Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la planificación de filtros de Firewall

Antes de crear un filtro de Firewall y aplicarlo, determine lo que debe hacer el filtro y cómo usar las condiciones y acciones de coincidencia para lograr sus objetivos. Es importante que comprenda cómo se coincidencian los paquetes, las acciones predeterminadas y configuradas del filtro del firewall, y dónde aplicar el filtro de Firewall.

No puede aplicar más de un filtro de Firewall por puerto, VLAN, o interfaz de enrutador por dirección (entrada y salida). Por ejemplo, para un puerto dado, puede aplicar como máximo un filtro en la dirección de entrada y un filtro en la dirección de salida. Debe intentar ser conservador en el número de términos (reglas) que se incluyen en cada filtro de firewall, ya que una gran cantidad de términos requiere tiempo de procesamiento más largo durante una operación de confirmación, lo que hace que las pruebas y los problemas sean más difíciles.

Antes de configurar y aplicar filtros de firewall, responda a las siguientes preguntas para cada uno:

  1. ¿Cuál es el propósito del filtro?

    Por ejemplo, el sistema puede descartar paquetes basados en información de encabezado, tráfico de límite de velocidad, paquetes de clasificación en las clases de reenvío, registrar paquetes y recuentos o evitar ataques de denegación de servicio.

  2. ¿Cuáles son las condiciones de coincidencia adecuadas? Determine los campos de encabezado de paquetes que debe contener el paquete para una coincidencia. Entre los campos posibles se incluyen:

    • Campos de encabezado de capa 2: direcciones MAC de origen y destino, etiqueta 802.1Q, tipo Ethernet o VLAN.

    • Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (prioridad IP, indicadores de fragmentación IP o tipo TTL).

    • Campos de encabezado TCP: puertos y indicadores de origen y destino.

    • Campos de encabezado ICMP: tipo de paquete y código.

  3. ¿Cuáles son las acciones apropiadas que deben llevarse a cabo si se produce una coincidencia?

    El sistema puede aceptar, descartar o rechazar paquetes.

  4. ¿Qué otros modificadores de acciones podrían ser necesarios?

    Por ejemplo, puede configurar el sistema para reflejar (copiar) paquetes en un puerto específico, contar los paquetes coincidentes, aplicar la administración del tráfico o paquetes policiales.

  5. ¿En qué puerto, interfaz de enrutador o VLAN debe aplicarse el filtro de Firewall?

    Empiece con las siguientes directrices básicas:

    • Si es necesario filtrar los paquetes que entran o salen de una interfaz (puerto) de capa 2, aplique el filtro en el [edit family ethernet switching filter] nivel jerárquico. Este es un filtro de puerto.

    • Si es necesario filtrar los paquetes que entran o salen de cualquier puerto en una VLAN específica, utilice un filtro de VLAN.

    • Si es necesario filtrar los paquetes que entran o salen de una interfaz de capa 3 (enrutada) o una interfaz VLAN enrutada (RVI),utilice un filtro de firewall de enrutador. Aplique el filtro a la interfaz en el [edit family inet] nivel de jerarquía. También puede aplicar un filtro Firewall de enrutador en una interfaz de bucle invertido.

    Antes de elegir la interfaz o VLAN en la que aplicar un filtro de firewall, comprenda cómo puede afectar esa ubicación al flujo de tráfico de otras interfaces. En general, aplique un filtro cercano al dispositivo de origen si el filtro coincide con las direcciones IP de origen o destino, los protocolos IP o la información de protocolo, como los tipos de mensajes ICMP y los números de puerto TCP o UDP. Sin embargo, debe aplicar un filtro cercano al dispositivo de destino si el filtro solo coincide con una dirección IP de origen. Si aplica un filtro demasiado cerca del dispositivo de origen, el filtro podría evitar que ese dispositivo de origen obtenga acceso a otros servicios disponibles en la red.

    Nota:

    Los filtros del firewall de salida no afectan al flujo de paquetes de control generados localmente desde el motor de enrutamiento.

  6. ¿En qué dirección se debe aplicar el filtro de cortafuegos?

    Normalmente, se configuran distintas acciones para el tráfico que se introducen en una interfaz que la configurada para el tráfico que sale de una interfaz.

  7. ¿Cuántos filtros debo crear?

    Consulte planificación del número de filtros de cortafuegos que desea crear para obtener información acerca de cuántos filtros de Firewall puede aplicar.