Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de cómo se evalúan los filtros de firewall

Un filtro de firewall consta de uno o más términos, y el orden de los términos dentro de un filtro es importante. Antes de configurar filtros de firewall, debe comprender cómo los conmutadores evalúan los términos dentro de un filtro y cómo se evalúan los paquetes con respecto a los términos.

Cuando un filtro de firewall consta de un solo término, el filtro se evalúa de la siguiente manera:

  • Si el paquete cumple todas las condiciones, se realiza la acción de la then instrucción.

  • Si el paquete cumple todas las condiciones y no se especifica ninguna acción en la then instrucción, se realiza la acción accept predeterminada.

  • Si el paquete no cumple todas las condiciones, el conmutador lo descarta.

Cuando un filtro de firewall consta de más de un término, el filtro se evalúa secuencialmente:

  1. El paquete se evalúa en función de las condiciones de la from instrucción en el primer término.

  2. Si el paquete cumple todas las condiciones del término, se realiza la acción de la then instrucción y finaliza la evaluación. Los términos posteriores en el filtro no se evalúan.

  3. Si el paquete no coincide con todas las condiciones del término, el paquete se evalúa en función de las condiciones de la from instrucción en el segundo término.

    Este proceso continúa hasta que el paquete coincide con todas las condiciones de la from instrucción en uno de los términos siguientes o no hay más términos en el filtro.

  4. Si un paquete pasa a través de todos los términos del filtro sin una coincidencia, el conmutador lo descarta.

Nota:

El orden de las condiciones en una from instrucción no es importante porque un paquete debe coincidir con todas las condiciones para que se considere una coincidencia.

Figura 1 muestra cómo los conmutadores evalúan los términos dentro de un filtro de firewall.

Figura 1: Evaluación de términos dentro de un filtro de firewallEvaluación de términos dentro de un filtro de firewall

Si no incluye una from instrucción en un término, todos los paquetes coincidirán con el término y serán procesados por la then instrucción. Si un término no contiene una then instrucción o si no se ha configurado una acción en la then instrucción, el término acepta cualquier paquete coincidente.

Cada filtro de firewall contiene una instrucción implícita deny al final del filtro, que es equivalente al siguiente término de filtro explícito:

En consecuencia, se descarta un paquete que no coincida con ninguno de los términos de un filtro de firewall. Si configura un filtro que no tiene términos, se descartarán todos los paquetes que pasan a través del filtro.

Nota:

El filtrado de firewall se admite en paquetes que tienen al menos 64 bytes de longitud.