Configuración de conjuntos de reglas de firewall con estado para servicios de próxima generación

Un conjunto de reglas de firewall con estado permite especificar un conjunto de reglas de firewall con estado, que se procesan en el orden en que aparecen en la configuración del conjunto de reglas. Una vez que una regla de firewall con estado en el conjunto de reglas coincide con un paquete, esa regla se aplica y no se procesa ninguna otra regla en el conjunto de reglas ̇.

Para configurar un conjunto de reglas de firewall con estado:

  1. Configure un nombre para el conjunto de reglas del firewall con estado.
  2. Especifique las reglas de firewall con estado que pertenecen al conjunto de reglas.

Configuración del conjunto de servicios para firewalls con estado para servicios de próxima generación

Las reglas de firewall con estado deben asignarse a un conjunto de servicios antes de que se puedan aplicar al tráfico.

Para configurar un conjunto de servicios para que aplique reglas de firewall con estado:

  1. Defina el conjunto de servicios.
  2. Configure un conjunto de servicios de interfaz, que requiere una sola interfaz de servicio, o un conjunto de servicios del próximo salto, que requiere una interfaz de servicio interna y externa.

    o

  3. Especifique las reglas de firewall con estado que se utilizarán con el conjunto de servicios. Puede especificar reglas individuales o conjuntos de reglas, pero no ambos.

    Para aplicar reglas de firewall de estado individuales:

    Para aplicar conjuntos de reglas de firewall con estado:

    El conjunto de servicios procesa las reglas o conjuntos de reglas del firewall con estado en el orden en que aparecen en la configuración del conjunto de servicios.