Componentes de filtro de firewall sin estado
En este tema, se trata la siguiente información:
Familia de protocolos
En la firewall instrucción, puede especificar la familia de protocolos para la que desea filtrar el tráfico.
Tabla 1 describe las familias de protocolos de filtro de firewall .
Tipo de tráfico que se va a filtrar |
Instrucción de configuración |
Comentarios |
|---|---|---|
Independiente del protocolo |
|
Todas las familias de protocolos configuradas en una interfaz lógica. |
Protocolo de Internet versión 4 (IPv4) |
|
La |
Protocolo de Internet versión 6 (IPv6) |
|
|
MPLS |
|
|
IPv4 con etiqueta MPLS |
|
Admite coincidencias en direcciones y puertos IP, hasta cinco etiquetas apiladas MPLS. |
IPv6 con etiqueta MPLS |
|
Admite coincidencias en direcciones y puertos IP, hasta cinco etiquetas apiladas MPLS. |
Servicio LAN privada virtual (VPLS) |
|
|
Conexión cruzada de circuito de capa 2 |
|
|
Puente de capa 2 |
|
Solo enrutadores serie MX y conmutadores de la serie EX. |
Tipo de filtro
En la family family-name instrucción, puede especificar el tipo y el nombre del filtro que desea configurar.
Tabla 2 describe los tipos de filtro de firewall.
Tipo de filtro |
Instrucción de configuración |
Descripción |
|---|---|---|
| Filtro estándar de firewall |
|
Filtra los siguientes tipos de tráfico:
|
| Filtro de servicio |
|
Define el filtrado de paquetes que se aplicará a la entrada o salida antes de que se acepte para el procesamiento del servicio o se aplique a la devolución del tráfico de servicio después de completar el procesamiento del servicio. Filtra los siguientes tipos de tráfico:
Compatible con interfaces lógicas configuradas solo en el siguiente hardware:
|
| Filtro simple |
|
Define el filtrado de paquetes que se aplicará solo al tráfico de entrada. Filtra el siguiente tipo de tráfico:
Compatible con interfaces lógicas configuradas solo en el siguiente hardware:
|
Términos
En la filterinstrucción , service-filtero simple-filter , debe configurar al menos un término de filtro de firewall. Un término es una estructura denominada en la que se definen condiciones y acciones de coincidencia. En un filtro de firewall, debe configurar un nombre único para cada término.
Para cada familia de protocolos en una interfaz, no puede aplicar más de un filtro en cada dirección. Si intenta aplicar filtros adicionales para la misma familia de protocolos en la misma dirección, el último filtro sobrescribe al filtro anterior. Sin embargo, puede aplicar filtros de la misma familia de protocolos a la dirección de entrada y salida de la misma interfaz.
Todos los filtros de firewall sin estado contienen uno o más términos, y cada término consta de dos componentes: condiciones y acciones de coincidencia. Las condiciones de coincidencia definen los valores o campos que el paquete debe contener para considerarse coincidente. Si un paquete coincide, se realiza la acción correspondiente. De forma predeterminada, se descarta un paquete que no coincida con un filtro de firewall.
Si un paquete llega a una interfaz para la cual no se aplica ningún filtro de firewall para el tráfico entrante en esa interfaz, el paquete se acepta de forma predeterminada.
Un filtro de firewall con una gran cantidad de términos puede afectar negativamente tanto el tiempo de confirmación de configuración como el rendimiento del motor de enrutamiento.
Además, puede configurar un filtro de firewall sin estado dentro del término de otro filtro. Este método le permite agregar términos comunes a varios filtros sin tener que modificar todas las definiciones de filtro. Puede configurar un filtro con los términos comunes deseados y configurar este filtro como un término en otros filtros. En consecuencia, para hacer un cambio en estos términos comunes, debe modificar solo un filtro que contenga los términos comunes, en lugar de varios filtros.
Condiciones de coincidencia
Un término de filtro de firewall debe contener al menos un criterio de filtrado de paquetes, denominado condición de coincidencia, para especificar el campo o el valor que debe contener un paquete para ser considerado como una coincidencia para el término de filtro de firewall. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término. Si un paquete coincide con un término de filtro de firewall, el enrutador (o conmutador) realiza la acción configurada en el paquete.
Si un término de filtro de firewall contiene varias condiciones de coincidencia, un paquete debe cumplir con todas las condiciones de coincidencia para ser considerado como una coincidencia para el término de filtro de firewall.
Si se configura una condición de coincidencia única con varios valores, como un rango de valores, un paquete debe coincidir solo con uno de los valores que se considerarán coincidencia para el término de filtro de firewall.
El alcance de las condiciones de coincidencia que puede especificar en un término de filtro de firewall depende de la familia de protocolos bajo la cual está configurado el filtro de firewall. Puede definir varias condiciones de coincidencia, como el campo de dirección IP de origen, el campo de dirección de destino IP, el campo de puerto de origen TCP o UDP, el campo de protocolo IP, el tipo de paquete de protocolo de mensaje de control de Internet (ICMP), las opciones ip, las marcas TCP, la interfaz lógica o física entrante y la interfaz lógica o física de salida. Estas son condiciones de coincidencia predefinidas o fijas.
En los enrutadores de borde universales 3D serie MX con MPC o MIC, es posible crear condiciones de coincidencia flexibles para las familias de protocolos IPv4, IPv6, puente de capa 2, CCC y VPLS. Estas condiciones de coincidencia flexibles permiten que un usuario especifique la ubicación de inicio, el desplazamiento de bytes, la longitud de coincidencia y otros parámetros dentro del paquete.
Cada familia de protocolos admite un conjunto diferente de condiciones de coincidencia, y algunas condiciones de coincidencia solo se admiten en ciertos dispositivos de enrutamiento. Por ejemplo, una serie de condiciones de coincidencia para el tráfico VPLS solo se admiten en los enrutadores de borde universal 3D serie MX.
En la from instrucción en un término de filtro de firewall, se especifican las características que el paquete debe tener para la acción en la instrucción posterior then que se va a realizar. Las características se denominan condiciones de coincidencia. El paquete debe coincidir con todas las condiciones de la from instrucción para que se realice la acción, lo que también significa que el orden de las condiciones en la from instrucción no es importante.
Si una condición de coincidencia individual puede especificar una lista de valores (como varias direcciones de origen y destino) o un rango de valores numéricos, se produce una coincidencia si alguno de los valores coincide con el paquete.
Si un término de filtro no especifica condiciones de coincidencia, el término acepta todos los paquetes y las acciones especificadas en la instrucción del then término son opcionales.
Algunas de las condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para obtener una lista completa de sinónimos:
Si utiliza la interfaz J-Web, seleccione el sinónimo de la lista adecuada.
Si usa la CLI, escriba un signo de interrogación (
?) después de lafrominstrucción.
Acciones
Las acciones especificadas en un término de filtro de firewall definen las acciones que se deben realizar para cualquier paquete que coincida con las condiciones especificadas en el término.
Las acciones que se configuran dentro de un solo término se toman todas en el tráfico que coincide con las condiciones configuradas.
Recomendamos que configure explícitamente una o más acciones por término de filtro de firewall. Cualquier paquete que coincida con todas las condiciones del término se acepta automáticamente, a menos que el término especifique otras acciones o más.
Las acciones de filtro de firewall se encuentran en las siguientes categorías:
Acciones de terminación de filtros
Una acción de terminación de filtros detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se examinan términos adicionales.
Acciones nominativas
Las acciones no determinación se utilizan para realizar otras funciones en un paquete, como incrementar un contador, registrar información sobre el encabezado del paquete, tomar muestras de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema.
La presencia de una acción nominante, como , o , sin una acción de finalización explícita, como , discardo reject, da como acceptresultado una acción predeterminada de finalización de accept.sysloglogcount Si no desea que la acción de filtro de firewall finalice, utilice la next term acción después de la acción nominante.
En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término next term de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.
En este ejemplo, el término 2 nunca se evalúa, ya que el término 1 tiene la acción implícita de finalización predeterminada accept .
[edit firewall filter test]
term 1 {
from {
source-address {
0.0.0.0/0;
}
}
then {
log;
<accept> #By default if not specified
}
}
term 2 {
then {
reject;
}
}
En este ejemplo, se evalúa el término 2, porque el término 1 tiene la acción explícita next term de control de flujo.
[edit firewall filter test]
term 1 {
from {
source-address {
0.0.0.0/0;
}
}
then {
log;
next term;
}
}
term 2 {
then {
reject;
}
}
Acción de control de flujo
Solo para filtros de firewall estándar sin estado, la acción next term permite que el enrutador (o conmutador) realice acciones configuradas en el paquete y, luego, evalúe el siguiente término en el filtro, en lugar de terminar el filtro.
Se admiten un máximo de 1024 next term acciones por configuración estándar de filtro de firewall sin estado. Si configura un filtro estándar que supere este límite, la configuración de candidato produce un error de confirmación.