Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de varios filtros de firewall aplicados como una lista

En este tema se trata la siguiente información:

El desafío: Simplifique la administración de filtros de firewall a gran escala

Normalmente, se aplica un único filtro de firewall a una interfaz en la dirección de entrada o salida, o en ambas. Sin embargo, este enfoque puede no ser práctico cuando tiene un dispositivo configurado con muchas interfaces. En entornos grandes, desea la flexibilidad de poder modificar los términos de filtrado comunes a varias interfaces sin tener que volver a configurar el filtro de cada interfaz afectada.

En general, la solución es aplicar una estructura efectivamente "encadenada" de múltiples filtros de firewall a una sola interfaz. Los términos de filtrado se dividen en varios filtros de firewall, cada uno de los cuales realiza una tarea de filtrado. A continuación, puede elegir qué tareas de filtrado desea realizar para una interfaz determinada y aplicar las tareas de filtrado a esa interfaz. De esta manera, solo se administra la configuración de una tarea de filtrado en un único filtro de firewall. Si necesita modificar términos de filtrado compartidos entre varias interfaces, solo necesita modificar un filtro de firewall que contenga esos términos.

El marco de políticas de Junos OS ofrece dos opciones para administrar la aplicación de varios filtros de firewall independientes a interfaces de enrutador individuales. Una opción es aplicar varios filtros como una sola lista de entrada o lista de salida. La otra opción es hacer referencia a un filtro de firewall desde el término de otro filtro de firewall. Esta opción no es compatible con el enrutador PTX10003.

Una solución: Aplicar listas de filtros de firewall

La forma más sencilla de evitar configurar términos de filtrado duplicados comunes a varios filtros de firewall es configurar varios filtros de firewall y, a continuación, aplicar una lista personalizada de filtros a cada interfaz. Junos OS utiliza los filtros (en el orden en que aparecen en la lista) para evaluar los paquetes que transitan por la interfaz.

Configuración de varios filtros para listas de filtros

La configuración de filtros de firewall para que se apliquen en listas únicas para cada interfaz de enrutador implica separar las reglas de filtrado de paquetes compartidas de las reglas de filtrado de paquetes específicas de la interfaz de la siguiente manera:

  • Unique filters: para cada conjunto de reglas de filtrado de paquetes exclusivo de una interfaz específica, configure un filtro de firewall independiente que contenga solo los términos de filtrado de esa interfaz.

  • Shared filters—Para cada conjunto de reglas de filtrado de paquetes comunes en dos o más interfaces, considere la posibilidad de configurar un filtro de firewall independiente que contenga los términos de filtrado compartidos.

    Consejo:

    Al planificar la aplicación de un gran número de filtros de firewall mediante listas de filtros, los administradores suelen organizar los filtros compartidos por criterios de filtrado, por los servicios a los que se suscriben los clientes o por los propósitos de las interfaces.

Aplicación de listas de filtros a una interfaz de enrutador

La aplicación de una lista de filtros de firewall a una interfaz es una cuestión de seleccionar los filtros que cumplen los requisitos de filtrado de paquetes de esa interfaz. Para cada interfaz, puede incluir una input-list instrucción o output-list (o ambas) dentro de la filter estrofa para especificar los filtros relevantes en el orden en que se van a utilizar:

  • Incluya cualquier filtro que contenga términos de filtrado comunes relevantes para la interfaz.

  • Incluya el filtro que contiene solo los términos de filtrado exclusivos de la interfaz.

Nombres específicos de la interfaz para listas de filtros

Dado que una lista de filtros se configura en una interfaz, el filtro concatenado resultante es específico de la interfaz.

Nota:

Cuando se configura una lista de filtros en una interfaz, el filtro concatenado resultante es específico de la interfaz, independientemente de si los filtros de firewall de la lista de filtros están configurados como específicos de la interfaz o no. Además, la creación de instancias de filtros de firewall específicos de interfaz no solo crea instancias separadas de cualquier contador de filtros de firewall, sino también instancias separadas de cualquier acción de policía. Cualquier aplicador de políticas aplicado a través de una acción especificada en la configuración del filtro de firewall se aplica por separado a cada interfaz del grupo de interfaces.

El nombre generado por el sistema de un filtro específico de la interfaz consta del nombre completo de la interfaz seguido de '-i' para una lista de filtros de entrada o '-o' para una lista de filtros de salida.

  • Input filter list name—Por ejemplo, si utiliza la instrucción para aplicar una cadena de filtros a la input-listinterfaz lógica ge-1/3/0.0, Junos OS utiliza el siguiente nombre para el filtro:

  • Output filter list name—Por ejemplo, si utiliza la instrucción para aplicar una cadena de filtros a la output-list interfaz fe-0/1/2.0lógica, Junos OS utiliza el siguiente nombre para el filtro:

Nota:

En Junos OS Evolved, los nombres de filtro son similares a Junos OS. Por ejemplo, si los filtros están enlazados a la familia inet, los filtros se denominan ge-1/3/0/0-inet-i y fe-0/1/2.0-inet-o.

Puede utilizar el nombre específico de la interfaz de una lista de filtros cuando introduzca un comando del modo operativo de Junos OS que especifique un nombre de filtro de firewall.

Cómo las listas de filtros evalúan los paquetes cuando el término coincidente incluye acciones de terminación o de término siguiente

El dispositivo evalúa un paquete con respecto a los filtros de una lista secuencialmente, comenzando con el primer filtro de la lista hasta que se produce una acción de terminación o el paquete se descarta implícitamente.

Tabla 1 Describe cómo una lista de filtros de firewall evalúa un paquete en función de si el término coincidente especifica una acción de terminación y la next term acción. La next term acción no es ni una acción de terminación ni una acción de no terminación, sino una acción de control de flujo .

Tabla 1: Comportamiento de la lista de filtros de firewall

Acciones de filtro de firewall incluidas en el término coincidente

Descripción del término

Comportamiento de filtrado de paquetes

Terminación

próximo trimestre

El término coincidente incluye una acción de terminación (como discard) pero no la next term acción

El dispositivo ejecuta la acción de terminación. No se utilizan términos posteriores en el filtro ni filtros posteriores en la lista para evaluar el paquete.

El término coincidente incluye la next term acción, pero no incluye ninguna acción de terminación.

El dispositivo ejecuta cualquier acción que no termine y, a continuación, el dispositivo evalúa el paquete con respecto al siguiente término del filtro o al siguiente filtro de la lista.

Nota:

En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término de filtro en el que next term se especifica como una acción pero sin ninguna condición de coincidencia configurada.

El término coincidente no incluye ni la acción ni ninguna next term acción de terminación.

El dispositivo ejecuta cualquier acción que no sea de terminación y, a continuación, el dispositivo acepta implícitamente el paquete. Dado que la accept acción es una acción de terminación, no se utilizan términos posteriores en el filtro ni filtros posteriores en la lista para evaluar el paquete.

Para obtener información acerca de cómo terminar acciones, consulte Acciones de finalización del filtro de firewall.

Nota:

No puede configurar la next term acción con una acción de finalización en el mismo término de filtro de firewall.

Cómo las listas de filtros evalúan los paquetes cuando la lista incluye filtros de firewall IP e independientes del protocolo

En una sola interfaz asociada simultáneamente con un filtro de firewall independiente del protocolo (family any) y un filtro de firewall específico del protocolo (family inet o family inet6), el filtro de firewall independiente del protocolo se ejecuta primero.

La acción de terminación del primer filtro determina si el segundo filtro también evalúa el paquete:

  • Si el primer filtro termina ejecutando la accept acción, el segundo filtro no evalúa el paquete.

  • Si el primer filtro termina sin ningún término que coincida con el paquete (una acción implícita discard ), el segundo filtro también evalúa el paquete.

  • Si el primer filtro termina ejecutando una acción explícita discard , el segundo filtro no evalúa el paquete.

El enrutador PTX10003 no admite una combinación de filtros independientes del protocolo y otros filtros en las listas de filtros.

Temas relacionados