Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de varios filtros de firewall en una configuración anidada

El desafío: Simplificar la administración de filtros de Firewall a gran escala

Normalmente, se aplica un filtro de Firewall único a una interfaz en la dirección de entrada o de salida o ambos. Sin embargo, es posible que este enfoque no sea práctico cuando se tiene un enrutador (o conmutador) configurado con varios, incluso cientos de interfaces. En un entorno de esta escala, deseará la flexibilidad de poder modificar los términos de filtrado comunes a varias interfaces sin tener que volver a configurar el filtro de todas las interfaces afectadas.

En general, la solución es aplicar efectivamente una estructura "encadenada" de varios filtros de firewall sin estado a una sola interfaz. Usted divide los términos de filtrado en varios filtros de Firewall configurados para que pueda aplicar un filtro único a cada interfaz de enrutador (o conmutador), pero también a aplicar filtros comunes a varias interfaces de enrutador (o conmutador) según sea necesario. El marco de políticas de Junos OS ofrece dos opciones para administrar la aplicación de varios filtros de Firewall independientes a interfaces de enrutador (o conmutadores) individuales. Una opción es aplicar varios filtros como una sola lista de entrada o una lista de resultados. La otra opción consiste en hacer referencia a un filtro de Firewall sin estado desde dentro del término de otro filtro de Firewall sin estado.

Una solución: Configurar referencias anidadas a filtros de Firewall

La manera más estructurada de evitar configurar los términos de filtrado duplicados comunes a varios filtros de Firewall consiste en configurar varios filtros de Firewall para que cada uno de ellos incluya los términos de filtros compartidos haciendo referencia a un filtro distinto que contenga los términos de filtrado comunes. El Junos OS los términos de filtro (en el orden en que aparecen en la definición de filtro) para evaluar los paquetes que transitan por la interfaz. Si necesita modificar los términos de filtrado compartidos en varias interfaces, solo tiene que modificar un filtro de Firewall.

Nota:

De forma similar al enfoque alternativo (aplicación de una lista de filtros de firewall), la configuración de un filtro de Firewall anidado combina varios filtros de firewall en una nueva definición de filtro de Firewall.

Configuración de filtros de Firewall anidados

La configuración de un filtro de Firewall anidado para cada interfaz de enrutador (o conmutador) implica separar las reglas de filtrado de paquetes compartidas de las reglas de filtrado de paquetes específicas de la interfaz de la siguiente manera:

  • Para cada conjunto de reglas de filtro de paquetes común entre varias interfaces, configure un filtro de Firewall independiente que contenga los términos de filtrado compartido.

  • Para cada interfaz de enrutador (o conmutador), configure un filtro de Firewall independiente que contenga:

    • Todos los términos de filtrado exclusivos de la interfaz.

    • Término de filtración adicional que incluye una filter referencia al filtro de firewall que contiene los términos de filtrado comunes.

Aplicación de filtros de cortafuegos anidados a una interfaz de enrutador o conmutador

La aplicación de filtros de cortafuegos anidados no es lo mismo que aplicar un filtro de cortafuegos sin anidar. Para cada interfaz, puede incluir una input instrucción or output (o ambas) en filter Stanza para especificar el filtro de cortafuegos anidado adecuado.

Aplicación de filtros de cortafuegos anidados a una interfaz, los términos de filtro compartido y los filtros del cortafuegos específico de la interfaz se aplican a través de un único filtro de cortafuegos anidado que incluye otros filtros a través de la filter instrucción en una término de filtración.