Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de la planificación de filtros de firewall

Antes de crear un filtro de firewall y aplicarlo, determine qué desea que logre el filtro y cómo utilizar sus condiciones y acciones de coincidencia para lograr sus objetivos. Es importante que comprenda cómo se hacen coincidir los paquetes, las acciones predeterminadas y configuradas del filtro de firewall, y dónde aplicar el filtro de firewall.

No se puede aplicar más de un filtro de firewall por puerto, VLAN o interfaz de enrutador por dirección (entrada y salida). Por ejemplo, para un puerto determinado puede aplicar como máximo un filtro en la dirección de entrada y un filtro en la dirección de salida. Debe tratar de ser conservador en la cantidad de términos (reglas) que incluye en cada filtro de firewall, ya que una gran cantidad de términos requiere un tiempo de procesamiento más largo durante una operación de confirmación y puede dificultar las pruebas y la resolución de problemas.

Antes de configurar y aplicar filtros de firewall, responda las siguientes preguntas para cada uno de ellos:

  1. ¿Cuál es el propósito del filtro?

    Por ejemplo, el sistema puede soltar paquetes basados en información de encabezado, tráfico de límite de velocidad, clasificar paquetes en clases de reenvío, registrar y contar paquetes o evitar ataques de denegación de servicio.

  2. ¿Cuáles son las condiciones de coincidencia adecuadas? Determine los campos de encabezado de paquete que debe contener el paquete para una coincidencia. Los campos posibles incluyen:

    • Campos de encabezado de capa 2: direcciones MAC de origen y destino, etiqueta 802.1Q, tipo Ethernet o VLAN.

    • Campos de encabezado de capa 3: direcciones IP de origen y destino, protocolos y opciones de IP (precedencia de IP, indicadores de fragmentación de IP o tipo TTL).

    • Campos de encabezado TCP: puertos y marcas de origen y destino.

    • Campos de encabezado ICMP: tipo de paquete y código.

  3. ¿Cuáles son las acciones adecuadas a tomar si se produce una coincidencia?

    El sistema puede aceptar, descartar o rechazar paquetes.

  4. ¿Qué modificadores de acción adicionales podrían ser necesarios?

    Por ejemplo, puede configurar el sistema para duplicar (copiar) paquetes en un puerto especificado, contar paquetes que coincidan, aplicar administración de tráfico o aplicar paquetes de policía.

  5. ¿En qué puerto, interfaz de enrutador o VLAN se debe aplicar el filtro de firewall?

    Comience con las siguientes pautas básicas:

    • Si es necesario filtrar paquetes que entran o salen de una interfaz (puerto) de capa 2, aplique el filtro en el [edit family ethernet switching filter] nivel jerárquico. Este es un filtro de puerto.

    • Si es necesario filtrar paquetes que entran o salen de cualquier puerto de una VLAN específica, utilice un filtro VLAN.

    • Si es necesario filtrar paquetes que entran o salen de una interfaz de capa 3 (enrutada) o una interfaz VLAN enrutada (RVI), utilice un filtro de firewall de enrutador. Aplique el filtro a la interfaz en el [edit family inet] nivel de jerarquía. También puede aplicar un filtro de firewall de enrutador en una interfaz de circuito cerrado.

    Antes de elegir la interfaz o la VLAN en la que se aplicará un filtro de firewall, comprenda cómo esa colocación puede afectar el flujo de tráfico a otras interfaces. En general, aplique un filtro cerca del dispositivo de origen si el filtro coincide con direcciones IP de origen o destino, protocolos IP o información de protocolo, como tipos de mensaje ICMP y números de puerto TCP o UDP. Sin embargo, debe aplicar un filtro cerca del dispositivo de destino si el filtro coincide solo en una dirección IP de origen. Cuando se aplica un filtro demasiado cerca del dispositivo de origen, el filtro podría impedir que dicho dispositivo de origen acceda a otros servicios disponibles en la red.

    Nota:

    Los filtros de firewall de salida no afectan al flujo de paquetes de control generados localmente desde el motor de enrutamiento.

  6. ¿En qué dirección se debe aplicar el filtro de firewall?

    Normalmente, se configuran acciones diferentes para el tráfico que entra en una interfaz a las que configura para el tráfico que sale de una interfaz.

  7. ¿Cuántos filtros debo crear?

    Consulte Planificación del número de filtros de firewall que se crearán para obtener información sobre cuántos filtros de firewall puede aplicar.

Temas relacionados