Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la planeación del filtro de firewall

Antes de crear un filtro de firewall y aplicarlo, determine qué desea que logre el filtro y cómo usar sus condiciones y acciones de coincidencia para lograr sus objetivos. Es importante que comprenda cómo coinciden los paquetes, las acciones predeterminadas y configuradas del filtro de firewall y dónde aplicar el filtro de firewall.

No puede aplicar más de un filtro de firewall por puerto, VLAN o interfaz de enrutador por dirección (entrada y salida). Por ejemplo, para un puerto determinado puede aplicar como máximo un filtro en la dirección de entrada y un filtro en la dirección de salida. Debe intentar ser conservador en el número de términos (reglas) que incluye en cada filtro de firewall, ya que un gran número de términos requiere un tiempo de procesamiento más largo durante una operación de confirmación y puede dificultar las pruebas y la solución de problemas.

Antes de configurar y aplicar filtros de firewall, responda las siguientes preguntas para cada uno de ellos:

  1. ¿Cuál es el propósito del filtro?

    Por ejemplo, el sistema puede colocar paquetes en función de la información del encabezado, limitar la velocidad del tráfico, clasificar los paquetes en clases de reenvío, registrar y contar paquetes o evitar ataques de denegación de servicio.

  2. ¿Cuáles son las condiciones de coincidencia adecuadas? Determine los campos de encabezado de paquete que debe contener el paquete para una coincidencia. Los campos posibles incluyen:

    • Campos de encabezado de capa 2: direcciones MAC de origen y destino, etiqueta 802.1Q, tipo de Ethernet o VLAN.

    • Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (prioridad de IP, indicadores de fragmentación de IP o tipo TTL).

    • Campos de encabezado TCP: puertos y indicadores de origen y destino.

    • Campos de encabezado ICMP: tipo de paquete y código.

  3. ¿Cuáles son las acciones apropiadas que se deben tomar si se produce una coincidencia?

    El sistema puede aceptar, descartar o rechazar paquetes.

  4. ¿Qué modificadores de acción adicionales podrían ser necesarios?

    Por ejemplo, puede configurar el sistema para reflejar (copiar) paquetes en un puerto especificado, contar paquetes coincidentes, aplicar administración de tráfico o controlar paquetes.

  5. ¿En qué puerto, interfaz de enrutador o VLAN se debe aplicar el filtro de firewall?

    Comience con las siguientes pautas básicas:

    • Si es necesario filtrar los paquetes que entran o salen de una interfaz de capa 2 (puerto), aplique el filtro en el nivel de jerarquía.[edit family ethernet switching filter] Este es un filtro de puerto.

    • Si es necesario filtrar los paquetes que entran o salen de cualquier puerto de una VLAN específica, utilice un filtro VLAN.

    • Si es necesario filtrar los paquetes que entran o salen de una interfaz de capa 3 (enrutada) o de una interfaz VLAN enrutada (RVI), utilice un filtro de firewall de enrutador. Aplique el filtro a la interfaz en el nivel jerárquico .[edit family inet] También puede aplicar un filtro de firewall de enrutador en una interfaz de circuito cerrado.

    Antes de elegir la interfaz o VLAN en la que aplicar un filtro de firewall, comprenda cómo esa ubicación puede afectar el flujo de tráfico a otras interfaces. En general, aplique un filtro cerca del dispositivo de origen si el filtro coincide con las direcciones IP de origen o destino, los protocolos IP o la información del protocolo, como los tipos de mensajes ICMP y los números de puerto TCP o UDP. Sin embargo, debe aplicar un filtro cerca del dispositivo de destino si el filtro solo coincide con una dirección IP de origen. Cuando se aplica un filtro demasiado cerca del dispositivo de origen, el filtro podría impedir que ese dispositivo de origen tenga acceso a otros servicios que están disponibles en la red.

    Nota:

    Los filtros de firewall de salida no afectan al flujo de paquetes de control generados localmente desde el motor de enrutamiento.

  6. ¿En qué dirección se debe aplicar el filtro de firewall?

    Normalmente, se configuran acciones diferentes para el tráfico que entra en una interfaz que para el tráfico que sale de una interfaz.

  7. ¿Cuántos filtros debo crear?

    Consulte Planificación del número de filtros de firewall que se van a crear para obtener información sobre cuántos filtros de firewall puede aplicar.Planificación del número de filtros de firewall que se van a crear

Temas relacionados