Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Componentes de filtro de Firewall sin estado

En este tema se trata la siguiente información:

Familia de protocolos

En el firewall extracto, puede especificar la familia de protocolos para la que desea filtrar el tráfico.

Tabla 1describe las familias de protocolos del filtro de Firewall .

Tabla 1: Familias de protocolos de filtro de Firewall

Tipo de tráfico que se va a filtrar

Instrucción de configuración

Comentarios

Independiente del Protocolo

family any

Todas las familias de protocolos configuradas en una interfaz lógica.

Protocolo de Internet versión 4 (IPv4)

family inet

La family inet instrucción es opcional para IPv4.

Protocolo de Internet versión 6 (IPv6)

family inet6

 

MPLS

family mpls

 

MPLS IPv4 con etiquetas

family mpls

Admite la coincidencia en puertos y direcciones IP, hasta en cinco MPLS etiquetas apiladas.

IPv6 con etiqueta de MPLS

family mpls

Admite la coincidencia en puertos y direcciones IP, hasta en cinco MPLS etiquetas apiladas.

Servicio LAN privada virtual (VPLS)

family vpls

Conexión cruzada de circuito de capa 2

family ccc

Puente de capa 2

family bridge (para enrutadores serie MX) y family ethernet-switching (para conmutadores de la serie EX)

Enrutadores serie MX y solo conmutadores de la serie EX.

Tipo de filtro

En el family family-name extracto, puede especificar el tipo y el nombre del filtro que desea configurar.

Tabla 2describe los tipos de filtro del firewall.

Tabla 2: Tipos de filtro

Tipo de filtro

Instrucción de configuración

Descripción

Filtro de firewall estándar

filter filter-name

Filtra los siguientes tipos de tráfico:

  • Independiente del Protocolo

  • IPv4

  • IPv6

  • MPLS

  • MPLS IPv4 con etiquetas

  • IPv6 con etiqueta de MPLS

  • VPLS

  • CCC de capa 2

  • Puente de capa 2 (solo enrutadores serie MX y conmutadores de la serie EX)

Filtro de servicio

service-filter service-filter-name

Define el filtrado de paquetes que se aplicará a la entrada o salida antes de aceptarse para procesar el servicio o aplicarla para devolver el tráfico del servicio una vez completado el procesamiento del servicio.

Filtra los siguientes tipos de tráfico:

  • IPv4

  • IPv6

Solo se admite en interfaces lógicas configuradas en el siguiente hardware:

  • CPC de servicios adaptativos (AS) en M Series y serie T routers

  • LAS PICs multiservicios (MS) en enrutadores M Series serie T seguro

  • DPC multiservicios (MS) en enrutadores serie MX (y conmutadores serie EX)

Filtro sencillo

simple-filter simple-filter-name

Define el filtrado de paquetes que se aplicará solo al tráfico de entrada.

Filtra el siguiente tipo de tráfico:

  • IPv4

Solo se admite en interfaces lógicas configuradas en el siguiente hardware:

  • LAS CPC de la Cola Inteligente Gigabit Ethernet (IQ2) instaladas en enrutadores M120, M320 o serie T estándar

  • Concentradores de puertos densos de cola mejorados (DPC DESA) instalados en enrutadores serie MX (y conmutadores de la serie EX)

Función

En la filterinstrucción service-filter, o simple-filter , debe configurar al menos un términode filtro de Firewall. Un término es una estructura con nombre en la que se definen condiciones y acciones de coincidencia. Dentro de un filtro de firewall, debe configurar un nombre único para cada término.

Consejo:

Para cada familia de protocolos de una interfaz, no puede aplicar más de un filtro en cada dirección. Si intenta aplicar filtros adicionales para la misma familia de protocolos en la misma dirección, el último filtro sobrescribirá el filtro anterior. Sin embargo, puede aplicar filtros de la misma familia de protocolos a la dirección de entrada y salida de la misma interfaz.

Todos los filtros de firewall sin estado contienen uno o más términos, y cada término consta de dos componentes: condiciones de coincidencia y acciones. Las condiciones de coincidencia definen los valores o los campos que el paquete debe contener para que se considere que coinciden. Si un paquete coincide, se tomará la acción correspondiente. De forma predeterminada, un paquete que no coincide con un filtro de Firewall se descarta.

Si un paquete llega a una interfaz para la que no se aplica ningún filtro de cortafuegos para el tráfico entrante de dicha interfaz, el paquete se aceptará de forma predeterminada.

Nota:

Un filtro de firewall con una gran cantidad de términos puede afectar negativamente tanto al tiempo de confirmación de configuración como al rendimiento de la motor de enrutamiento.

Además, puede configurar un filtro de Firewall sin estado dentro del término de otro filtro. Este método le permite agregar términos comunes a varios filtros sin tener que modificar todas las definiciones de filtro. Puede configurar un filtro con los términos comunes deseados y configurar este filtro como un término en otros filtros. Por lo tanto, para hacer un cambio en estas condiciones comunes, solo debe modificar un filtro que contenga los términos comunes, en lugar de varios filtros.

Condiciones de coincidencia

Un término de filtro de Firewall debe contener al menos un criterio de filtro de paquetes, que se denomina condición de coincidencia, para especificar el campo o valor que un paquete debe contener para que se considere una coincidencia con el término de filtro de Firewall. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término. Si un paquete coincide con un término de filtro de firewall, el enrutador (o conmutador) tomará la acción configurada en el paquete.

Si un término de filtro de Firewall contiene varias condiciones de coincidencia, un paquete debe cumplir todas las condiciones de coincidencia para que se considere una coincidencia para el término de filtro de Firewall.

Si una sola condición de coincidencia está configurada con varios valores, como un rango de valores, un paquete solo debe coincidir con uno de los valores para que se considere una coincidencia para el término de filtro de Firewall.

El ámbito de las condiciones de coincidencia que puede especificar en un término de filtro de cortafuegos depende de la familia de protocolos en la que se configure el filtro de cortafuegos. Puede definir varias condiciones de coincidencia, como el campo de dirección IP de origen, el campo de dirección IP de destino, el campo de puerto de origen TCP o UDP, el campo protocolo IP, el tipo de paquete de protocolo de mensajes de Internet (ICMP), las opciones IP, los indicadores TCP, los o lógico o físico entrante interfaz, y de salida de la interfaz física o lógica. Éstas son condiciones predefinidas, o fijas, de coincidencia.

En los enrutadores de borde Universal 3D de la serie MX con MPCs o MICs, es posible generar condiciones flexibles de coincidencia para las familias de protocolos IPv4, IPv6, puente de capa 2, CCC y VPLS. Estas condiciones flexibles de coincidencia permiten al usuario especificar la ubicación de inicio, el desplazamiento de bytes, la longitud de coincidencia y otros parámetros dentro del paquete.

Cada familia de protocolos admite un conjunto diferente de condiciones de coincidencia y algunas condiciones de coincidencia sólo se admiten en ciertos dispositivos de enrutamiento. Por ejemplo, solo se admiten varias condiciones de coincidencia para el tráfico VPLS en los enrutadores de borde universales 3D serie MX.

En la from instrucción de un término de filtro de firewall, especifique características que el paquete debe tener para que la acción de then la siguiente instrucción se realice. Estas características se denominan condiciones de coincidencia. El paquete debe coincidir con todas las from condiciones de la instrucción para la acción que se va a llevar a cabo, lo que también significa from que el orden de las condiciones en la instrucción no es importante.

Si una condición individual de coincidencia puede especificar una lista de valores (como varias direcciones de origen y destino) o un rango de valores numéricos, se producirá una coincidencia si cualquiera de los valores coincide con el paquete.

Si un término de filtro no especifica condiciones de coincidencia, el término acepta todos los paquetes y las acciones especificadas en la instrucción del término then son opcionales.

Nota:

Algunas condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para obtener una lista completa de sinónimos:

  • Si está utilizando la interfaz de J-Web, seleccione el sinónimo en la lista adecuada.

  • Si está utilizando la CLI, escriba un signo de interrogación?() después from de la instrucción.

Realizadas

Las acciones especificadas en un término de filtro de Firewall definen las acciones que se deben llevar a cabo para cualquier paquete que cumpla con las condiciones especificadas en el término.

Todas las acciones configuradas dentro de un único término se toman del tráfico que coincide con las condiciones configuradas.

mejores prácticas:

Es muy recomendable que configure explícitamente una o varias acciones por término de filtro de Firewall. Cualquier paquete que cumpla todas las condiciones del término se acepta automáticamente a menos que el término especifique otras acciones o más.

Las acciones de filtro de Firewall se dividen en las siguientes categorías:

Acciones de terminación de filtro

Una acción de terminación de filtros detiene toda la evaluación de un filtro de Firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se examinan los términos adicionales.

Acciones de no terminación

Las acciones de no terminación se utilizan para realizar otras funciones en un paquete, como incrementar un contador, registrar información sobre el encabezado del paquete, realizar el muestreo de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema.

La presencia de una acción de no terminación, como count, logo syslog, sin una acción de acceptterminación explícita, discardcomo, o, o reject, o bien, si se produce una acceptacción de terminación predeterminada de. Si no desea que la acción de filtro de cortafuegos finalice, utilice next term la acción después de la acción de no terminación.

Nota:

En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

En este ejemplo, el término 2 nunca se evalúa, ya que el término 1 tiene accept la acción de terminación predeterminada implícita.

En este ejemplo, se evalúa el término 2, ya que el término 1 next term tiene la acción de control de flujo explícita.

Acción de control de flujo

Únicamente para los filtros estándar de cortafuegos sin estado next term , la acción permite que el enrutador (o conmutador) realice acciones configuradas en el paquete y, a continuación, evalúe el siguiente término en el filtro, en lugar de terminar el filtro.

Se admite un máximo next term de 1024 acciones por configuración de filtro estándar de Firewall sin estado. Si configura un filtro estándar que supere este límite, la configuración de candidato producirá un error de confirmación.