Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Componentes del filtro de firewall sin estado

En este tema se trata la siguiente información:

Familia de protocolos

En la firewall instrucción, puede especificar la familia de protocolos para la que desea filtrar el tráfico.

Tabla 1 Describe las familias de protocolos de filtro de firewall .

Tabla 1: Familias de protocolos de filtro de firewall

Tipo de tráfico que se va a filtrar

Declaración de configuración

Comentarios

Independiente del protocolo

family any

Todas las familias de protocolos configuradas en una interfaz lógica.

Protocolo de Internet versión 4 (IPv4)

family inet

La family inet instrucción es opcional para IPv4.

Protocolo de Internet versión 6 (IPv6)

family inet6

 

MPLS

family mpls

 

IPv4 etiquetado con MPLS

family mpls

Admite coincidencias en direcciones IP y puertos, hasta cinco etiquetas apiladas MPLS.

IPv6 etiquetado con MPLS

family mpls

Admite coincidencias en direcciones IP y puertos, hasta cinco etiquetas apiladas MPLS.

Servicio de LAN privada virtual (VPLS)

family vpls

Conexión cruzada de circuitos de capa 2

family ccc

Puente de capa 2

family bridge (para enrutadores de la serie MX) y family ethernet-switching (para conmutadores de la serie EX)

Solo enrutadores serie MX y conmutadores serie EX.

Tipo de filtro

En la family family-name instrucción, puede especificar el tipo y el nombre del filtro que desea configurar.

Tabla 2 Describe los tipos de filtro de firewall.

Tabla 2: Tipos de filtro

Tipo de filtro

Declaración de configuración

Description

Filtro de firewall estándar

filter filter-name

Filtra los siguientes tipos de tráfico:

  • Independiente del protocolo

  • IPv4

  • IPv6

  • MPLS

  • IPv4 etiquetado con MPLS

  • IPv6 etiquetado con MPLS

  • VPLS

  • CCC de capa 2

  • Puente de capa 2 (solo enrutadores serie MX y conmutadores serie EX)

Filtro de servicio

service-filter service-filter-name

Define el filtrado de paquetes que se aplicará a la entrada o salida antes de que se acepte para el procesamiento del servicio o se aplique al tráfico de servicio que devuelve una vez completado el procesamiento del servicio.

Filtra los siguientes tipos de tráfico:

  • IPv4

  • IPv6

Solo se admite en interfaces lógicas configuradas en el siguiente hardware:

  • PIC de servicios adaptativos (AS) en enrutadores serie M y T

  • PIC multiservicios (MS) en enrutadores serie M y T

  • DPC multiservicios (MS) en enrutadores serie MX (y conmutadores serie EX)

Filtro simple

simple-filter simple-filter-name

Define el filtrado de paquetes que se aplicará únicamente al tráfico de entrada.

Filtra el siguiente tipo de tráfico:

  • IPv4

Solo se admite en interfaces lógicas configuradas en el siguiente hardware:

  • PIC de cola inteligente Gigabit Ethernet (IQ2) instaladas en enrutadores serie M120, M320 o T

  • Concentradores de puertos densos (EQ DPC) de cola mejorados instalados en enrutadores de la serie MX (y conmutadores de la serie EX)

Letra chica

En la instrucción , service-filtero , debe simple-filter configurar al menos un término de filterfiltro de firewall. Un término es una estructura con nombre en la que se definen condiciones y acciones coincidentes. Dentro de un filtro de firewall, debe configurar un nombre único para cada término.

Consejo:

Para cada familia de protocolos en una interfaz, no puede aplicar más de un filtro en cada dirección. Si intenta aplicar filtros adicionales para la misma familia de protocolos en la misma dirección, el último filtro sobrescribe el filtro anterior. Sin embargo, puede aplicar filtros de la misma familia de protocolos a la dirección de entrada y salida de la misma interfaz.

Todos los filtros de firewall sin estado contienen uno o más términos, y cada término consta de dos componentes: condiciones de coincidencia y acciones. Las condiciones de coincidencia definen los valores o campos que debe contener el paquete para que se considere una coincidencia. Si un paquete coincide, se realiza la acción correspondiente. De forma predeterminada, se descarta un paquete que no coincida con un filtro de firewall.

Si un paquete llega a una interfaz para la que no se aplica ningún filtro de firewall para el tráfico entrante en esa interfaz, el paquete se acepta de forma predeterminada.

Nota:

Un filtro de firewall con un gran número de términos puede afectar negativamente tanto al tiempo de confirmación de configuración como al rendimiento del motor de enrutamiento.

Además, puede configurar un filtro de firewall sin estado dentro del término de otro filtro. Este método permite agregar términos comunes a varios filtros sin tener que modificar todas las definiciones de filtro. Puede configurar un filtro con los términos comunes deseados y configurarlo como un término en otros filtros. Por consiguiente, para realizar un cambio en estos términos comunes, debe modificar solo un filtro que contenga los términos comunes, en lugar de varios filtros.

Condiciones del partido

Un término de filtro de firewall debe contener al menos un criterio de filtrado de paquetes, denominado condición de coincidencia, para especificar el campo o valor que debe contener un paquete para que se considere una coincidencia para el término de filtro de firewall. Para que se produzca una coincidencia, el paquete debe cumplir todas las condiciones del término. Si un paquete coincide con un término de filtro de firewall, el enrutador (o conmutador) realiza la acción configurada en el paquete.

Si un término de filtro de firewall contiene varias condiciones de coincidencia, un paquete debe cumplir todas las condiciones de coincidencia para que se considere una coincidencia para el término de filtro de firewall.

Si se configura una condición de coincidencia única con varios valores, como un rango de valores, un paquete debe coincidir solo con uno de los valores para que se considere una coincidencia para el término de filtro del firewall.

El ámbito de las condiciones de coincidencia que puede especificar en un término de filtro de firewall depende de la familia de protocolos con la que esté configurado el filtro de firewall. Puede definir varias condiciones de coincidencia, incluidos el campo Dirección de origen IP, el campo Dirección de destino IP, el campo Puerto de origen TCP o UDP, el campo de protocolo IP, el tipo de paquete del Protocolo de mensajes de control de Internet (ICMP), las opciones IP, los indicadores TCP, la interfaz lógica o física entrante y la interfaz lógica o física saliente. Estas son condiciones de coincidencia predefinidas o fijas.

En los enrutadores de borde universal 3D serie MX con MPC o MIC, es posible crear condiciones de coincidencia flexibles para las familias de protocolos IPv4, IPv6, puente de capa 2, CCC y VPLS. Estas condiciones flexibles de coincidencia permiten al usuario especificar la ubicación de inicio, el desplazamiento de bytes, la longitud de coincidencia y otros parámetros dentro del paquete.

Cada familia de protocolos admite un conjunto diferente de condiciones de coincidencia, y algunas condiciones de coincidencia solo se admiten en ciertos dispositivos de enrutamiento. Por ejemplo, varias condiciones de coincidencia para el tráfico VPLS solo se admiten en los enrutadores de borde universal 3D de la serie MX.

En la from instrucción de un término de filtro de firewall, se especifican las características que debe tener el paquete para que se realice la acción de la instrucción siguiente then . Las características se denominan condiciones de coincidencia. El paquete debe coincidir con todas las condiciones de la from instrucción para que se realice la acción, lo que también significa que el orden de las condiciones en la from instrucción no es importante.

Si una condición de coincidencia individual puede especificar una lista de valores (como varias direcciones de origen y destino) o un rango de valores numéricos, se produce una coincidencia si alguno de los valores coincide con el paquete.

Si un término de filtro no especifica condiciones de coincidencia, el término acepta todos los paquetes y las acciones especificadas en la instrucción del término son opcionales then .

Nota:

Algunas de las condiciones de coincidencia de rango numérico y campo de bits permiten especificar un sinónimo de texto. Para obtener una lista completa de sinónimos:

  • Si utiliza la interfaz J-Web, seleccione el sinónimo de la lista correspondiente.

  • Si utiliza la CLI, escriba un signo de interrogación (?) después de la from instrucción.

Acciones

Las acciones especificadas en un término de filtro de firewall definen las acciones que se deben realizar para cualquier paquete que coincida con las condiciones especificadas en el término.

Todas las acciones que se configuran en un solo término se realizan en el tráfico que coincide con las condiciones configuradas.

Mejores prácticas:

Se recomienda encarecidamente configurar explícitamente una o varias acciones por término de filtro de firewall. Cualquier paquete que coincida con todas las condiciones del término se acepta automáticamente a menos que el término especifique otras acciones o acciones adicionales.

Las acciones de filtro de firewall se dividen en las siguientes categorías:

Acciones de terminación de filtro

Una acción de terminación de filtro detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se examinan términos adicionales.

Acciones de no terminación

Las acciones de no terminación se utilizan para realizar otras funciones en un paquete, como incrementar un contador, registrar información sobre el encabezado del paquete, muestrear los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema.

La presencia de una acción de no terminación, como count, logo syslog, sin una acción de terminación explícita, como accept, discard, o reject, da como resultado una acción de terminación predeterminada de accept. Si no desea que finalice la acción de filtro de firewall, utilice la acción después de next term la acción de no terminación.

Nota:

En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término de filtro en el que next term se especifica como una acción pero sin ninguna condición de coincidencia configurada.

En este ejemplo, el término 2 nunca se evalúa, porque el término 1 tiene la acción de terminación predeterminada accept implícita.

En este ejemplo, se evalúa el término 2, porque el término 1 tiene la acción explícita next term de control de flujo.

Acción de control de flujo

Solo para filtros de firewall sin estado estándar, la acción next term permite que el enrutador (o conmutador) realice acciones configuradas en el paquete y, a continuación, evalúe el siguiente término en el filtro, en lugar de finalizar el filtro.

Se admite un máximo de 1024 next term acciones por configuración estándar de filtro de firewall sin estado. Si configura un filtro estándar que supera este límite, la configuración candidata produce un error de confirmación.