Puntos de aplicación de filtro de firewall sin estado

Después de definir el filtro de firewall, debe aplicarlo a un punto de aplicación. Estos puntos de aplicación incluyen interfaces lógicas, interfaces físicas, interfaces de enrutamiento e instancias de enrutamiento.

En la mayoría de los casos, puede aplicar un filtro de firewall como filtro de entrada o de salida , o ambos al mismo tiempo. Los filtros de entrada toman medidas en los paquetes que se reciben en la interfaz especificada, mientras que los filtros de salida toman acción en los paquetes que se transmiten a través de la interfaz especificada.

Normalmente, se aplica un filtro con varios términos a una sola interfaz lógica, al tráfico entrante, al tráfico saliente o a ambos. Sin embargo, hay ocasiones en las que es posible que desee encadenar varios filtros de firewall (con uno o varios términos) y aplicarlos a una interfaz. Utilice una lista de entrada para aplicar varios filtros de firewall al tráfico entrante en una interfaz. Utilice una lista de salida para aplicar varios filtros de firewall al tráfico saliente en una interfaz. Puede incluir hasta 16 filtros en una lista de entradas o en una lista de salida.

No hay límite para la cantidad de filtros y contadores que puede establecer, pero hay algunas consideraciones prácticas. Más contadores requieren más términos, y un gran número de términos puede tardar mucho tiempo en procesarse durante una operación de confirmación. Sin embargo, los filtros con más de 4000 términos y contadores se han implementado correctamente.

Tabla 1 describe cada punto al que se puede aplicar un filtro de firewall. Para cada punto de aplicación, la tabla describe los tipos de filtros de firewall compatibles en ese punto, el nivel de jerarquía del enrutador (o conmutador) en el que se puede aplicar el filtro y cualquier limitación específica de la plataforma.

Tabla 1: Resumen de la aplicación y la configuración del filtro de firewall sin estado
Tipo de filtro	Punto de aplicación	Restricciones
Filtro de firewall sin estado Configure incluyendo la instrucción el `filter filter-name[edit firewall]` nivel de jerarquía: filter `filter-name`; Nota: Si no incluye la instrucción, el `family` filtro de firewall procesa el tráfico IPv4 de forma predeterminada.	Interfaz lógica Aplicar en el `[edit interfaces interface-name unit unit-number family inet]` nivel de jerarquía incluyendo las `input filter-name` instrucciones o `output filter-name` : filter { input `filter-name`; output `filter-name`; } Nota: Un filtro configurado con la familia de protocolos implícitos `inet` no se puede incluir en una lista de filtros de entrada o en una lista de filtros de salida. Nota: En FPC T4000 tipo 5, un filtro adjunto al punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete que establece un clasificador de capa 3 como DSCP, DSCP V6 `inet-precedence`y `mpls-exp`.	Compatible con los siguientes enrutadores: Enrutadores serie T Enrutadores M320 Enrutadores M7i con CFEB mejorado (CFEB-e) Enrutadores M10i con el CFEB-e mejorado También se admiten los siguientes concentradores de puertos modulares (MPC) en enrutadores serie MX: MPC Ethernet de 10 Gigabit MPC de cola Ethernet de 60 Gigabit MPC de cola mejorada de 60 Gigabit Ethernet MPC Ethernet de 100 Gigabit También se admite en conmutadores de la serie EX
Filtro de firewall sin estado Configure en el `[edit firewall family family-name]` nivel de jerarquía incluyendo la siguiente instrucción: filter `filter-name`; Puede `family-name` ser cualquiera de las siguientes familias de protocolos: `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	Familia de protocolos en una interfaz lógica Aplicar en el `[edit interfaces interface-name unit unit-number family family-name]` nivel de jerarquía mediante, incluidas las `input`instrucciones , `input-listoutput`, o`output-list`: filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	La familia `bridge` de protocolos solo se admite en enrutadores serie MX.
Filtro de firewall sin estado	Interfaz de circuito cerrado del motor de enrutamiento
Filtro de servicio Configure en el `[edit firewall family (inet \| inet6)]` nivel de jerarquía incluyendo la siguiente instrucción: service-filter `service-filter-name`;	Familia `inet` o `inet6` en una interfaz lógica Aplicar en el `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` nivel de jerarquía mediante la `service-set` instrucción para aplicar un filtro de servicio como filtro de entrada o salida a un conjunto de servicios: service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } Configure un conjunto de servicios en el `[edit services]` nivel de jerarquía incluyendo la siguiente instrucción: `service-set service-set-name`;	Solo se admite en PIC de servicios adaptables (AS) y multiservicios (MS).
Filtro posterior al servicio Configure en el `[edit firewall family (inet \| inet6)]` nivel de jerarquía incluyendo la siguiente instrucción: service-filter `service-filter-name`;	Familia `inet` o `inet6` en una interfaz lógica Aplicar en el `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` nivel de jerarquía incluyendo la `post-service-filter` instrucción para aplicar un filtro de servicio como filtro de entrada: service { input { post-service-filter `filter-name`; } }	Un filtro de postservicio se aplica al tráfico que regresa a la interfaz de servicios después del procesamiento del servicio. El filtro solo se aplica si un conjunto de servicios está configurado y seleccionado.
Filtro simple Configure en el `[edit firewall family inet]` nivel de jerarquía incluyendo la siguiente instrucción: simple-filter `filter-name`	Familia `inet` en una interfaz lógica Aplicar en el `[edit interfaces interface-name unit unit-number family inet]` nivel de jerarquía incluyendo la siguiente instrucción: simple-filter `simple-filter-name`;	Los filtros simples solo se pueden aplicar como filtros de entrada. Solo se admite en las siguientes plataformas: PIC de la cola inteligente (IQ2) de Gigabit Ethernet en los enrutadores serie M120, M320 y T. Concentradores de puertos densos de cola mejorados (EQ DPC) en enrutadores serie MX (y conmutadores serie EX).
Filtro de comprobación de reenvío de paquetes inverso (RPF) Se configura en el `[edit firewall family (inet \| inet6)]` nivel de jerarquía mediante la inclusión de la siguiente instrucción: filter `filter-name`;	Familia `inet` o `inet6` en una interfaz lógica Aplicar en el `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` nivel de jerarquía incluyendo la siguiente instrucción: rpf-check fail-filter `filter-name` para aplicar el filtro de firewall sin estado como filtro de comprobación RPF. rpf-check { fail-filter `filter-name`; mode loose; }	Solo se admite en enrutadores serie MX y conmutadores de la serie EX.