Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de cómo se evalúan los filtros de Firewall

Un filtro de Firewall se compone de uno o varios términos, y el orden de los términos en un filtro es importante. Antes de configurar filtros de firewall, debe comprender cómo los conmutadores evalúan los términos de un filtro y cómo se evalúan los paquetes según los términos.

Cuando un filtro de Firewall se compone de un único término, el filtro se evalúa de la siguiente manera:

  • Si el paquete coincide con todas las condiciones, se tomará then la acción de la instrucción.

  • Si el paquete coincide con todas las condiciones y no se especifica ninguna acción en la instrucción, se toma thenaccept la acción predeterminada.

  • Si el paquete no cumple todas las condiciones, el conmutador lo descarta.

Cuando un filtro de Firewall se compone de más de un término, el filtro se evalúa secuencialmente:

  1. El paquete se evalúa en función de las condiciones from de la instrucción del primer término.

  2. Si el paquete coincide con todas las condiciones del término, se toma la acción then de la instrucción y finaliza la evaluación. Los siguientes términos del filtro no se evalúan.

  3. Si el paquete no coincide con todas las condiciones del término, el paquete se evalúa en función de las condiciones de from la instrucción del segundo término.

    Este proceso continúa hasta que el paquete coincide con todas las condiciones from de la instrucción en uno de los siguientes términos o no hay más términos en el filtro.

  4. Si un paquete pasa por todos los términos del filtro sin una coincidencia, el conmutador lo descarta.

Nota:

El orden de las condiciones de from una instrucción no es importante, ya que un paquete debe cumplir todas las condiciones para que se considere una coincidencia.

Figura 1muestra cómo los conmutadores evalúan los términos en un filtro de Firewall.

Figura 1: Evaluación de términos en un filtro de FirewallEvaluación de términos en un filtro de Firewall

Si no incluye una from instrucción en un término, todos los paquetes coincidirán con el término y serán procesados por la then instrucción. Si un término no contiene una then instrucción o si no se ha configurado una acción en la then instrucción, el término acepta paquetes coincidentes.

Cada filtro de Firewall contiene una deny instrucción implícita al final del filtro, lo que equivale al siguiente término de filtro explícito:

Por lo tanto, un paquete que no coincida con ninguno de los términos de un filtro de cortafuegos será descartado. Si configura un filtro que no tiene términos, se descartarán todos los paquetes que pasan a través del filtro.

Nota:

El filtrado de Firewall se admite en paquetes con una longitud mínima de 64 bytes.