Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de los filtros de firewall (serie OCX)

Los filtros de firewall proporcionan reglas que definen si se aceptan o descartan paquetes que transitan por una interfaz. Si se acepta un paquete, puede configurar acciones adicionales para realizar en el paquete, como el marcado de clase de servicio (CoS) (agrupar tipos similares de tráfico y tratar cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y la vigilancia del tráfico (controlar la tasa máxima de tráfico enviado o recibido). Los filtros de firewall se configuran para determinar si se debe aceptar o descartar un paquete antes de que entre o salga de una interfaz de capa 3 (enrutada).

Se aplica un filtro de firewall de entrada a los paquetes que entran en una interfaz y un filtro de firewall de salida a los paquetes que salen de una interfaz.

Nota:

Los filtros de firewall a veces se denominan listas de control de acceso (ACL).

Dónde puedes aplicar filtros

Puede aplicar un filtro de firewall de enrutador en las direcciones de entrada y salida en interfaces IPv4 o IPv6 de capa 3 (enrutadas) y una interfaz de circuito cerrado, que filtra el tráfico enviado al propio conmutador o generado por el conmutador.

Puede aplicar un filtro a una interfaz de circuito cerrado en la dirección de entrada para proteger el conmutador del tráfico no deseado. También es posible que desee aplicar un filtro a una interfaz de circuito cerrado en la dirección de salida para poder establecer la clase de reenvío y el valor de bits DSCP para los paquetes que se originan en el propio conmutador. Esta característica le brinda un control muy preciso sobre la clasificación de los paquetes generados por la CPU. Por ejemplo, es posible que desee asignar diferentes valores DSCP y clases de reenvío al tráfico generado por diferentes protocolos de enrutamiento para que otros dispositivos puedan tratar el tráfico de esos protocolos de manera diferenciada.

Nota:

En QFX5220 conmutadores, solo puede aplicar un filtro a una interfaz de circuito cerrado en la dirección de entrada.

Nota:

Si aplica filtros de entrada y salida a la misma interfaz, el filtro de entrada se procesa primero.

Para aplicar un filtro de firewall:

  1. Configure el filtro de firewall.

  2. Aplique el filtro de firewall a una interfaz de capa 3 y especifique la dirección. Si especifica la dirección, el tráfico se filtra al entrar.input Si especifica la dirección, el tráfico se filtra al salir.output

Nota:

Solo puede aplicar un filtro de firewall a una interfaz de capa 3 para una dirección determinada. Por ejemplo, para una interfaz determinada , puede aplicar un filtro para la entrada y otro para la salida.family inet

Los conmutadores OCX admiten el número máximo de términos de filtro de firewall por tipo de punto de conexión que se muestra en .Tabla 1

Tabla 1: Números de filtro de firewall admitidos
Tipo de filtro Número máximo de filtros

Ingreso

1536

Salida

1024

Componentes del filtro de firewall

En un filtro de firewall, primero se define el tipo de dirección de familia ( para IPv4 o para IPv6) y, a continuación, se definen uno o varios términos que especifican los criterios de filtrado y la acción que se debe realizar si se produce una coincidencia.inetinet6

Cada término consta de los siguientes componentes:

  • Condiciones de coincidencia: especifique los valores que debe contener un paquete para que se considere una coincidencia.

  • Acción: especifica qué hacer si un paquete coincide con las condiciones de coincidencia. Un filtro puede aceptar, descartar o rechazar un paquete coincidente y, a continuación, realizar acciones adicionales, como contar, clasificar y vigilar. Si no se especifica ninguna acción para un término, el valor predeterminado es aceptar el paquete coincidente.

Procesamiento de filtros de firewall

Si hay varios términos en un filtro, el orden de los términos es importante. Si un paquete coincide con el primer término, el conmutador ejecuta la acción definida por ese término y no se evalúa ningún otro término. Si el conmutador no encuentra una coincidencia entre el paquete y el primer término, compara el paquete con el siguiente término. Si no se produce ninguna coincidencia entre el paquete y el segundo término, el sistema continúa comparando el paquete con cada término sucesivo en el filtro hasta que se encuentre una coincidencia. Si el paquete no coincide con ninguno de los términos del filtro, el conmutador descarta el paquete de forma predeterminada.