Descripción de cómo los filtros de firewall prueban el protocolo de un paquete
Al examinar las condiciones de coincidencia, el sistema operativo Junos de Juniper Networks (Junos OS) para conmutadores Ethernet de la serie EX de Juniper Networks solo prueba el campo especificado. El software no prueba implícitamente el encabezado IP para determinar si un paquete es un paquete IP. Por lo tanto, en algunos casos, debe especificar protocol condiciones de coincidencia de campo junto con otras condiciones de coincidencia para asegurarse de que los filtros realizan las coincidencias esperadas.
Si especifica una condición de coincidencia de protocolo o una coincidencia del campo Tipo ICMP o Indicadores TCP, no hay ninguna coincidencia de protocolo implícita. Para las siguientes condiciones de coincidencia, debe especificar explícitamente la condición de coincidencia de protocolo en el mismo término:
destination-port: especifique la coincidencia protocol tcp o protocol udp.
source-port: especifique la coincidencia protocol tcp o protocol udp.
Si no especifica el protocolo al utilizar los campos anteriores, diseñe los filtros cuidadosamente para asegurarse de que cumplen las coincidencias esperadas. Por ejemplo, si especifica una coincidencia de destination-port ssh, el conmutador coincide de forma determinística con cualquier paquete que tenga un valor de 22 en el campo de dos bytes que está dos bytes más allá del final del encabezado IP sin comprobar nunca el campo de protocolo IP.