Componentes del filtro de firewall sin estado
En este tema se trata la siguiente información:
Familia de protocolos
En la instrucción, puede especificar la familia de protocolos para la que desea filtrar el tráfico.firewall
Describe las familias de protocolos de filtro de firewall .Tabla 1
Tipo de tráfico que se va a filtrar |
Declaración de configuración |
Comentarios |
|---|---|---|
Independiente del protocolo |
|
Todas las familias de protocolos configuradas en una interfaz lógica. |
Protocolo de Internet versión 4 (IPv4) |
|
La instrucción es opcional para IPv4. |
Protocolo de Internet versión 6 (IPv6) |
|
|
MPLS |
|
|
IPv4 etiquetado con MPLS |
|
Admite coincidencias en direcciones IP y puertos, hasta cinco etiquetas apiladas MPLS. |
IPv6 etiquetado con MPLS |
|
Admite coincidencias en direcciones IP y puertos, hasta cinco etiquetas apiladas MPLS. |
Servicio de LAN privada virtual (VPLS) |
|
|
Conexión cruzada de circuitos de capa 2 |
|
|
Puente de capa 2 |
(para enrutadores de la serie MX) y (para conmutadores de la serie EX) |
Solo enrutadores serie MX y conmutadores serie EX. |
Tipo de filtro
En la instrucción, puede especificar el tipo y el nombre del filtro que desea configurar.family family-name
Tabla 2 Describe los tipos de filtro de firewall.
Tipo de filtro |
Declaración de configuración |
Description |
|---|---|---|
| Filtro de firewall estándar |
|
Filtra los siguientes tipos de tráfico:
|
| Filtro de servicio |
|
Define el filtrado de paquetes que se aplicará a la entrada o salida antes de que se acepte para el procesamiento del servicio o se aplique al tráfico de servicio que devuelve una vez completado el procesamiento del servicio. Filtra los siguientes tipos de tráfico:
Solo se admite en interfaces lógicas configuradas en el siguiente hardware:
|
| Filtro simple |
|
Define el filtrado de paquetes que se aplicará únicamente al tráfico de entrada. Filtra el siguiente tipo de tráfico:
Solo se admite en interfaces lógicas configuradas en el siguiente hardware:
|
Términos
En la instrucción , o , debe configurar al menos un término de filtro de firewall.filterservice-filtersimple-filter Un término es una estructura con nombre en la que se definen condiciones y acciones coincidentes. Dentro de un filtro de firewall, debe configurar un nombre único para cada término.
Para cada familia de protocolos en una interfaz, no puede aplicar más de un filtro en cada dirección. Si intenta aplicar filtros adicionales para la misma familia de protocolos en la misma dirección, el último filtro sobrescribe el filtro anterior. Sin embargo, puede aplicar filtros de la misma familia de protocolos a la dirección de entrada y salida de la misma interfaz.
Todos los filtros de firewall sin estado contienen uno o más términos, y cada término consta de dos componentes: condiciones de coincidencia y acciones. Las condiciones de coincidencia definen los valores o campos que debe contener el paquete para que se considere una coincidencia. Si un paquete coincide, se realiza la acción correspondiente. De forma predeterminada, se descarta un paquete que no coincida con un filtro de firewall.
Si un paquete llega a una interfaz para la que no se aplica ningún filtro de firewall para el tráfico entrante en esa interfaz, el paquete se acepta de forma predeterminada.
Un filtro de firewall con un gran número de términos puede afectar negativamente tanto al tiempo de confirmación de configuración como al rendimiento del motor de enrutamiento.
Además, puede configurar un filtro de firewall sin estado dentro del término de otro filtro. Este método permite agregar términos comunes a varios filtros sin tener que modificar todas las definiciones de filtro. Puede configurar un filtro con los términos comunes deseados y configurarlo como un término en otros filtros. Por consiguiente, para realizar un cambio en estos términos comunes, debe modificar solo un filtro que contenga los términos comunes, en lugar de varios filtros.
Condiciones del partido
Un término de filtro de firewall debe contener al menos un criterio de filtrado de paquetes, denominado condición de coincidencia, para especificar el campo o valor que debe contener un paquete para que se considere una coincidencia para el término de filtro de firewall. Para que se produzca una coincidencia, el paquete debe cumplir todas las condiciones del término. Si un paquete coincide con un término de filtro de firewall, el enrutador (o conmutador) realiza la acción configurada en el paquete.
Si un término de filtro de firewall contiene varias condiciones de coincidencia, un paquete debe cumplir todas las condiciones de coincidencia para que se considere una coincidencia para el término de filtro de firewall.
Si se configura una condición de coincidencia única con varios valores, como un rango de valores, un paquete debe coincidir solo con uno de los valores para que se considere una coincidencia para el término de filtro del firewall.
El ámbito de las condiciones de coincidencia que puede especificar en un término de filtro de firewall depende de la familia de protocolos con la que esté configurado el filtro de firewall. Puede definir varias condiciones de coincidencia, incluidos el campo Dirección de origen IP, el campo Dirección de destino IP, el campo Puerto de origen TCP o UDP, el campo de protocolo IP, el tipo de paquete del Protocolo de mensajes de control de Internet (ICMP), las opciones IP, los indicadores TCP, la interfaz lógica o física entrante y la interfaz lógica o física saliente. Estas son condiciones de coincidencia predefinidas o fijas.
En los enrutadores de borde universal 3D serie MX con MPC o MIC, es posible crear condiciones de coincidencia flexibles para las familias de protocolos IPv4, IPv6, puente de capa 2, CCC y VPLS. Estas condiciones flexibles de coincidencia permiten al usuario especificar la ubicación de inicio, el desplazamiento de bytes, la longitud de coincidencia y otros parámetros dentro del paquete.
Cada familia de protocolos admite un conjunto diferente de condiciones de coincidencia, y algunas condiciones de coincidencia solo se admiten en ciertos dispositivos de enrutamiento. Por ejemplo, varias condiciones de coincidencia para el tráfico VPLS solo se admiten en los enrutadores de borde universal 3D de la serie MX.
En la instrucción de un término de filtro de firewall, se especifican las características que debe tener el paquete para que se realice la acción de la instrucción siguiente .fromthen Las características se denominan condiciones de coincidencia. El paquete debe coincidir con todas las condiciones de la instrucción para que se realice la acción, lo que también significa que el orden de las condiciones en la instrucción no es importante.fromfrom
Si una condición de coincidencia individual puede especificar una lista de valores (como varias direcciones de origen y destino) o un rango de valores numéricos, se produce una coincidencia si alguno de los valores coincide con el paquete.
Si un término de filtro no especifica condiciones de coincidencia, el término acepta todos los paquetes y las acciones especificadas en la instrucción del término son opcionales .then
Algunas de las condiciones de coincidencia de rango numérico y campo de bits permiten especificar un sinónimo de texto. Para obtener una lista completa de sinónimos:
Si utiliza la interfaz J-Web, seleccione el sinónimo de la lista correspondiente.
Si utiliza la CLI, escriba un signo de interrogación () después de la instrucción.
?from
Acciones
Las acciones especificadas en un término de filtro de firewall definen las acciones que se deben realizar para cualquier paquete que coincida con las condiciones especificadas en el término.
Todas las acciones que se configuran en un solo término se realizan en el tráfico que coincide con las condiciones configuradas.
Se recomienda encarecidamente configurar explícitamente una o varias acciones por término de filtro de firewall. Cualquier paquete que coincida con todas las condiciones del término se acepta automáticamente a menos que el término especifique otras acciones o acciones adicionales.
Las acciones de filtro de firewall se dividen en las siguientes categorías:
Acciones de terminación de filtro
Una acción de terminación de filtro detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se examinan términos adicionales.
Acciones de no terminación
Las acciones de no terminación se utilizan para realizar otras funciones en un paquete, como incrementar un contador, registrar información sobre el encabezado del paquete, muestrear los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema.
La presencia de una acción de no terminación, como , o , sin una acción de terminación explícita, como , , o , da como resultado una acción de terminación predeterminada de .countlogsyslogacceptdiscardrejectaccept Si no desea que finalice la acción de filtro de firewall, utilice la acción después de la acción de no terminación.next term
En Junos OS evolucionado, no puede aparecer como el último término de la acción.next term No se admite un término de filtro en el que se especifica como una acción pero sin ninguna condición de coincidencia configurada.next term
En este ejemplo, el término 2 nunca se evalúa, porque el término 1 tiene la acción de terminación predeterminada implícita.accept
[edit firewall filter test]
term 1 {
from {
source-address {
0.0.0.0/0;
}
}
then {
log;
<accept> #By default if not specified
}
}
term 2 {
then {
reject;
}
}
En este ejemplo, se evalúa el término 2, porque el término 1 tiene la acción explícita de control de flujo.next term
[edit firewall filter test]
term 1 {
from {
source-address {
0.0.0.0/0;
}
}
then {
log;
next term;
}
}
term 2 {
then {
reject;
}
}
Acción de control de flujo
Solo para filtros de firewall sin estado estándar, la acción permite que el enrutador (o conmutador) realice acciones configuradas en el paquete y, a continuación, evalúe el siguiente término en el filtro, en lugar de finalizar el filtro.next term
Se admite un máximo de 1024 acciones por configuración estándar de filtro de firewall sin estado.next term Si configura un filtro estándar que supera este límite, la configuración candidata produce un error de confirmación.