Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de cómo se evalúan los filtros de firewall

Un filtro de firewall consta de uno o más términos, y el orden de los términos dentro de un filtro de firewall es importante. Antes de configurar los filtros de firewall, debe comprender cómo los conmutadores Ethernet de la serie EX de Juniper Networks evalúan los términos dentro de un filtro de firewall y cómo se evalúan los paquetes en función de los términos.

Cuando un filtro de firewall consta de un solo término, el filtro se evalúa de la siguiente manera:

  • Si el paquete coincide con todas las condiciones, se realiza la acción de la then instrucción.

  • Si el paquete coincide con todas las condiciones y no se especifica ninguna acción en la then instrucción, se realiza la acción accept predeterminada.

Cuando un filtro de firewall consta de más de un término, el filtro de firewall se evalúa secuencialmente:

  1. El paquete se evalúa según las condiciones de la from instrucción del primer término.

  2. Si el paquete coincide con todas las condiciones del término, se tomará la acción de la then instrucción y finalizará la evaluación. Los términos posteriores en el filtro no se evalúan.

  3. Si el paquete no coincide con todas las condiciones del término, el paquete se evalúa en contra de las condiciones de la from instrucción en el segundo término.

    Este proceso continúa hasta que el paquete coincide con las condiciones de la from instrucción en uno de los términos posteriores o hasta que no haya más términos en el filtro.

  4. Si un paquete pasa por todos los términos del filtro sin coincidir, el paquete se descarta.

Figura 1 muestra cómo un conmutador de la serie EX evalúa los términos dentro de un filtro de firewall.

Figura 1: Evaluación de términos dentro de un filtro de firewallEvaluación de términos dentro de un filtro de firewall

Si un término no contiene una from instrucción, se considera que el paquete coincide y se realiza la acción en la then instrucción del término.

Si un término no contiene una then instrucción, o si no se ha configurado una acción en la instrucción y el then paquete coincide con las condiciones de la from instrucción del término, el paquete se acepta.

Cada filtro de firewall contiene una instrucción implícita deny al final del filtro, que es equivalente al siguiente término de filtro explícito:

En consecuencia, si un paquete pasa por todos los términos en un filtro sin coincidir con ninguna condición, el paquete se descarta. Si configura un filtro de firewall que no tiene términos, se descartan todos los paquetes que pasan por el filtro.

Temas relacionados