Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la planificación de filtros de firewall

Antes de crear un filtro de firewall y aplicarlo, determine lo que desea que el filtro logre y cómo usar sus condiciones y acciones de coincidencia para lograr sus objetivos. Es importante que entienda cómo se comparan los paquetes, las acciones predeterminadas y configuradas del filtro de firewall y dónde aplicar el filtro de firewall.

No puede aplicar más de un filtro de firewall por interfaz de enrutador por dirección (entrada y salida). Por ejemplo, para una interfaz dada, puede aplicar como máximo un filtro en la dirección de entrada y un filtro en la dirección de salida. Debe intentar ser conservador en la cantidad de términos (reglas) que incluya en cada filtro de firewall, ya que una gran cantidad de términos requiere más tiempo de procesamiento durante una operación de confirmación y puede dificultar las pruebas y la solución de problemas.

Antes de configurar y aplicar filtros de firewall, responda a las siguientes preguntas para cada uno de ellos:

  1. ¿Cuál es el propósito del filtro?

    Por ejemplo, el sistema puede soltar paquetes basados en información de encabezado, limitar la velocidad del tráfico, clasificar paquetes en clases de reenvío, registrar y contar paquetes, o evitar ataques de denegación de servicio.

  2. ¿Cuáles son las condiciones de coincidencia adecuadas? Determine los campos de encabezado del paquete que el paquete debe contener para una coincidencia. Los campos posibles incluyen:

    • Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (prioridad IP, indicadores de fragmentación ip o tipo TTL).

    • Campos de encabezado TCP: puertos y indicadores de origen y destino.

    • Campos de encabezado ICMP: tipo de paquete y código.

  3. ¿Cuáles son las medidas adecuadas para tomar si se produce una coincidencia?

    El sistema puede aceptar, descartar o rechazar paquetes.

  4. ¿Qué modificadores de acción adicionales podrían ser necesarios?

    Por ejemplo, puede configurar el sistema para que refleje (copie) paquetes en un puerto especificado, cuente los paquetes coincidentes, aplique la administración de tráfico o los paquetes de policía.

  5. ¿En qué interfaz de capa 3 se debe aplicar el filtro de firewall?

    Antes de elegir la interfaz en la que se va a aplicar un filtro de firewall, comprenda cómo esa colocación puede afectar el flujo de tráfico a otras interfaces. En general, aplique un filtro cerca del dispositivo de origen si el filtro coincide con las direcciones IP de origen o destino, los protocolos IP o la información de protocolo, como los tipos de mensajes ICMP y los números de puerto TCP o UDP. Sin embargo, debe aplicar un filtro cerca del dispositivo de destino si el filtro solo coincide en una dirección IP de origen. Cuando se aplica un filtro demasiado cerca del dispositivo de origen, el filtro podría impedir que ese dispositivo de origen acceda a otros servicios disponibles en la red.

  6. ¿En qué dirección debe aplicarse el filtro de firewall?

    Normalmente, se configuran acciones diferentes para el tráfico que ingresan a una interfaz que las que se configuran para el tráfico que sale de una interfaz.

  7. ¿Cuántos filtros debo crear?