EN ESTA PÁGINA
Descripción de las condiciones de coincidencia de filtros de firewall
Antes de definir términos para los filtros de firewall, debe comprender cómo se manejan las condiciones de coincidencia que especifique en un término y cómo especificar varios tipos de condiciones de coincidencia para lograr los resultados de filtrado deseados. Una condición de coincidencia consta de una cadena (denominada instrucción de coincidencia) que define la condición de coincidencia. Las condiciones de coincidencia son los valores o campos que debe contener un paquete.
Condiciones de coincidencia de filtros
En la from instrucción de un término de filtro de firewall , especifique las condiciones de paquete que desencadenan la acción en una de las then instrucciones: then con varias opciones, then interface o then vlan. Todas las condiciones de la from declaración deben coincidir para que se tome la acción. El orden en el que se especifican las condiciones de coincidencia no es importante, ya que un paquete debe coincidir con todas las condiciones de un término para que se produzca una coincidencia.
Si especifica que no hay condiciones de coincidencia en un término, ese término coincidirá con todos los paquetes.
Una condición individual de una from instrucción no puede contener una lista de valores. Por ejemplo, no puede especificar rangos numéricos o varias direcciones de origen o destino.
Las condiciones individuales en una from declaración no pueden ser negadas. Una condición negada es una discordancia explícita.
Condiciones de coincidencia del filtro numérico
Las condiciones de filtro numérico coinciden con campos de paquetes que se identifican mediante un valor numérico, como los números de puerto y protocolo. Para las condiciones de coincidencia de filtro numérico, se especifica una palabra clave que identifica la condición y un único valor con el que debe coincidir un campo de un paquete.
Puede especificar el valor numérico de una de las siguientes maneras:
Número único: se produce una coincidencia si el valor del campo coincide con el número. Por ejemplo:
source-port 25;
Sinónimo de texto para un solo número: se produce una coincidencia si el valor del campo coincide con el número que corresponde al sinónimo. Por ejemplo:
source-port http;
Para especificar más de un valor en un término de filtro, escriba cada valor en su propia instrucción de coincidencia, que es una cadena que define una condición de coincidencia. Por ejemplo, se produce una coincidencia en el siguiente término si el valor de vlan es 10 o 30.
[edit firewall family family-name filter filter-name term term-name from] vlan 10; vlan 30;
Se aplican las siguientes restricciones a las condiciones de coincidencia de filtro numérico:
No puede especificar un rango de valores.
No puede especificar una lista de valores separados por comas.
No puede excluir un valor específico en una condición de coincidencia de filtro numérico. Por ejemplo, no puede especificar una condición que sólo coincida si la condición de coincidencia no es igual a un valor determinado.
Condiciones de coincidencia del filtro de interfaz
Las condiciones de coincidencia del filtro de interfaz pueden coincidir con los valores de nombre de interfaz de un paquete. Para condiciones de coincidencia de filtro de interfaz, especifique el nombre de la interfaz, por ejemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/0/1
Las interfaces de puerto y VLAN no utilizan números de unidad lógica. Sin embargo, un filtro de firewall que se aplica a una interfaz de enrutador puede especificar el número de unidad lógica en la condición de coincidencia de filtro de interfaz, por ejemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/1/0.0
Puede incluir el * comodín como parte del nombre de la interfaz, por ejemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/*/1 user@switch# set interface ge-0/1/* user@switch# set interface ge-*
Condiciones de coincidencia del filtro de direcciones IP
Las condiciones de coincidencia del filtro de direcciones pueden coincidir con los valores de prefijo de un paquete, como los prefijos IP de origen y destino. Para las condiciones de coincidencia del filtro de direcciones, especifique una palabra clave que identifique el campo y un prefijo de ese tipo con el que debe coincidir un paquete.
Especifique la dirección como un solo prefijo. Se produce una coincidencia si el valor del campo coincide con el prefijo. Por ejemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10.2.1.0/28;
Cada prefijo contiene una instrucción 0/0 excepto implícita, lo que significa que cualquier prefijo que no coincida con el prefijo especificado se considera explícitamente que no coincide.
Para especificar el prefijo de dirección, utilice la notación prefix/prefix-length. Si omite la longitud del prefijo, el valor predeterminado es /32. Por ejemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10 [edit firewall family family-name filter filter-name term term-name from] user@switch# show destination-address 10.0.0.0/32;
Para especificar más de una dirección IP en un término de filtro, escriba cada dirección en su propia instrucción de coincidencia. Por ejemplo, se produce una coincidencia en el siguiente término si el valor del source-address campo coincide con alguno de los siguientes prefijos de dirección de origen:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-address 10.0.0.0/8 user@switch# set source-address 10.1.0.0/16
Condiciones de coincidencia del filtro de direcciones MAC
Las condiciones de coincidencia del filtro de dirección MAC pueden coincidir con los valores de dirección MAC de origen y destino en un paquete. Para las condiciones de coincidencia del filtro de direcciones MAC, especifique una palabra clave que identifique el campo y un valor de ese tipo con el que debe coincidir un paquete.
Puede especificar la dirección MAC como seis bytes hexadecimales en los siguientes formatos:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 0011.2233.4455
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 00:11:22:33:44:55
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 001122334455
Para especificar más de una dirección MAC en un término de filtro, introduzca cada dirección MAC en su propia instrucción de coincidencia. Por ejemplo, se produce una coincidencia en el término siguiente si el valor del source-mac-address campo coincide con cualquiera de las siguientes direcciones.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-mac-address 00:11:22:33:44:55 user@switch# set source-mac-address 00:11:22:33:20:15
Condiciones de coincidencia del filtro de campo de bits
Las condiciones del filtro de campo de bits coinciden con los campos de paquetes si se establecen o no bits particulares en esos campos. Puede hacer coincidir las opciones de IP, los indicadores TCP y los campos de fragmentación de IP. Para las condiciones de coincidencia de filtro de campo de bits, especifique una palabra clave que identifique el campo y pruebe para determinar que la opción está presente en el campo.
Para especificar el valor del campo de bits que debe coincidir, escriba el valor entre comillas dobles. Por ejemplo, se produce una coincidencia si se establece el RST bit del campo de indicadores TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "rst"
Normalmente, los bits que se van a probar se especifican mediante palabras clave. Las palabras clave de coincidencia de campo de bits siempre se asignan a un único valor de bits. También puede especificar campos de bits como números hexadecimales o decimales.
Para hacer coincidir varios valores de campo de bits, utilice los operadores lógicos, que se describen en Tabla 1. Los operadores se enumeran en orden de mayor a menor prioridad. Las operaciones son asociativas de izquierda.
Operadores lógicos |
Description |
|---|---|
! |
Negación. |
& |
Lógica Y. |
| |
Lógica O. |
Para anular una coincidencia, preceda el valor con un signo de exclamación. Por ejemplo, sólo se produce una coincidencia si no se establece el bit RST del campo de indicadores TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "!rst"
En el ejemplo siguiente de una operación lógica AND, se produce una coincidencia si el paquete es el paquete inicial en una sesión TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn&!ack"
En el ejemplo siguiente de una operación lógica de quirófano, se produce una coincidencia si el paquete forma parte del establecimiento o desmontaje de sesión TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn|fin"
Para una operación OR lógica, puede especificar un máximo de dos condiciones de coincidencia en un solo término. Si necesita hacer coincidir más de dos valores de campo de bits en una operación lógica de quirófano, configure la misma condición de coincidencia en términos consecutivos con valores de campo de bits adicionales. En el ejemplo siguiente, los dos términos configurados coinciden con el bit SYN, ACK, FIN o RST del campo Indicadores TCP:
[edit firewall family family-name filter filter-name term term-name1 from] user@switch# set tcp-flags "syn|ack" [edit firewall family family-name filter filter-name term term-name2 from] user@switch# set tcp-flags "fin|rst"
Puede utilizar sinónimos de texto para especificar algunas coincidencias comunes de campos de bits. Estas coincidencias se especifican como una sola palabra clave. En el ejemplo siguiente de un sinónimo de texto, se produce una coincidencia si el paquete es el paquete inicial en una sesión TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags tcp-initial