Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de filtros de firewall para conmutadores de la serie EX

Los filtros de firewall proporcionan reglas que definen si se deben permitir, denegar o reenviar paquetes que están transitando una interfaz en un conmutador Ethernet de la serie EX de Juniper Networks desde una dirección de origen a una dirección de destino. Configure los filtros de firewall para determinar si desea permitir, denegar o reenviar tráfico antes de que entre o salga de un puerto, VLAN o interfaz de capa 3 (enrutada) al que se aplica el filtro de firewall . Para aplicar un filtro de firewall, primero debe configurarlo y, luego, aplicarlo a un puerto, VLAN o interfaz de capa 3.

Puede aplicar filtros de firewall a interfaces de red, interfaces Ethernet agregadas (también conocidas como grupos de agregación de vínculos (LAG)), interfaces de circuito cerrado, interfaces de administración, interfaces Ethernet de administración virtual (VLE) e interfaces VLAN enrutadas (RVI). Para obtener más información sobre los conmutadores de la serie EX que admiten un filtro de firewall en estas interfaces, consulte Descripción general de las características del software del conmutador serie EX.

Un filtro de firewall de entrada es un filtro que se aplica a los paquetes que entran en una red. Un filtro de firewall de salida es un filtro que se aplica a los paquetes que salen de una red. Puede configurar filtros de firewall para someter paquetes a filtrado, marcación de clase de servicio (CoS) (agrupando tipos de tráfico similares y tratando cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y control de tráfico (controlando la tasa máxima de tráfico enviado o recibido en una interfaz).

Nota:

Los policías en el puerto de red, las capas 2 y 3 o las interfaces IRB no vigilan el tráfico vinculado al host. Pero si desea evitar ataques de DDoS, puede crear un filtro de firewall en el lo0 que proteja el motor de enrutamiento.

Tipos de filtro de firewall

Se admiten los siguientes tipos de filtro de firewall para conmutadores de la serie EX:

  • Filtro de firewall de puerto (capa 2): los filtros de puerto de firewall se aplican a los puertos de conmutación de capa 2. Puede aplicar filtros de firewall de puerto tanto en direcciones de entrada como de salida en un puerto físico.

  • Filtro de firewall de VLAN: los filtros de firewall de VLAN proporcionan control de acceso para los paquetes que entran en una VLAN, se puentean dentro de una VLAN o salen de una VLAN. Puede aplicar filtros de firewall de VLAN tanto en direcciones de entrada como de salida en una VLAN. Los filtros de firewall de VLAN se aplican a todos los paquetes que se reenvían a la VLAN o se reenvían desde la VLAN.

  • Filtro de firewall de enrutador (capa 3): puede aplicar un filtro de firewall de enrutador en las direcciones de entrada y salida en interfaces de capa 3 (enrutada) y en interfaces VLAN (RVI) enrutadas. También puede aplicar un filtro de firewall de enrutador en la dirección de entrada en la interfaz de circuito cerrado (lo0). Los filtros de firewall configurados en interfaces de circuito cerrado solo se aplican a los paquetes que se envían a la CPU del motor de enrutamiento para su posterior procesamiento.

Puede aplicar filtros de puerto, VLAN o firewall de enrutador a tráfico IPv4 e IPv6 en estos conmutadores:

  • Conmutador EX2200

  • Conmutador EX3300

  • Conmutador EX3200

  • Conmutador EX4200

  • Conmutador EX4300

  • Conmutador EX4500

  • Conmutador EX4550

  • Conmutador EX6200

  • Conmutador EX8200

Para obtener más información sobre los filtros de firewall compatibles con diferentes conmutadores, consulte Soporte de plataforma para condiciones, acciones y modificadores de acciones de coincidencia de filtros de firewall en conmutadores de la serie EX.

Componentes de filtro de firewall

En un filtro de firewall, primero se define el tipo de dirección de familia (ethernet-switching, , o inet6), y, a continuación, inetse definen uno o varios términos que especifican los criterios de filtrado (especificados como términos con condiciones de coincidencia) y la acción (especificada como acciones o modificadores de acción) que se deben realizar si se produce una coincidencia.

La cantidad máxima de términos permitidos por filtro de firewall para conmutadores serie EX es:

  • 512 para conmutadores EX2200

  • 1436 para conmutadores EX3300

    Nota:

    En conmutadores EX3300, si agrega y elimina filtros con una gran cantidad de términos (del orden de 1000 o más) en la misma operación de confirmación, no todos los filtros están instalados. Debe agregar filtros en una operación de confirmación y eliminar filtros en una operación de confirmación independiente.

  • 7042 para conmutadores EX3200 y EX4200, según lo asignado por la asignación dinámica de memoria direccionable de contenido ternario (TCAM) para filtros de firewall.

  • En los conmutadores EX4300, se admite la siguiente cantidad máxima de términos para el tráfico de entrada y salida, para los filers de firewall configurados en un puerto, una VLAN y una interfaz de capa 3:

    • Para el tráfico de entrada:

      • 3500 términos para filtros de firewall configurados en un puerto

      • 3500 términos para filtros de firewall configurados en una VLAN

      • 7000 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 3500 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    • Para dispositivos EX4300-MP, la compatibilidad de entrada es la misma que la anterior con la siguiente excepción:

      • 3072 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

    • Para el tráfico de salida:

      • 512 términos para filtros de firewall configurados en un puerto

      • 256 términos para filtros de firewall configurados en una VLAN

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    Nota:

    Solo puede configurar la cantidad máxima de términos cuando configura un tipo de filtro de firewall (filtro de puerto, VLAN o firewall de enrutador (capa 3) en el conmutador y cuando el control de tormentas no está habilitado en ninguna interfaz del conmutador.

  • 1200 para conmutadores EX4500 y EX4550

  • 1400 para conmutadores EX6200

  • 32 768 para conmutadores EX8200

Nota:

La asignación dinámica a pedido del espacio compartido TCAM en conmutadores EX8200 se logra mediante la asignación de bloques de espacio libre a filtros de firewall. Los filtros de firewall se categorizan en dos grupos diferentes. Los filtros de puerto y VLAN se agrupan juntos (el umbral de memoria de este grupo es 22K) mientras que los filtros de firewall del enrutador se agrupan por separado (el umbral de este grupo es 32K). La asignación se realiza según el tipo de grupo de filtros. Los bloques de espacio libre solo se pueden compartir entre los filtros de firewall que pertenecen al mismo tipo de grupo de filtros. Se genera un mensaje de error cuando intenta configurar un filtro de firewall más allá del umbral TCAM.

Cada término consta de los siguientes componentes:

  • Condiciones de coincidencia (Match conditions): permite especificar los valores o campos que debe contener el paquete. Puede definir varias condiciones de coincidencia, incluyendo el campo de dirección ip de origen, el campo de dirección ip de destino, el campo de puerto de origen protocolo de control de transmisión (TCP) o protocolo de datagrama de usuario (UDP), el campo de protocolo ip, el tipo de paquete del protocolo de mensaje de control de Internet (ICMP), las marcas TCP y las interfaces.

  • Acción: permite especificar qué hacer si un paquete coincide con las condiciones de coincidencia. Las acciones posibles son aceptar o descartar el paquete o enviarlo a una interfaz de enrutamiento virtual específica. Además, los paquetes se pueden contar para recopilar información estadística. Si no se especifica ninguna acción para un término, la acción predeterminada es aceptar el paquete.

  • Modificador de acciones: especifica una o más acciones para el conmutador si un paquete coincide con las condiciones de coincidencia. Puede especificar modificadores de acciones como recuento, espejo, límite de velocidad y clasificar paquetes.

Procesamiento de filtros de firewall

El orden de los términos dentro de la configuración de un filtro de firewall es importante. Los paquetes se prueban con cada término en el orden en que los términos se enumeran en la configuración del filtro de firewall. Para obtener más información sobre cómo los filtros de firewall procesan los paquetes, consulte Descripción de cómo se evalúan los filtros de firewall.