Descripción de cómo se evalúan los filtros de firewall
Un filtro de firewall consta de uno o más términos, y el orden de los términos dentro de un filtro de firewall es importante. Antes de configurar los filtros de firewall, debe comprender cómo los conmutadores Ethernet de la serie EX de Juniper Networks evalúan los términos dentro de un filtro de firewall y cómo se evalúan los paquetes con respecto a los términos.
Cuando un filtro de firewall consta de un solo término, el filtro se evalúa de la siguiente manera:
Si el paquete cumple todas las condiciones, se realiza la acción de la
then
instrucción.Si el paquete cumple todas las condiciones y no se especifica ninguna acción en la
then
instrucción, se realiza la acción accept predeterminada.
Cuando un filtro de firewall consta de más de un término, el filtro de firewall se evalúa secuencialmente:
El paquete se evalúa en función de las condiciones de la
from
instrucción en el primer término.Si el paquete cumple todas las condiciones del término, se realiza la acción de la
then
instrucción y finaliza la evaluación. Los términos posteriores en el filtro no se evalúan.Si el paquete no coincide con todas las condiciones del término, el paquete se evalúa en función de las condiciones de la
from
instrucción en el segundo término.Este proceso continúa hasta que el paquete coincide con las condiciones de la
from
instrucción en uno de los términos siguientes o no hay más términos en el filtro.Si un paquete pasa a través de todos los términos del filtro sin una coincidencia, el paquete se descarta.
Figura 1 muestra cómo un conmutador de la serie EX evalúa los términos dentro de un filtro de firewall.

Si un término no contiene una from
instrucción, se considera que el paquete coincide y se realiza la acción de la then
instrucción del término.
Si un término no contiene una then
instrucción, o si no se ha configurado una acción en la then
instrucción, y el paquete coincide con las condiciones de la from
instrucción del término, se acepta el paquete.
Cada filtro de firewall contiene una instrucción implícita deny
al final del filtro, que es equivalente al siguiente término de filtro explícito:
term implicit-rule { then discard; }
En consecuencia, si un paquete pasa a través de todos los términos en un filtro sin que coincida ninguna condición, el paquete se descarta. Si configura un filtro de firewall que no tiene términos, se descartarán todos los paquetes que pasan a través del filtro.