Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de los filtros de firewall (serie OCX)

Los filtros de cortafuegos proporcionan reglas que definen si aceptar o descartar paquetes que estén en tránsito en una interfaz. Si se acepta un paquete, puede configurar acciones adicionales que se deben llevar a cabo en el paquete, tales como el marcado de la clase de servicio (CoS) (agrupar tipos de tráfico similares y tratar cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y el tráfico políticas de control (el porcentaje máximo de tráfico enviado o recibido). Los filtros de cortafuegos se configuran para determinar si se acepta o descarta un paquete antes de entrar o salir de la interfaz de capa 3 (enrutado).

Un filtro de Firewall de entrada se aplica a los paquetes que están entrando enuna interfaz y se aplica un filtro de Firewall de salida a los paquetes que salen de una interfaz.

Nota:

Los filtros de Firewall se denominan a veces listas de control de acceso (ACL).

En la que puede aplicar filtros

Puede aplicar un filtro de Firewall de enrutador en las direcciones de entrada y salida de las interfaces IPv4 o IPv6 Layer 3 (enrutadas) y una interfaz de bucle invertido, que filtra el tráfico que se envía al propio conmutador o que lo genera el conmutador.

Puede aplicar un filtro a una interfaz de bucle de retorno en la dirección de entrada para proteger el conmutador del tráfico no deseado. También es posible que desee aplicar un filtro a una interfaz de bucle de retroceso en la dirección de salida para poder establecer la clase de reenvío y el valor de bits de DSCP para paquetes que se originan en el propio conmutador. Esta característica le ofrece un control muy preciso sobre la clasificación de los paquetes generados por la CPU. Por ejemplo, podría asignar valores DSCP distintos y clases de reenvío al tráfico generado por distintos protocolos de enrutamiento para que el tráfico de esos protocolos pueda tratarse de forma diferenciada por parte de otros dispositivos.

Nota:

En los conmutadores QFX5220, solo puede aplicar un filtro a una interfaz de bucle invertido en la dirección de entrada.

Nota:

Si aplica filtros de entrada y salida a la misma interfaz, primero se procesa el filtro de entrada.

Para aplicar un filtro de Firewall:

  1. Configure el filtro de Firewall.

  2. Aplique el filtro del cortafuegos a una interfaz de la capa 3 y especifique la dirección. Si especifica la dirección input , el tráfico se filtra en la entrada. Si especifica la dirección output , el tráfico se filtra a la salida.

Nota:

Solo puede aplicar un filtro de Firewall a una interfaz de capa 3 para una dirección determinada. Por ejemplo, para una interfaz family inet dada, puede aplicar un filtro para la entrada de datos y uno para la salida.

Los conmutadores OCX admiten el número máximo de términos de filtro de Firewall para cada Tabla 1tipo de punto de conexión que se muestra en.

Tabla 1: Números de filtro de cortafuegos compatibles
Tipo de filtro Número máximo de filtros

Entrada

1536

Salida

1024

Componentes de filtro de Firewall

En un filtro del firewall, defina en primer lugar el tipo deinet dirección de familia inet6 (para IPv4 o IPv6) y, a continuación, defina uno o varios términos que especifican los criterios de filtro y la acción que debe llevarse a cabo si se produce una coincidencia.

Cada término consta de los siguientes componentes:

  • Condiciones de coincidencia: especifique valores que un paquete debe contener para considerarse coincidir.

  • Acción: especifica qué hacer si un paquete coincide con las condiciones de coincidencia. Un filtro puede aceptar, descartar o rechazar un paquete coincidente y, a continuación, llevar a cabo acciones adicionales, como el recuento, la clasificación y las políticas. Si no se especifica ninguna acción para un término, el valor predeterminado es aceptar el paquete coincidente.

Procesamiento de filtros de Firewall

Si hay varios términos en un filtro, el orden de los términos es importante. Si un paquete coincide con el primer término, el modificador ejecuta la acción definida por dicho término y no se evalúan otros términos. Si el conmutador no encuentra una coincidencia entre el paquete y el primer término, lo compara con el siguiente término. Si no se produce ninguna coincidencia entre el paquete y el segundo término, el sistema continuará comparando el paquete con cada término sucesivo del filtro hasta encontrar una coincidencia. Si el paquete no coincide con ninguno de los términos del filtro, el conmutador descarta el paquete de forma predeterminada.