Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción de varios filtros de firewall aplicados como lista

En este tema, se trata la siguiente información:

El desafío: Simplifique la administración de filtros de firewall a gran escala

Normalmente, se aplica un único filtro de firewall a una interfaz en la dirección de entrada o salida, o ambas. Sin embargo, es posible que este enfoque no sea práctico cuando se tiene un dispositivo configurado con muchas interfaces. En entornos grandes, necesita la flexibilidad de poder modificar los términos de filtrado comunes a varias interfaces sin tener que reconfigurar el filtro de cada interfaz afectada.

En general, la solución es aplicar efectivamente una estructura "encadenada" de varios filtros de firewall a una sola interfaz. Puede dividir los términos de filtrado en varios filtros de firewall que realizan una tarea de filtrado. A continuación, puede elegir qué tareas de filtrado desea realizar para una interfaz determinada y aplicar las tareas de filtrado a esa interfaz. De esta manera, solo administra la configuración para una tarea de filtrado en un único filtro de firewall.

El marco de políticas de Junos OS ofrece dos opciones para administrar la aplicación de varios filtros de firewall independientes a interfaces de enrutador individuales. Una opción es aplicar varios filtros como una sola lista de entrada o lista de salida. La otra opción es hacer referencia a un filtro de firewall desde el término de otro filtro de firewall. Esta opción no se admite en el enrutador PTX10003.

Una solución: Aplicar listas de filtros de firewall

La forma más sencilla de evitar la configuración de términos de filtrado duplicado comunes a varios filtros de firewall es configurar varios filtros de firewall y, luego, aplicar una lista personalizada de filtros a cada interfaz. Junos OS usa los filtros (en el orden en que aparecen en la lista) para evaluar los paquetes que transitan por la interfaz. Si necesita modificar los términos de filtrado compartidos en varias interfaces, solo necesita modificar un filtro de firewall que contenga esos términos.

Configuración de varios filtros para listas de filtros

La configuración de filtros de firewall para que se apliquen en listas únicas para cada interfaz de enrutador implica separar las reglas de filtrado de paquetes compartidas de las reglas de filtrado de paquetes específicas de la interfaz de la siguiente manera:

  • Unique filters— Para cada conjunto de reglas de filtrado de paquetes exclusivas de una interfaz específica, configure un filtro de firewall independiente que contenga solo los términos de filtrado de esa interfaz.

  • Shared filters— Para cada conjunto de reglas de filtrado de paquetes comunes en dos o más interfaces, considere configurar un filtro de firewall independiente que contenga los términos de filtrado compartidos.

    Consejo:

    Cuando se planifica la aplicación de una gran cantidad de filtros de firewall mediante listas de filtros, los administradores suelen organizar los filtros compartidos mediante criterios de filtrado, por los servicios a los que se suscriben los clientes o por los propósitos de las interfaces.

Aplicación de listas de filtros a una interfaz de enrutador

Aplicar una lista de filtros de firewall a una interfaz es cuestión de seleccionar los filtros que cumplan con los requisitos de filtrado de paquetes de esa interfaz. Para cada interfaz, puede incluir una input-list instrucción o output-list (o ambas) dentro de la filter estrofa para especificar los filtros pertinentes en el orden en que se van a utilizar:

  • Incluya cualquier filtro que contenga términos de filtrado comunes relevantes para la interfaz.

  • Incluya el filtro que contenga solo los términos de filtrado exclusivos de la interfaz.

Nombres específicos de interfaz para listas de filtros

Dado que una lista de filtros está configurada en una interfaz, el filtro concatenado resultante es específico de la interfaz.

Nota:

Cuando se configura una lista de filtros en una interfaz, el filtro concatenado resultante es específico de la interfaz, independientemente de si los filtros de firewall de la lista de filtros están configurados como específicos de la interfaz o no. Además, la instanciación de filtros de firewall especficos de interfaz no solo crea instancias separadas de cualquier contador de filtro de firewall, sino también instancias separadas de cualquier acción de policía. Cualquier agente de políticas aplicado a través de una acción especificada en la configuración del filtro de firewall se aplica por separado a cada interfaz del grupo de interfaz.

El nombre generado por el sistema de un filtro específico de interfaz consta del nombre completo de la interfaz seguido de '-i' para una lista de filtros de entrada o ''-o para una lista de filtros de salida.

  • Input filter list name— Por ejemplo, si utiliza la input-list instrucción para aplicar una cadena de filtros a la interfaz lógica ge-1/3/0.0, Junos OS utilizará el siguiente nombre para el filtro:

  • Output filter list name— Por ejemplo, si utiliza la output-list instrucción para aplicar una cadena de filtros a la interfaz fe-0/1/2.0lógica , Junos OS utiliza el siguiente nombre para el filtro:

Nota:

Para Junos OS Evolucionado, los nombres de filtro son diferentes. Por ejemplo, si los filtros están enlazados a la familia inet, los filtros se denominan ge-1/3/0/0-inet-i y fe-0/1/2.0-inet-o.

Puede usar el nombre específico de una interfaz de una lista de filtros cuando escriba un comando de modo operativo de Junos OS que especifique un nombre de filtro de firewall.

Cómo las listas de filtros evalúan los paquetes cuando el término coincidente incluye acciones de finalización o del próximo plazo

El dispositivo evalúa un paquete con los filtros de una lista secuencialmente, comenzando por el primer filtro de la lista hasta que se produzca una acción de terminación o el paquete se descarte implícitamente.

Tabla 1 describe cómo una lista de filtros de firewall evalúa un paquete en función de si el término coincidente especifica una acción de finalización y la next term acción. La next term acción no es una acción de finalización ni una acción nominadora, sino una acción de control de flujo .

Tabla 1: Comportamiento de la lista de filtros de firewall

Acciones de filtro de firewall incluidas en el término emparejado

Descripción del término

Comportamiento de filtrado de paquetes

Terminación

próximo trimestre

El término coincidente incluye una acción de finalización (como discard) pero no la next term acción

El dispositivo ejecuta la acción de finalización. No se utilizan términos posteriores en el filtro ni filtros posteriores en la lista para evaluar el paquete.

El término emparejado incluye la next term acción, pero no incluye ninguna acción de finalización.

El dispositivo ejecuta cualquier acción nominatoria y, luego, el dispositivo evalúa el paquete en función del término siguiente en el filtro o el siguiente filtro de la lista.

Nota:

En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término next term de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

El término emparejado no incluye la next term acción ni ninguna acción de terminación.

El dispositivo ejecuta cualquier acción nominatoria y, luego, el dispositivo acepta implícitamente el paquete. Dado que la accept acción es una acción de finalización, no se utilizan términos posteriores en el filtro ni filtros posteriores en la lista para evaluar el paquete.

Para obtener más información acerca de cómo finalizar acciones, consulte Acciones de terminación del filtro de firewall.

Nota:

No puede configurar la next term acción con una acción de finalización en el mismo término de filtro de firewall.

Cómo las listas de filtros evalúan los paquetes cuando la lista incluye filtros de firewall IP e independientes de protocolo

En una sola interfaz asociada con un filtro de firewall independiente de protocolo (family any) y un filtro de firewall específico para protocolo (family inet o family inet6) simultáneamente, el filtro de firewall independiente de protocolo se ejecuta primero.

La acción de terminación del primer filtro determina si el segundo filtro también evalúa el paquete:

  • Si el primer filtro termina ejecutando la accept acción, el segundo filtro también evalúa el paquete.

  • Si el primer filtro termina sin ningún término que coincida con el paquete (una acción implícita discard ), el segundo filtro también evalúa el paquete.

  • Si el primer filtro termina ejecutando una acción explícita discard , el segundo filtro no evalúa el paquete.

El enrutador PTX10003 no admite una combinación de filtros independientes del protocolo y otros filtros en listas de filtros.

Temas relacionados