Puntos de aplicación de filtro de firewall sin estado
Después de definir el filtro de firewall, debe aplicarlo a un punto de aplicación. Estos puntos de aplicación incluyen interfaces lógicas, interfaces físicas, interfaces de enrutamiento e instancias de enrutamiento.
En la mayoría de los casos, puede aplicar un filtro de firewall como filtro de entrada o como filtro de salida , o como ambos al mismo tiempo. Los filtros de entrada actúan sobre los paquetes que se reciben en la interfaz especificada, mientras que los filtros de salida actúan sobre los paquetes que se transmiten a través de la interfaz especificada.
Normalmente, se aplica un filtro con varios términos a una única interfaz lógica, al tráfico entrante, saliente o a ambos. Sin embargo, hay ocasiones en las que es posible que desee encadenar varios filtros de firewall (con uno o varios términos) y aplicarlos a una interfaz. Utilice una lista de entradas para aplicar varios filtros de firewall al tráfico entrante en una interfaz. Utilice una lista de salida para aplicar varios filtros de firewall al tráfico saliente en una interfaz. Puede incluir hasta 16 filtros en una lista de entrada o en una lista de salida.
No hay límite para el número de filtros y contadores que puede establecer, pero hay algunas consideraciones prácticas. Más contadores requieren más términos, y un gran número de términos puede tardar mucho tiempo en procesarse durante una operación de confirmación. Sin embargo, los filtros con más de 4000 términos y contadores se han implementado con éxito.
Tabla 1 Describe cada punto al que se puede aplicar un filtro de firewall. Para cada punto de aplicación, la tabla describe los tipos de filtros de firewall admitidos en ese punto, el nivel de jerarquía del enrutador (o conmutador) en el que se puede aplicar el filtro y cualquier limitación específica de la plataforma.
Tipo de filtro |
Punto de aplicación |
Restricciones |
---|---|---|
Filtro de firewall sin estado Configure incluyendo la filter filter-name; Nota:
Si no incluye la instrucción, el filtro de firewall procesa el |
Interfaz lógica Aplique en el nivel jerárquico filter { input filter-name; output filter-name; } Nota:
Un filtro configurado con la familia de protocolos implícitos Nota:
En las FPC T4000 de tipo 5, un filtro conectado en el punto de aplicación de capa 2 (es decir, en el nivel de interfaz lógica) no puede coincidir con la clase de reenvío de un paquete establecido por un clasificador de capa 3 como DSCP, DSCP V6 |
Compatible con los siguientes enrutadores:
También es compatible con los siguientes concentradores de puertos modulares (MPC) de enrutadores de la serie MX:
|
Filtro de firewall sin estado Configure en el nivel de filter filter-name; Puede
|
Familia de protocolos en una interfaz lógica Aplicar en el nivel jerárquico filter { input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } |
La familia |
Filtro de firewall sin estado |
Interfaz de circuito cerrado del motor de enrutamiento |
|
Filtro de servicio Configure en el nivel de service-filter service-filter-name; |
Familia Aplicar en el nivel de service { input { service-set service-set-name service-filter filter-name; } output { service-set service-set-name service-filter filter-name; } } Configure un conjunto de servicios en el nivel de
|
Solo se admite en PIC de servicios adaptables (AS) y multiservicios (MS). |
Filtro posterior al servicio Configure en el nivel de service-filter service-filter-name; |
Familia Aplique en el nivel de jerarquía incluyendo la service { input { post-service-filter filter-name; } } |
Se aplica un filtro posterior al servicio al tráfico que regresa a la interfaz de servicios después del procesamiento del servicio. El filtro sólo se aplica si se configura y selecciona un conjunto de servicios. |
Filtro simple Configure en el nivel de simple-filter filter-name |
Familia Aplique en el nivel de simple-filter simple-filter-name; |
Los filtros simples solo se pueden aplicar como filtros de entrada. Solo es compatible con las siguientes plataformas:
|
Filtro de comprobación del reenvío inverso de paquetes (RPF) Se configura en el nivel de filter filter-name; |
Familia Aplique en el nivel de rpf-check fail-filter filter-name para aplicar el filtro de firewall sin estado como filtro de comprobación de RPF. rpf-check { fail-filter filter-name; mode loose; } |
Solo es compatible con enrutadores de la serie MX y conmutadores de la serie EX. |