Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de cómo se evalúan los filtros de Firewall

Un filtro de Firewall se compone de uno o varios términos, y el orden de los términos en un filtro de Firewall es importante. Antes de configurar filtros de cortafuegos, debe comprender cómo Juniper Networks conmutadores Ethernet de la serie EX evalúan los términos en un filtro de cortafuegos y cómo se evalúan los paquetes según los términos.

Cuando un filtro de Firewall se compone de un único término, el filtro se evalúa de la siguiente manera:

  • Si el paquete coincide con todas las condiciones, se tomará then la acción de la instrucción.

  • Si el paquete coincide con todas las condiciones y no se especifica ninguna acción en la instrucción, se toma thenaccept la acción predeterminada.

Cuando un filtro de Firewall se compone de más de un término, el filtro del firewall se evalúa secuencialmente:

  1. El paquete se evalúa en función de las condiciones from de la instrucción del primer término.

  2. Si el paquete coincide con todas las condiciones del término, se toma la acción then de la instrucción y finaliza la evaluación. Los siguientes términos del filtro no se evalúan.

  3. Si el paquete no coincide con todas las condiciones del término, el paquete se evalúa en función de las condiciones de from la instrucción del segundo término.

    Este proceso continúa hasta que el paquete coincida con las condiciones de from la instrucción en uno de los siguientes términos o porque no haya más términos en el filtro.

  4. Si un paquete pasa por todos los términos del filtro sin una coincidencia, el paquete se descarta.

Figura 1muestra cómo un conmutador de serie EX evalúa los términos en un filtro de cortafuegos.

Figura 1: Evaluación de términos en un filtro de FirewallEvaluación de términos en un filtro de Firewall

Si un término no contiene una from instrucción, el paquete se considera que coincide y se toma la acción de then la declaración del término.

Si un término no contiene una then instrucción o si no se ha configurado una acción en la then instrucción, y el paquete coincide con las condiciones de la from instrucción del término, se acepta el paquete.

Cada filtro de Firewall contiene una deny instrucción implícita al final del filtro, lo que equivale al siguiente término de filtro explícito:

Por lo tanto, si un paquete pasa por todos los términos de un filtro sin que coincida ninguna condición, el paquete se descarta. Si configura un filtro de firewall que no tiene términos, se descartarán todos los paquetes que atraviesan el filtro.