Descripción de la planificación de filtros de firewall
Antes de crear un filtro de firewall y aplicarlo a una interfaz, determine qué desea que logre el filtro de firewall y cómo utilizar sus condiciones y acciones de coincidencia para lograr sus objetivos. Debe comprender cómo se hace coincidir los paquetes para que coincidan con las condiciones, las acciones predeterminadas y configuradas del filtro de firewall, y la colocación adecuada del filtro de firewall.
Puede configurar y aplicar no más de un filtro de firewall por puerto, VLAN o interfaz de enrutador, por dirección. Los siguientes límites se aplican a la cantidad de términos de filtro de firewall permitidos por filtro en varios modelos de conmutadores:
En conmutadores EX3300, el número de términos por filtro no puede superar los 1436.
En conmutadores EX3200 y EX4200, la cantidad de términos por filtro no puede superar los 7042.
En conmutadores EX2300, se admite la siguiente cantidad máxima de términos para el tráfico de entrada y salida, para los filtros de firewall configurados en un puerto, una VLAN y una interfaz de capa 3:
Para el tráfico de entrada:
256 términos para filtros de firewall configurados en un puerto
256 términos para filtros de firewall configurados en una VLAN
256 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4
256 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6
Para el tráfico de salida:
512 términos para filtros de firewall configurados en un puerto
128 términos para filtros de firewall configurados en una VLAN
512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4
512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6
En conmutadores EX3400, se admite la siguiente cantidad máxima de términos para el tráfico de entrada y salida, para los filtros de firewall configurados en un puerto, una VLAN y una interfaz de capa 3:
Para el tráfico de entrada:
512 términos para filtros de firewall configurados en un puerto
512 términos para filtros de firewall configurados en una VLAN
512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4
512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6
Para el tráfico de salida:
512 términos para filtros de firewall configurados en un puerto
256 términos para filtros de firewall configurados en una VLAN
1024 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4
1024 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6
En los conmutadores EX4300, se admite la siguiente cantidad máxima de términos para el tráfico de entrada y salida, para los filers de firewall configurados en un puerto, una VLAN y una interfaz de capa 3:
Para el tráfico de entrada:
3500 términos para filtros de firewall configurados en un puerto
3500 términos para filtros de firewall configurados en una VLAN
7000 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4
3500 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6
Nota:El límite ternario de memoria direccionable de contenido (TCAM) para el tráfico de entrada en el conmutador EX4300 es de 256 entradas.
Para el tráfico de salida:
512 términos para filtros de firewall configurados en un puerto
256 términos para filtros de firewall configurados en una VLAN
512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4
512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv6
Nota:Solo puede configurar la cantidad máxima de términos cuando configura un tipo de filtro de firewall (filtro de puerto, VLAN o firewall de enrutador (capa 3) en el conmutador y cuando el control de tormentas no está habilitado en ninguna interfaz del conmutador.
En los conmutadores EX4500 y EX4550, el número de términos por filtro no puede superar los 1200.
En conmutadores EX6200, el número de términos por filtro no puede superar los 1400.
En los conmutadores EX8200, el número de términos por filtro no puede superar los 32 768.
Además, intente ser conservador en la cantidad de términos (reglas) que incluya en cada filtro de firewall, ya que un gran número de términos requiere un tiempo de procesamiento más largo durante una confirmación y también puede dificultar las pruebas del filtro del firewall y la resolución de problemas. De manera similar, la aplicación de filtros de firewall en muchas interfaces de conmutadores y enrutadores puede dificultar las pruebas y la resolución de problemas de las reglas de esos filtros.
Antes de configurar y aplicar filtros de firewall, responda a las siguientes preguntas para cada uno de esos filtros de firewall:
¿Cuál es el propósito del filtro de firewall?
Por ejemplo, puede usar un filtro de firewall para limitar el tráfico a direcciones MAC de origen y destino, protocolos específicos o determinadas tasas de datos, o para evitar ataques de denegación de servicio (DoS).
¿Cuáles son las condiciones de coincidencia adecuadas?
Determine los campos de encabezado de paquete que debe contener el paquete para una coincidencia. Los campos posibles incluyen:
Campos de encabezado de capa 2: direcciones MAC de origen y destino, etiqueta dot1q, tipo de Ethernet y VLAN
Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (precedencia de IP, indicadores de fragmentación de IP, tipo TTL)
Campos de encabezado TCP: puertos y marcas de origen y destino
Campos de encabezado ICMP: tipo de paquete y código
Determine el puerto, la VLAN o la interfaz del enrutador en la que se recibió el paquete.
¿Cuáles son las acciones adecuadas a tomar si se produce una coincidencia?
Las posibles acciones que se pueden realizar si se produce una coincidencia son aceptar, descartar y reenviar a una instancia de enrutamiento.
¿Qué modificadores de acción adicionales podrían ser necesarios?
Determine si se requieren acciones adicionales si un paquete coincide con una condición de coincidencia; por ejemplo, puede especificar un modificador de acciones para contar, analizar o configurar paquetes.
¿En qué interfaz se debe aplicar el filtro de firewall?
Comience con las siguientes pautas básicas:
Si todos los paquetes que entran en un puerto necesitan estar expuestos al filtrado, utilice filtros de firewall de puerto.
Si todos los paquetes que se conectan por puente necesitan filtrado, utilice filtros de firewall VLAN.
Si todos los paquetes que se enrutan necesitan filtrado, utilice filtros de firewall de enrutador.
Antes de elegir la interfaz en la que se aplicará un filtro de firewall, comprenda cómo esa colocación puede afectar el flujo de tráfico a otras interfaces. En general, aplique un filtro de firewall que filtre las direcciones IP de origen y destino, los protocolos IP o la información de protocolo (como los tipos de mensaje ICMP y los números de puerto TCP y UDP) más cercanos a los dispositivos de origen. Sin embargo, normalmente aplique un filtro de firewall que solo se filtra en una dirección IP de origen más cercana a los dispositivos de destino. Cuando se aplica demasiado cerca del dispositivo de origen, un filtro de firewall que solo se filtra en una dirección IP de origen podría impedir que ese dispositivo de origen acceda a otros servicios disponibles en la red.
Nota:Los filtros de firewall de salida no afectan al flujo de paquetes de control generados localmente desde el motor de enrutamiento.
¿En qué dirección se debe aplicar el filtro de firewall?
Puede aplicar filtros de firewall a puertos del conmutador para filtrar paquetes que ingresan a un puerto. Puede aplicar filtros de firewall a VLAN e interfaces de capa 3 (enrutadas) para filtrar paquetes que ingresan o salen de una VLAN o una interfaz enrutada. Normalmente, se configuran diferentes conjuntos de acciones para el tráfico que entra en una interfaz a los que configura para el tráfico que sale de una interfaz.