Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de cómo se evalúan los filtros de firewall

Un filtro de firewall consta de uno o más términos, y el orden de los términos dentro de un filtro es importante. Antes de configurar los filtros de firewall, debe comprender cómo los conmutadores evalúan los términos dentro de un filtro y cómo se evalúan los paquetes en función de los términos.

Cuando un filtro de firewall consta de un solo término, el filtro se evalúa de la siguiente manera:

  • Si el paquete coincide con todas las condiciones, se realiza la acción de la then instrucción.

  • Si el paquete coincide con todas las condiciones y no se especifica ninguna acción en la then instrucción, se realiza la acción accept predeterminada.

  • Si el paquete no coincide con todas las condiciones, el conmutador lo descarta.

Cuando un filtro de firewall consta de más de un término, el filtro se evalúa secuencialmente:

  1. El paquete se evalúa según las condiciones de la from instrucción del primer término.

  2. Si el paquete coincide con todas las condiciones del término, se tomará la acción de la then instrucción y finalizará la evaluación. Los términos posteriores en el filtro no se evalúan.

  3. Si el paquete no coincide con todas las condiciones del término, el paquete se evalúa en contra de las condiciones de la from instrucción en el segundo término.

    Este proceso continúa hasta que el paquete coincida con todas las condiciones de la from instrucción en uno de los términos posteriores o hasta que no haya más términos en el filtro.

  4. Si un paquete pasa por todos los términos del filtro sin coincidir, el conmutador lo descarta.

Nota:

El orden de condiciones de una from instrucción no es importante, ya que un paquete debe coincidir con todas las condiciones que se consideran coincidentes.

Figura 1 muestra cómo los conmutadores evalúan los términos dentro de un filtro de firewall.

Figura 1: Evaluación de términos dentro de un filtro de firewallEvaluación de términos dentro de un filtro de firewall

Si no incluye una instrucción en un from término, todos los paquetes coincidirán con el término y serán procesados por la then instrucción. Si un término no contiene una then instrucción o si no se ha configurado una acción en la then instrucción, el término acepta cualquier paquete coincidente.

Cada filtro de firewall contiene una instrucción implícita deny al final del filtro, que es equivalente al siguiente término de filtro explícito:

En consecuencia, se descarta un paquete que no coincida con ninguno de los términos de un filtro de firewall. Si configura un filtro que no tiene términos, se descartan todos los paquetes que pasan por el filtro.

Nota:

El filtrado de firewall se admite en paquetes de al menos 64 bytes de longitud.

Temas relacionados