Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de varios filtros de Firewall aplicados como una lista

En este tema se trata la siguiente información:

El desafío: Simplificar la administración de filtros de Firewall a gran escala

Normalmente, se aplica un filtro de Firewall único a una interfaz en la dirección de entrada o de salida o ambos. Sin embargo, es posible que este enfoque no sea práctico cuando hay un dispositivo configurado con muchas interfaces. En los entornos de gran tamaño, se desea disponer de la flexibilidad de poder modificar los términos de filtrado comunes a varias interfaces sin tener que volver a configurar el filtro de todas las interfaces afectadas.

En general, la solución es aplicar eficazmente una estructura "encadenada" de varios filtros de firewall a una sola interfaz. Los términos de filtrado se dividen en varios filtros de cortafuegos, cada uno de los cuales realiza una tarea de filtrado. A continuación, puede elegir qué tareas de filtrado desea llevar a cabo para una interfaz dada y aplicar las tareas de filtrado a dicha interfaz. De este modo, solo se administra la configuración de una tarea de filtrado en un único filtro de Firewall.

El marco de políticas de Junos OS ofrece dos opciones para administrar la aplicación de varios filtros de Firewall independientes a interfaces de enrutadores individuales. Una opción es aplicar varios filtros como una sola lista de entrada o una lista de resultados. La otra opción es hacer referencia a un filtro de Firewall desde dentro del término de otro filtro de Firewall. Esta opción no es compatible con el enrutador PTX10003.

Una solución: Aplicar listas de filtros de cortafuegos

La manera más sencilla de evitar configurar los términos de filtrado de duplicados comunes a varios filtros de Firewall consiste en configurar varios filtros de firewall y, a continuación, aplicar una lista personalizada de filtros a cada interfaz. El Junos OS utiliza los filtros (en el orden en que aparecen en la lista) para evaluar los paquetes que transitan por la interfaz. Si necesita modificar los términos de filtrado compartidos en varias interfaces, solo tiene que modificar un filtro de firewall que contenga dichos términos.

Configuración de varios filtros para listas de filtros

La configuración de filtros de firewall que se aplicarán en listas únicas para cada interfaz de enrutador implica separar las reglas de filtrado de paquetes compartidas de las reglas de filtro de paquetes específicas de la interfaz de la siguiente manera:

  • Unique filters: para cada conjunto de reglas de filtrado de paquetes exclusivas de una interfaz específica, configure un filtro de firewall independiente que contenga solo los términos de filtrado de esa interfaz.

  • Shared filters: para cada conjunto de reglas de filtrado de paquetes comunes en dos o más interfaces, considere la posibilidad de configurar un filtro de firewall independiente que contenga los términos de filtrado compartidos.

    Consejo:

    Cuando se planea aplicar filtros de cortafuegos de gran número mediante listas de filtros, los administradores suelen organizar los filtros compartidos por criterios de filtrado, por los servicios a los que se suscriben los clientes o por el propósito de las interfaces.

Aplicación de listas de filtros a una interfaz de enrutador

La aplicación de una lista de filtros de cortafuegos a una interfaz es una cuestión de seleccionar los filtros que cumplen los requisitos de filtrado de paquetes de la interfaz. Para cada interfaz, puede incluir una input-list instrucción or output-list (o ambas) en filter Stanza para especificar los filtros relevantes en el orden en que se van a utilizar:

  • Incluya todos los filtros que contengan términos de filtrado comunes relevantes para la interfaz.

  • Incluya el filtro que contenga únicamente los términos de filtrado exclusivos de la interfaz.

Nombres específicos de interfaces para listas de filtros

Dado que una lista de filtros se configura en una interfaz, el filtro concatenado resultante es específico de la interfaz.

Nota:

Cuando se configura una lista de filtros en una interfaz, el filtro concatenado resultante depende de la interfaz, independientemente de si los filtros de Firewall de la lista de filtros se configuran como específicos de la interfaz o no. Además, la creación de instancias de filtros de Firewall de interfaz specfic no solo crea instancias independientes de ningún contador de filtro de firewall, sino que también separa instancias de cualquier acción de políticas. Cualquier policía aplicada mediante una acción especificada en la configuración del filtro del cortafuegos se aplica por separado a cada interfaz del grupo de interfaces.

El nombre generado por el sistema de un filtro específico de interfaz se compone del nombre completo de la interfaz seguido de ' ' para una lista de filtros de entrada o ' ' para una lista -i-o de filtros de salida.

  • Input filter list name: por ejemplo, si utiliza la instrucción para aplicar una cadena de filtros a la interfaz lógica, la Junos OS utilizará el siguiente nombre input-list para el filtro: ge-1/3/0.0

  • Output filter list name: si utiliza la instrucción para aplicar una cadena de filtros a la interfaz lógica, el Junos OS utilizará el siguiente nombre output-listfe-0/1/2.0 para el filtro:

Nota:

Por lo que Junos OS ha evolucionado, los nombres de filtro son distintos. Por ejemplo, si los filtros están enlazados a la familia inet, los filtros se denominan ge-1/3/0/0-inet-i y fe-0/1/2.0-inet-o .

Puede usar el nombre específico de la interfaz de una lista de filtros cuando escriba un comando de modo operativo Junos OS que especifique un nombre de filtro de firewall.

Cómo las listas de filtros evalúan los paquetes cuando el término coincidente incluye acciones de terminación o del siguiente término

El dispositivo evalúa un paquete secuencialmente con los filtros de una lista, comenzando por el primer filtro de la lista hasta que se haya producido una acción de terminación o hasta que se descarte el paquete de forma implícita.

Tabla 1describe cómo una lista de filtros de Firewall evalúa un paquete basándose en si el término coincidente especifica una acción de terminación next term y la acción. La acción no es una acción de terminación ni de no next term determinación, sino una acción de control de flujo.

Tabla 1: Comportamiento de lista de filtros de Firewall

Acciones del filtro de firewall incluidas en el término coincidente

Descripción del término

Comportamiento del filtrado de paquetes

Anula

próxima legislatura

El término coincidente incluye una acción de terminación (como discard) pero no la acción next term

El dispositivo ejecuta la acción de finalización. No hay ningún término posterior en el filtro y no se utilizan los filtros subsiguientes de la lista para evaluar el paquete.

El término coincidente incluye la next term acción, pero no incluye ninguna acción de terminación.

El dispositivo ejecuta cualquier acción de no terminación y, a continuación, el dispositivo evalúa el paquete según el siguiente término del filtro o el siguiente filtro de la lista.

Nota:

En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

El término coincidente no incluye ninguna acción next term ni acciones de terminación.

El dispositivo ejecuta cualquier acción de no terminación y, a continuación, el dispositivo acepta implícitamente el paquete. Dado que accept la acción es una acción de terminación, no se utilizarán los siguientes términos en el filtro, ni los filtros subsiguientes de la lista para evaluar el paquete.

Para obtener más información acerca de cómo finalizar acciones, consulte Acciones de terminación de filtros de Firewall .

Nota:

No puede configurar la next term acción con una acción de terminación en el mismo término de filtro de Firewall.

Cómo evalúa listas de filtros los paquetes cuando incluye filtros de Firewall IP y independiente de protocolo

En una interfaz única asociada con un filtro de Firewall independientefamily anydel Protocolo () y un filtro de Firewallfamily inet específico family inet6del Protocolo (o) simultáneamente, se ejecuta primero el filtro de Firewall independiente del protocolo.

La acción de terminación del primer filtro determina si el segundo filtro también evalúa el paquete:

  • Si el primer filtro termina con la ejecución de la accept acción, el segundo filtro también evalúa el paquete.

  • Si el primer filtro termina sin ningún término que coincida con el paquete (una acción implícita discard ), el segundo filtro también evalúa el paquete.

  • Si el primer filtro termina mediante la ejecución de una acción explícita discard , el segundo filtro no evalúa el paquete.

El enrutador de PTX10003 no es compatible con una combinación de filtros independientes de Protocolo ni con ningún otro filtro en listas de filtros.