Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de los filtros de firewall (serie OCX)

Los filtros de firewall proporcionan reglas que definen si se deben aceptar o descartar paquetes que transitan por una interfaz. Si se acepta un paquete, puede configurar acciones adicionales para realizar en el paquete, como el marcado de clase de servicio (CoS) (agrupando tipos similares de tráfico y tratando cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y la vigilancia de tráfico (controlando la tasa máxima de tráfico enviado o recibido). Configure los filtros de firewall para determinar si desea aceptar o descartar un paquete antes de que entre o salga de una interfaz de capa 3 (enrutada).

Se aplica un filtro de firewallde entrada a los paquetes que entran en una interfaz y un filtro de firewall de salida se aplica a los paquetes que salen de una interfaz.

Nota:

Los filtros de firewall a veces se denominan listas de control de acceso (ACL).

Donde puede aplicar filtros

Puede aplicar un filtro de firewall de enrutador en las direcciones de entrada y salida en interfaces IPv4 o IPv6 de capa 3 (enrutada) y una interfaz de circuito cerrado, que filtra el tráfico enviado al propio conmutador o generado por el conmutador.

Aplique un filtro a una interfaz de circuito cerrado en la dirección de entrada para proteger el conmutador del tráfico no deseado. También es posible que desee aplicar un filtro a una interfaz de circuito cerrado en la dirección de salida para que pueda establecer la clase de reenvío y el valor de bit DSCP para los paquetes que se originan en el propio conmutador. Esta característica le da un control muy fino sobre la clasificación de los paquetes generados por CPU. Por ejemplo, es posible que desee asignar diferentes valores de DSCP y clases de reenvío al tráfico generado por diferentes protocolos de enrutamiento para que el tráfico de esos protocolos pueda ser tratado de manera diferenciada por otros dispositivos.

Nota:

En conmutadores QFX5220, solo puede aplicar un filtro a una interfaz de circuito cerrado en la dirección de entrada.

Nota:

Si aplica filtros de entrada y salida a la misma interfaz, primero se procesa el filtro de entrada.

Para aplicar un filtro de firewall:

  1. Configure el filtro de firewall.

  2. Aplique el filtro de firewall a una interfaz de capa 3 y especifique la dirección. Si especifica la dirección, el input tráfico se filtra al entrada. Si especifica la dirección, el output tráfico se filtra en la salida.

Nota:

Puede aplicar solo un filtro de firewall a una interfaz de capa 3 para una dirección determinada. Por ejemplo, para una interfaz determinada family inet , puede aplicar un filtro para la entrada y otro para la salida.

Los conmutadores OCX admiten el número máximo de términos de filtro de firewall por tipo de punto de conexión que se muestra en Tabla 1.

Tabla 1: Números de filtro de firewall compatibles
Tipo de filtro Número máximo de filtros

Ingreso

1536

Salida

1024

Componentes de filtro de firewall

En un filtro de firewall, primero se define el tipo de dirección de familia (inet para IPv4 o inet6 IPv6) y, a continuación, se definen uno o varios términos que especifican los criterios de filtrado y la acción que se debe realizar si se produce una coincidencia.

Cada término consta de los siguientes componentes:

  • Condiciones de coincidencia (Match conditions): permite especificar los valores que debe contener un paquete para considerarse coincidente.

  • Acción: permite especificar qué hacer si un paquete coincide con las condiciones de coincidencia. Un filtro puede aceptar, descartar o rechazar un paquete coincidente y, luego, realizar acciones adicionales, como contar, clasificar y controlar. Si no se especifica ninguna acción para un término, el valor predeterminado es aceptar el paquete coincidente.

Procesamiento de filtros de firewall

Si hay varios términos en un filtro, el orden de los términos es importante. Si un paquete coincide con el primer término, el conmutador ejecuta la acción definida por ese término y no se evalúan otros términos. Si el conmutador no encuentra una coincidencia entre el paquete y el primer término, lo compara con el siguiente término. Si no se produce ninguna coincidencia entre el paquete y el segundo término, el sistema continúa comparando el paquete con cada término sucesivo en el filtro hasta que se encuentre una coincidencia. Si el paquete no coincide con ningún término en el filtro, el conmutador descarta el paquete de forma predeterminada.

Temas relacionados