Descripción general del filtro de firewall sin estado
Control de flujo de paquetes
Para influir en qué paquetes pueden transitar por el sistema y aplicar acciones especiales a los paquetes según sea necesario, puede configurar filtros de firewall sin estado. Un firewall sin estado especifica una secuencia de una o más reglas de filtrado de paquetes, denominadas términos de filtro. Un término de filtro especifica las condiciones de coincidencia que se utilizarán para determinar una coincidencia y las acciones que se deben realizar en un paquete coincidente. Un filtro de firewall sin estado le permite manipular cualquier paquete de una familia de protocolos determinada, incluidos los paquetes fragmentados, en función de la evaluación de los campos de encabezado de capa 3 y capa 4. Normalmente, se aplica un filtro de firewall sin estado a una o varias interfaces que se han configurado con características de familia de protocolos. Puede aplicar un filtro de firewall sin estado a una interfaz de entrada, una interfaz de salida o ambas.
- Control de flujo de paquetes de datos
- Control de flujo de paquetes local
- Control de flujo de paquetes local evolucionado de Junos OS
Control de flujo de paquetes de datos
Para controlar el flujo de paquetes de datos que transitan por el dispositivo a medida que los paquetes se reenvían desde un origen a un destino, puede aplicar filtros de firewall sin estado a la entrada o salida de las interfaces físicas del enrutador o conmutador.
Para exigir un ancho de banda especificado y un tamaño máximo de ráfaga para el tráfico enviado o recibido en una interfaz, puede configurar políticas de aplicación. Los aplicadores de políticas son un tipo especializado de filtro de firewall sin estado y un componente principal de la clase de servicio (CoS) de Junos OS.
Control de flujo de paquetes local
Para controlar el flujo de paquetes locales entre las interfaces físicas y el motor de enrutamiento, puede aplicar filtros de firewall sin estado a la entrada o salida de la interfaz de circuito cerrado. La interfaz de circuito cerrado (lo0) es la interfaz del motor de enrutamiento y no contiene paquetes de datos.
Control de flujo de paquetes local evolucionado de Junos OS
En Junos OS Evolved, puede tener dos filtros diferentes: uno para el tráfico de control de red (tráfico de circuito cerrado) y otro para el tráfico de administración (interfaz de administración). Con dos filtros, tienes más flexibilidad. Por ejemplo, puede configurar un filtro más estricto en el tráfico de la interfaz de administración que en el tráfico de control de red.
En Junos OS y Junos OS Evolved, los filtros de firewall de tráfico de control de red o los filtros de firewall de circuito cerrado (Lo0/Lo6) se comportan igual y no hay diferencia. Configure un filtro de firewall Lo0/Lo6 en la jerarquía de filtros de firewall INET o INET6 de la interfaz Lo0/Lo6. Para proporcionar capacidad de filtrado para la salida de paquetes en la interfaz Lo0, el filtro de firewall se implementa en el kernel del software mediante Netfilters de Juniper. Netfilters está instalado en el kernel de Linux y no hay hardware involucrado en esto.
A continuación se muestra un ejemplo de configuración para filtros de firewall Lo0.
set firewall family inet filter finet interface-specific set firewall family inet filter finet term t1 from source-address 10.0.0.2/32 set firewall family inet filter finet term t1 from destination-address 10.0.0.1/32 set firewall family inet filter finet term t1 from protocol tcp set firewall family inet filter finet term t1 from source-port ssh set firewall family inet filter finet term t1 from destination-port ssh set firewall family inet filter finet term t1 then count c1 set firewall family inet filter finet term t1 then log set interfaces lo0 unit 0 family inet filter input finet
Tabla 1, Tabla 2, Tabla 3y Tabla 4 muestra las condiciones y acciones de coincidencia admitidas para la familia de filtros de firewall Lo0/Lo6 en Junos OS evolucionado.
|
Condición de coincidencia de filtro de firewall |
Lo0 |
Lo6 |
|---|---|---|
|
dirección ip-destino |
Sí |
Sí |
|
dirección de origen IP |
Sí |
Sí |
|
lista de prefijos de destino |
Sí |
Sí |
|
source-prefix-list |
Sí |
Sí |
|
puerto de destino |
Sí |
Sí |
|
puerto de origen |
Sí |
Sí |
|
protocolo ip |
Sí |
Sí |
|
primer fragmento |
Sí |
No |
|
is-fragmento |
Sí |
No |
|
Indicadores TCP |
Sí |
Sí |
|
Ttl |
Sí |
No |
|
DSCP |
Sí |
No |
|
Condición de coincidencia de filtro de firewall |
Lo0 |
Lo6 |
|---|---|---|
|
dirección ip-destino |
No |
Sí |
|
dirección de origen IP |
No |
Sí |
|
lista de prefijos de destino |
No |
Sí |
|
source-prefix-list |
No |
Sí |
|
puerto de destino |
No |
Sí |
|
Acción |
Lo0 |
Lo6 |
|---|---|---|
|
cuenta |
Sí |
Sí |
|
descartar |
Sí |
Sí |
|
Policíar |
Sí |
Sí |
|
Poligrafiador de tres colores |
Sí |
Sí |
|
Acción |
Lo0 |
Lo6 |
|---|---|---|
|
cuenta |
Sí |
Sí |
|
descartar |
Sí |
Sí |
|
Policíar |
Sí |
Sí |
|
Poligrafiador de tres colores |
Sí |
Sí |
El filtrado de administración utiliza filtros de motor de enrutamiento basados en netfilters, un marco proporcionado por el kernel de Linux. Esta diferencia da como resultado que solo se admitan ciertas coincidencias y acciones. En Firewall del motor de enrutamiento , se enumeran algunos filtros clave entre Junos OS y Junos OS evolucionado.
Debe agregar explícitamente el filtro en la interfaz de administración, ya que para Junos OS Evolved, el filtro lo0 ya no se aplica al tráfico de administración, como es el caso de Junos OS.
Para configurar en el filtro de interfaz de administración, el filtro debe configurarse en la jerarquía de filtros de firewall de la familia INET o INET6 de la interfaz de administración. La siguiente configuración de ejemplo para configurar el filtro de firewall en la interfaz de administración.
set firewall family inet filter f1 interface-specific set firewall family inet filter f1 term t1 from protocol tcp set firewall family inet filter f1 term t1 then count c1 set firewall family inet filter f1 term t1 then accept set firewall family inet filter f1 term t2 from protocol icmp set firewall family inet filter f1 term t2 then count c3 set firewall family inet filter f1 term dft then count dft_cnt set firewall family inet filter f1 term dft then accept set interfaces re0:mgmt-0 unit 0 family inet filter input f1
Tabla 5y , y Tabla 6Tabla 7 muestra las condiciones y acciones de coincidencia del filtro de firewall compatibles en las interfaces de administración.
|
Condición de coincidencia de filtro de firewall |
Compatible |
|---|---|
|
dirección |
Sí |
|
dirección-destino |
Sí |
|
puerto de destino |
Sí |
|
puerto-destino excepto |
Sí |
|
lista de prefijos de destino |
Sí |
|
código icmp |
Sí |
|
código icmp-except |
Sí |
|
Tipo ICMP |
Sí |
|
tipo icmp-except |
Sí |
|
siguiente-encabezado |
Sí |
|
siguiente-encabezado-excepto |
Sí |
|
longitud del paquete |
Sí |
|
longitud del paquete-excepto |
Sí |
|
protocolo de carga útil |
Sí |
|
protocolo de carga útil-excepto |
Sí |
|
puerto |
Sí |
|
puerto excepto |
Sí |
|
lista de prefijos |
Sí |
|
dirección de origen |
Sí |
|
puerto de origen |
Sí |
|
puerto de origen-excepto |
Sí |
|
source-prefix-list |
Sí |
|
Establecido por TCP |
Sí |
|
Indicadores TCP |
Sí |
|
TCP-inicial |
Sí |
|
clase de tráfico |
Sí |
|
clase-de-tráfico-excepto |
Sí |
|
Condición de coincidencia de filtro de firewall |
Compatible |
|---|---|
|
DSCP |
Sí |
|
DSCP-excepto |
Sí |
|
precedencia |
Sí |
|
precedencia-excepto |
Sí |
|
protocolo |
Sí |
|
protocolo-excepto |
Sí |
|
Ttl |
Sí |
|
ttl-excepto |
Sí |
|
Acción de filtro de firewall |
IPv4 |
IPv6 |
|---|---|---|
|
aceptar |
Sí |
Sí |
|
cuenta |
Sí |
Sí |
|
clase de reenvío |
Sí |
Sí |
|
prioridad a la pérdida |
Sí |
Sí |
|
Policíar |
Sí |
Sí |
|
rechazar |
Sí |
Sí |
|
syslog |
Sí |
Sí |
Filtros de firewall sin estado y con estado
Un filtro de firewall sin estado, también conocido como lista de control de acceso (ACL), no inspecciona el tráfico de forma estatal. En su lugar, evalúa el contenido de los paquetes estáticamente y no realiza un seguimiento del estado de las conexiones de red. Por el contrario, un filtro de firewall con estado utiliza información de estado de conexión derivada de otras aplicaciones y comunicaciones pasadas en el flujo de datos para tomar decisiones de control dinámico.
En la Guía del usuario Políticas de enrutamiento, filtros de firewall y políticas de tráfico se describen los filtros de firewall sin estado.
Propósito de los filtros de firewall sin estado
El propósito básico de un filtro de firewall sin estado es mejorar la seguridad mediante el uso del filtrado de paquetes. El filtrado de paquetes le permite inspeccionar los componentes de los paquetes entrantes o salientes y, a continuación, realizar las acciones que especifique en los paquetes que coincidan con los criterios especificados. El uso típico de un filtro de firewall sin estado es proteger los procesos y recursos del motor de enrutamiento de paquetes maliciosos o que no son de confianza.