EN ESTA PÁGINA
Descripción de las condiciones de coincidencia del filtro de Firewall
Antes de definir los términos de los filtros de firewall, debe comprender cómo se tratan las condiciones de un término y cómo especificar las condiciones de coincidencia de filtros de campos de interfaz, numéricos y direcciones para lograr los resultados de filtro deseados.
Condiciones de coincidencia de filtro
En la from instrucción de un término de filtro de Firewall , especifique las condiciones que debe cumplir el paquete para que la acción then de la instrucción se realice. Todas las condiciones deben coincidir para que se implemente la acción. El orden en el que se especifican las condiciones de coincidencia no es importante, ya que un paquete debe cumplir todas las condiciones en un término para que se produzca una coincidencia.
Si especifica varios valores para la misma condición, una coincidencia en cualquiera de esos valores coincide con esa condición. Por ejemplo, si especifica varias direcciones IP de origen mediante la source-address instrucción, un paquete que contenga cualquiera de las direcciones IP de origen coincidirá con la condición. En algunos casos, puede especificar varios valores para la misma condición encerrando los valores posibles entre corchetes, como en:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set protocol (icmp | udp)
En otros casos, debe escribir varias instrucciones, como en:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-address 10.1.1.1 user@switch# set source-address 10.1.1.2
Si no especifica ninguna condición de coincidencia en un término, dicho término coincidirá con todos los paquetes.
Al contrario que los filtros tradicionales de Junos OS firewall, except no se puede utilizar una instrucción condicional para negar la condición.
Condiciones de coincidencia de filtro numérico
Puede especificar condiciones numéricas de coincidencia de filtros que se identifican con un valor numérico, como los números de puerto y protocolo. Para las condiciones numéricas de coincidencia del filtro, se especifica la condición y un valor único que debe contener un campo de un paquete para que se considere una coincidencia.
Puede especificar el valor numérico de una de las maneras siguientes:
Número único: se produce una coincidencia si el valor del campo coincide con el número. Por ejemplo, para hacer coincidir el tráfico Telnet:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-port 23
Sinónimo de texto para un único número: se produce una coincidencia si el valor del campo coincide con el número que corresponde al sinónimo. Por ejemplo, para hacer coincidir el tráfico Telnet:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-port telnet
Para especificar varios valores para la misma condición de coincidencia en un término de filtro, especifique cada valor en su propia instrucción Match. Por ejemplo, si el valor del puerto de origen del paquete es 22 o 23, se producirá una coincidencia en el siguiente término.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-port 22 user@switch# set source-port 23
Condiciones de coincidencia de filtro de interfaz
Puede especificar una condición de coincidencia de filtro de interfaz para que coincida con una interfaz en la que se recibe o transmite un paquete. Por ejemplo, si aplica un filtro a una VLAN, es posible que desee que el filtro coincida en algunas interfaces que participan en la VLAN y que no coincidan en otras interfaces de la VLAN. Cuando se especifica el nombre de la interfaz, se debe incluir una unidad lógica.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/0/6.0
En este ejemplo, el último carácter (0) especifica la unidad lógica. Puede incluir el carácter comodín (*) como parte del nombre de la interfaz. Por ejemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/*/6.0 user@switch# set interface ge-0/1/*.0 user@switch# set interface ge-0/0/6.*
Tenga en cuenta que debe especificar un valor o un carácter comodín para la unidad lógica.
Condiciones de coincidencia de filtro de dirección IP
Puede especificar una condición de coincidencia de filtro de dirección para que coincida con una dirección de origen o de destino IP o con un prefijo de un paquete. Especifique la dirección o el tipo de prefijo, así como la dirección o el prefijo. Por ejemplo:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10.2.1.0/24;
Si se omite la longitud del prefijo, se tomará de /32forma predeterminada. Por ejemplo:
[edit firewall family family-name filter filter-name term term-name from]
user@switch# set destination-address 10
[edit firewall family family-name filter filter-name term term-name from]
user@switch# show
destination-address {
10.0.0.0/32;
}Para especificar más de una dirección IP o prefijo en el término de un filtro, escriba cada dirección o prefijo en su instrucción Match. Por ejemplo, si la dirección de origen de un paquete coincide con cualquiera de los siguientes prefijos, se producirá una coincidencia en el siguiente término:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-address 10.1.0.0/16 user@switch# set source-address 10.2.0.0/16
Condiciones de coincidencia de filtro de direcciones MAC
Puede especificar una condición de coincidencia de filtro dirección MAC para que coincida con una dirección MAC de origen o destino. Puede especificar el tipo de dirección y el valor que debe contener un paquete para que se considere como coincidente.
Puede especificar el dirección MAC como seis bytes hexadecimales en cualquiera de los formatos siguientes:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 00:11:22:33:44:55
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 0011.2233.4455
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 001122334455
Independientemente de los formatos que utilice, el sistema resuelve la dirección con el formato estándar, en este caso 00:11:22:33:44:55.
Para especificar más de una dirección MAC en el término de un filtro, especifique cada dirección MAC en su propia instrucción Match. Por ejemplo, si el valor de la dirección de origen MAC coincide con cualquiera de las siguientes direcciones, se producirá una coincidencia en el siguiente término:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-mac-address 00:11:22:33:44:55 user@switch# set source-mac-address 00:11:22:33:20:15
Condiciones de coincidencia de filtro de campo de bits
Puede especificar condiciones de coincidencia del filtro del campo de bits para hacer coincidir los bits determinados dentro de determinados campos de los marcos Ethernet y los encabezados IP, TCP, UDP e ICMP. Normalmente se especifica el campo y el bit dentro del campo que deben establecerse en un paquete para que se considere una coincidencia.
En la mayoría de los casos puede utilizar una palabra clave para especificar el bit en el que desea hacer coincidir. Por ejemplo, para hacer coincidir en un paquete TCP SYN que synpuede escribir, como en:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags syn
También puede entrar 0x02 , ya que el bit SYN es el tercer bit menos significativo del campo TCP-flags de 8 bits:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags 0x02
Para hacer coincidir varios valores del campo de bits, utilice los operadores lógicos, Tabla 1que se describen en. Los operadores se enumeran en orden de mayor a menor prioridad. Las operaciones se evalúan de izquierda a derecha.
Operadores lógicos |
Descriptiva |
|---|---|
|
Nega |
|
Y lógico |
|
O lógico |
Si utiliza un operador lógico, incluya los valores entre comillas y no incluya espacios. Por ejemplo, la siguiente instrucción coincide con el segundo paquete de un protocolo de enlace TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn&ack"
Para negar una coincidencia, anteponga un signo de exclamación al valor. Por ejemplo, la siguiente instrucción solo coincide con el paquete inicial de un protocolo de enlace TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn&!ack"
Puede usar sinónimos de texto para especificar algunas coincidencias de campos de bits comunes. Por ejemplo, la siguiente instrucción también coincide con el paquete inicial de un protocolo de enlace TCP:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-initial