Descripción de cómo los filtros de firewall controlan los flujos de paquetes
Un conmutador admite filtros de firewall que le permiten controlar flujos de paquetes de datos y paquetes locales. Los paquetes de datos transitan por un conmutador a medida que se reenvían desde un origen a un destino. Los paquetes locales están destinados o enviados por un motor de enrutamiento (no transitan por un conmutador). Los paquetes locales suelen contener datos de protocolo de enrutamiento, datos para servicios IP como Telnet o SSH, o datos para protocolos administrativos como el Protocolo de mensajes de control de Internet (ICMP).
Los filtros de firewall afectan a los flujos de paquetes que entran o salen de un conmutador de la siguiente manera:
-
Los filtros de firewall de entrada afectan el flujo de paquetes de datos que se reciben en las interfaces de conmutador. Cuando un conmutador recibe un paquete de datos, el motor de reenvío de paquetes del sistema que contiene la interfaz de entrada determina dónde reenviar el paquete buscando en su tabla de reenvío de capa 2 o capa 3 la mejor ruta al destino. Los paquetes de datos se reenvían a una interfaz de salida. Los paquetes destinados localmente se reenvían al motor de enrutamiento.
-
Los filtros de firewall de salida afectan a los paquetes de datos que transitan por un conmutador, pero no afectan a los paquetes enviados por el motor de enrutamiento. El motor de reenvío de paquetes aplica estos filtros en el sistema que contiene la interfaz de salida.
En algunas plataformas QFX que utilizan código base PTX, como QFX10002-60C, por ejemplo, hay soporte para la inspección de filtros de firewall del tráfico saliente basado en RE.
Figura 1 Ilustra la aplicación de filtros de firewall de entrada y salida para controlar el flujo de paquetes a través de un conmutador:
-
Filtro de firewall de entrada aplicado a paquetes destinados localmente que se reciben en las interfaces de conmutador y están destinados al motor de enrutamiento.
-
Filtro de firewall de entrada aplicado a los paquetes de datos que se reciben en las interfaces del conmutador y que transitarán por el conmutador.
-
Filtro de firewall de salida aplicado a los paquetes de datos que transitan por el conmutador.