Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de los filtros de firewall para conmutadores de la serie EX

Los filtros de firewall proporcionan reglas que definen si se deben permitir, denegar o reenviar paquetes que transitan por una interfaz en un conmutador Ethernet serie EX de Juniper Networks desde una dirección de origen a una dirección de destino. Los filtros de firewall se configuran para determinar si se debe permitir, denegar o reenviar tráfico antes de que entre o salga de un puerto, VLAN o interfaz de capa 3 (enrutada) a la que se aplica el filtro de firewall . Para aplicar un filtro de firewall, primero debe configurarlo y, a continuación, aplicarlo a un puerto, VLAN o interfaz de capa 3.

Puede aplicar filtros de firewall a interfaces de red, interfaces Ethernet agregadas (también conocidas como grupos de agregación de vínculos [LAG]), interfaces de circuito cerrado, interfaces de administración, interfaces Ethernet de administración virtual (VME) e interfaces VLAN enrutadas (RVI). Para obtener información sobre los conmutadores de la serie EX que admiten un filtro de firewall en estas interfaces, consulte Descripción general de las características del software del conmutador de la serie EX.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/ex-series-software-features-overview.html

Un filtro de firewall de entrada es un filtro que se aplica a los paquetes que entran en una red. Un filtro de firewall de salida es un filtro que se aplica a los paquetes que salen de una red. Puede configurar filtros de firewall para someter los paquetes a filtrado, marcado de clase de servicio (CoS) (agrupando tipos similares de tráfico y tratando cada tipo de tráfico como una clase con su propia prioridad de nivel de servicio) y vigilancia del tráfico (controlando la tasa máxima de tráfico enviado o recibido en una interfaz).

Nota:

Los aplicadores de políticas en el puerto de red, las capas 2 y 3 o las interfaces IRB no vigilan el tráfico dirigido al host. Pero si desea evitar ataques DDoS, puede crear un filtro de firewall en el lo0 que proteja el motor de enrutamiento.

Tipos de filtro de firewall

Los siguientes tipos de filtros de firewall son compatibles con los conmutadores de la serie EX:

  • Filtro de firewall de puerto (capa 2): los filtros de firewall de puerto se aplican a los puertos de conmutador de capa 2. Puede aplicar filtros de firewall de puertos en las direcciones de entrada y salida en un puerto físico.

  • Filtro de firewall VLAN: los filtros de firewall VLAN proporcionan control de acceso para los paquetes que entran en una VLAN, se puentean dentro de una VLAN o salen de una VLAN. Puede aplicar filtros de firewall VLAN en las direcciones de entrada y salida en una VLAN. Los filtros de firewall VLAN se aplican a todos los paquetes que se reenvían o reenvían desde la VLAN.

  • Filtro de firewall de enrutador (capa 3): puede aplicar un filtro de firewall de enrutador en direcciones de entrada y salida en interfaces de capa 3 (enrutadas) e interfaces VLAN enrutadas (RVI). También puede aplicar un filtro de firewall de enrutador en la dirección de entrada en la interfaz de circuito cerrado ().lo0 Los filtros de firewall configurados en interfaces de circuito cerrado sólo se aplican a los paquetes que se envían a la CPU del motor de enrutamiento para su posterior procesamiento.

Puede aplicar filtros de firewall de puerto, VLAN o enrutador al tráfico IPv4 e IPv6 en estos conmutadores:

  • Conmutador EX2200

  • Conmutador EX3300

  • Conmutador EX3200

  • Conmutador EX4200

  • Conmutador EX4300

  • Conmutador EX4400

  • Conmutador EX4500

  • Conmutador EX4550

  • Conmutador EX6200

  • Conmutador EX8200

Para obtener información sobre los filtros de firewall admitidos en diferentes conmutadores, consulte Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtros de firewall en conmutadores de la serie EX.Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtro de firewall en conmutadores de la serie EX

Componentes del filtro de firewall

En un filtro de firewall, primero se define el tipo de dirección de familia (, , o ) y, a continuación, se definen uno o varios términos que especifican los criterios de filtrado (especificados como términos con condiciones coincidentes) y la acción (especificada como acciones o modificadores de acción) que se debe realizar si se produce una coincidencia.ethernet-switchinginetinet6

El número máximo de términos permitidos por filtro de firewall para los conmutadores de la serie EX es:

  • 512 para conmutadores EX2200

  • 1436 para conmutadores EX3300

    Nota:

    En los conmutadores EX3300, si agrega y elimina filtros con un gran número de términos (del orden de 1000 o más) en la misma operación de confirmación, no se instalan todos los filtros. Debe agregar filtros en una operación de confirmación y eliminar filtros en una operación de confirmación independiente.

  • 7.042 para conmutadores EX3200 y EX4200, asignados por la asignación dinámica de memoria direccionable de contenido ternario (TCAM) para filtros de firewall.

  • En los conmutadores EX4300, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para los archivadores de firewall configurados en un puerto, VLAN e interfaz de capa 3:

    • Para el tráfico de entrada:

      • 3500 términos para filtros de firewall configurados en un puerto

      • 3500 términos para filtros de firewall configurados en una VLAN

      • 7000 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 3500 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    • Para los dispositivos EX4300-MP, la compatibilidad de entrada es la misma que la anterior, con la siguiente excepción:

      • Términos 3072 para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

    • Para el tráfico de salida:

      • 512 términos para filtros de firewall configurados en un puerto

      • 256 términos para filtros de firewall configurados en una VLAN

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6

    Nota:

    Puede configurar el número máximo de términos solo cuando configure un tipo de filtro de firewall (filtro de firewall de puerto, VLAN o enrutador (capa 3)) en el conmutador y cuando el control de tormentas no esté habilitado en ninguna interfaz del conmutador.

  • En el caso de los conmutadores EX4400, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para los filtros de firewall configurados en un puerto, VLAN e interfaces de capa 3.

    • Para el tráfico de entrada:

      • 2048 términos para filtros de firewall configurados en un puerto.

      • 2048 términos para filtros de firewall configurados en una VLAN.

      • 2048 términos para filtros de firewall configurados en interfaces de capa 3.

    • Para el tráfico de salida:

      • 1024 términos para filtros de firewall configurados en un puerto.

      • 512 términos para filtros de firewall configurados en una VLAN.

      • Términos 1024 para filtros de firewall configurados en interfaces de capa 3.

  • 1200 para conmutadores EX4500 y EX4550

  • 1400 para conmutadores EX6200

  • 32.768 para conmutadores EX8200

Nota:

La asignación dinámica bajo demanda del TCAM de espacio compartido en conmutadores EX8200 se logra asignando bloques de espacio libre a los filtros de firewall. Los filtros de firewall se clasifican en dos grupos diferentes. Los filtros de puerto y VLAN se agrupan (el umbral de memoria para este grupo es de 22 K), mientras que los filtros de firewall del enrutador se agrupan por separado (el umbral para este grupo es de 32 K). La asignación se realiza en función del tipo de grupo de filtros. Los bloques de espacio libre solo se pueden compartir entre los filtros de firewall que pertenecen al mismo tipo de grupo de filtros. Se genera un mensaje de error cuando intenta configurar un filtro de firewall más allá del umbral TCAM.

Cada término consta de los siguientes componentes:

  • Condiciones de coincidencia: especifique los valores o campos que debe contener el paquete. Puede definir varias condiciones de coincidencia, incluidos el campo Dirección de origen IP, el campo Dirección de destino IP, el campo de puerto de origen Protocolo de control de transmisión (TCP) o Protocolo de datagramas de usuario (UDP), el campo Protocolo IP, el tipo de paquete del Protocolo de mensajes de control de Internet (ICMP), los indicadores TCP y las interfaces.

  • Acción: especifica qué hacer si un paquete coincide con las condiciones de coincidencia. Las acciones posibles son aceptar o descartar el paquete o enviar el paquete a una interfaz de enrutamiento virtual específica. Además, los paquetes se pueden contar para recopilar información estadística. Si no se especifica ninguna acción para un término, la acción predeterminada es aceptar el paquete.

  • Modificador de acción: especifica una o más acciones para el conmutador si un paquete coincide con las condiciones de coincidencia. Puede especificar modificadores de acción como recuento, reflejo, límite de velocidad y clasificar paquetes.

Procesamiento de filtros de firewall

El orden de los términos dentro de una configuración de filtro de firewall es importante. Los paquetes se prueban con cada término en el orden en que se enumeran los términos en la configuración del filtro de firewall. Para obtener información sobre cómo los filtros de firewall procesan paquetes, consulte Descripción de cómo se evalúan los filtros de firewall.Descripción de cómo se evalúan los filtros de firewall