Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la planificación de filtros de Firewall

Antes de crear un filtro de Firewall y aplicarlo, determine lo que debe hacer el filtro y cómo usar las condiciones y acciones de coincidencia para lograr sus objetivos. Es importante que comprenda cómo se coincidencian los paquetes, las acciones predeterminadas y configuradas del filtro del firewall, y dónde aplicar el filtro de Firewall.

No puede aplicar más de un filtro de Firewall por interfaz de enrutador por dirección (entrada y salida). Por ejemplo, en el caso de una interfaz dada, puede aplicar como máximo un filtro en la dirección de entrada y un filtro en la dirección de salida. Debe intentar ser conservador en el número de términos (reglas) que se incluyen en cada filtro de firewall, ya que una gran cantidad de términos requiere tiempo de procesamiento más largo durante una operación de confirmación, lo que hace que las pruebas y los problemas sean más difíciles.

Antes de configurar y aplicar filtros de firewall, responda a las siguientes preguntas para cada uno:

  1. ¿Cuál es el propósito del filtro?

    Por ejemplo, el sistema puede descartar paquetes basados en información de encabezado, tráfico de límite de velocidad, paquetes de clasificación en las clases de reenvío, registrar paquetes y recuentos o evitar ataques de denegación de servicio.

  2. ¿Cuáles son las condiciones de coincidencia adecuadas? Determine los campos de encabezado de paquetes que debe contener el paquete para una coincidencia. Entre los campos posibles se incluyen:

    • Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (prioridad IP, indicadores de fragmentación IP o tipo TTL).

    • Campos de encabezado TCP: puertos y indicadores de origen y destino.

    • Campos de encabezado ICMP: tipo de paquete y código.

  3. ¿Cuáles son las acciones apropiadas que deben llevarse a cabo si se produce una coincidencia?

    El sistema puede aceptar, descartar o rechazar paquetes.

  4. ¿Qué otros modificadores de acciones podrían ser necesarios?

    Por ejemplo, puede configurar el sistema para reflejar (copiar) paquetes en un puerto específico, contar los paquetes coincidentes, aplicar la administración del tráfico o paquetes policiales.

  5. ¿En qué interfaz de capa 3 debería aplicarse el filtro de cortafuegos?

    Antes de elegir la interfaz en la que se va a aplicar un filtro de firewall, comprenda cómo puede afectar esa ubicación al flujo de tráfico de otras interfaces. En general, aplique un filtro cercano al dispositivo de origen si el filtro coincide con las direcciones IP de origen o destino, los protocolos IP o la información de protocolo, como los tipos de mensajes ICMP y los números de puerto TCP o UDP. Sin embargo, debe aplicar un filtro cercano al dispositivo de destino si el filtro solo coincide con una dirección IP de origen. Si aplica un filtro demasiado cerca del dispositivo de origen, el filtro podría evitar que ese dispositivo de origen obtenga acceso a otros servicios disponibles en la red.

  6. ¿En qué dirección se debe aplicar el filtro de cortafuegos?

    Normalmente, se configuran distintas acciones para el tráfico que se introducen en una interfaz que la configurada para el tráfico que sale de una interfaz.

  7. ¿Cuántos filtros debo crear?