Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Cómo los filtros de firewall estándar evalúan los paquetes

En este tema, se trata la siguiente información:

Descripción general de la evaluación de paquetes de filtro de firewall

La siguiente secuencia describe cómo el dispositivo evalúa un paquete que entra o sale de una interfaz si el tráfico de entrada o salida en una interfaz de dispositivo está asociado con un filtro de firewall. La evaluación de paquetes se realiza de la siguiente manera:

  1. El dispositivo evalúa el paquete con los términos del filtro de firewall secuencialmente, a partir del primer término del filtro.

    • Si el paquete coincide con todas las condiciones especificadas en un término, el dispositivo realiza todas las acciones especificadas en ese término.

    • Si el paquete no coincide con todas las condiciones especificadas en un término, el dispositivo pasa al siguiente término en el filtro (si existe un término posterior) y evalúa el paquete con ese término.

    • Si el paquete no coincide con ningún término en el filtro de firewall, el dispositivo descarta implícitamente el paquete.

  2. A diferencia de los filtros de servicio y los filtros simples, los filtros de firewall admiten la next term acción, que no es ni una acción de finalización ni una acción nominadora, sino una acción de control de flujo.

    Nota:

    En Junos y Junos OS Evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término next term de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

    • Si el término coincidente incluye la next term acción, el dispositivo continúa la evaluación del paquete en el siguiente término dentro del filtro de firewall.

    • Si el término coincidente no incluye la acción, la next term evaluación del paquete con el filtro de firewall dado termina en este término. El dispositivo no evalúa el paquete en función de ningún término posterior en este filtro.

    Se admiten un máximo de 1024 next term acciones por configuración de filtro de firewall. Si configura un filtro de firewall que supere este límite, la configuración del candidato produce un error de confirmación.

  3. El dispositivo deja de evaluar un paquete en un filtro de firewall determinado cuando el paquete coincide con un término sin la next term acción o cuando el paquete no coincide con el último término del filtro de firewall.

  4. Si un paquete local llega a una interfaz de enrutador que está asociada con un filtro de firewall de entrada, el filtro evalúa el paquete dos veces. La primera evaluación se produce en el motor de reenvío de paquetes, que es el elemento de procesamiento central del plano de reenvío del enrutador, y la segunda evaluación ocurre en el motor de enrutamiento, que ejecuta el software del plano de control del enrutador.

    Nota:

    Los paquetes locales (fragmentos de datos que están destinados o enviados por el propio enrutador) suelen contener datos de protocolo de enrutamiento, datos de servicios IP como Telnet o SSH, y datos para protocolos administrativos, como el Protocolo de mensajes de control de Internet (ICMP).

    Si la primera evaluación del filtro de firewall modifica los valores del paquete local entrante o el contexto de paquete, la segunda evaluación del filtro de firewall se basa en los valores actualizados de paquete o contexto de paquete.

    Por ejemplo, suponga que el filtro incluye una condición de coincidencia basada en la clase de reenvío o el valor de prioridad de pérdida asociado con el paquete y que el filtro incluye una acción que modifica la clase de reenvío o el valor de prioridad de pérdida asociado con el paquete. Si un paquete local de entrada llega a una interfaz asociada y la evaluación del filtro en el motor de reenvío de paquetes modifica (en lugar de dejar caer) el paquete, la evaluación del filtro en el motor de enrutamiento se basa en el contexto del paquete modificado (en lugar del contexto original del paquete).

Evaluación de paquetes en un único filtro de firewall

Tabla 1 describe comportamientos de filtrado de paquetes en una interfaz de dispositivo asociada con un único filtro de firewall.

Nota:

En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término next term de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.
Tabla 1: Evaluación de paquetes en un único filtro de firewall

Evento de filtro de firewall

Acción

Medidas posteriores

El término filtro de firewall no especifica ninguna condición de coincidencia.

El término coincide con todos los paquetes de forma predeterminada, por lo que el dispositivo realiza las acciones especificadas por ese término.

Si las acciones de término incluyen la next term acción, el dispositivo continúa la evaluación del paquete con el término siguiente dentro del filtro de firewall (si existe un término posterior).

El paquete coincide con todas las condiciones especificadas por el término de filtro de firewall.

El dispositivo realiza las acciones especificadas por ese término.

Si las acciones de término incluyen la next term acción, el dispositivo continúa la evaluación del paquete con el término siguiente dentro del filtro de firewall (si existe un término posterior).

El paquete coincide con todas las condiciones especificadas por el término de filtro de firewall, pero el término no especifica ninguna acción.

El dispositivo acepta implícitamente el paquete.

Si las acciones de término incluyen la next term acción, el dispositivo continúa la evaluación del paquete con el término siguiente dentro del filtro de firewall (si existe un término posterior).

El paquete no coincide con todas las condiciones especificadas por el término de filtro de firewall.

El dispositivo no realiza las acciones especificadas por ese término.

El dispositivo continúa la evaluación del paquete con el siguiente término dentro del filtro (si existe un término posterior).

El paquete no coincide con ningún término en el filtro

El dispositivo descarta implícitamente el paquete

Cada configuración de filtro de firewall incluye una acción implícita discard al final del filtro. Esta acción de terminación implícita es equivalente a incluir el siguiente término t_explicit_discard de ejemplo como término final en el filtro de firewall:

term t_explicit_discard {
    then discard;
}

Prácticas recomendadas: Aceptar explícitamente cualquier tráfico que no se descarte específicamente

Es posible que desee un filtro de firewall para aceptar cualquier tráfico que el filtro no descarte específicamente. En este caso, recomendamos que configure el filtro de firewall con un término final que especifique la accept acción de terminación.

En el siguiente fragmento de ejemplo, configurar el t_allow_all_else término como el término final en el filtro de firewall configura explícitamente el filtro de firewall para aceptar cualquier tráfico que el filtro no haya descartado específicamente :

Seguir esta práctica recomendada puede simplificar la resolución de problemas del filtro de firewall.

Prácticas recomendadas: Rechazar explícitamente cualquier tráfico que no se acepte específicamente

Por otro lado, es posible que desee un filtro de firewall para rechazar cualquier tráfico que el filtro de firewall no acepte específicamente. En este caso, recomendamos que configure el filtro de firewall con un término final que especifique la reject acción de terminación.

En el siguiente fragmento de ejemplo, configurar el t_deny_all_else término como el término final en el filtro de firewall configura explícitamente el filtro de firewall para rechazar cualquier tráfico que el filtro no haya aceptado específicamente:

Seguir esta práctica recomendada puede simplificar la resolución de problemas del filtro de firewall.

Varios filtros de firewall conectados a una sola interfaz

En interfaces de dispositivo compatibles, puede adjuntar varios filtros de firewall a una sola interfaz. Para obtener más información, consulte Descripción de varios filtros de firewall aplicados como lista.

Nota:

En las interfaces compatibles, puede adjuntar un filtro de firewall independiente de protocolo (family any) y un filtro de firewall específico para el protocolo (family inet o family inet6) a la misma interfaz. El filtro de firewall independiente del protocolo se ejecuta primero. Para obtener más información, consulte Pautas para aplicar filtros estándar de firewall.

Filtro de firewall único conectado a varias interfaces

En las interfaces compatibles, puede asociar un único filtro de firewall con varias interfaces, y Junos OS crea una instancia específica de esa interfaz de ese filtro de firewall para cada interfaz asociada.

  • Junos OS asocia cada instanciación específica de interfaz de un filtro de firewall con un nombre generado por el sistema y específico de la interfaz.

  • Para cualquier count acción en los términos de filtro, el motor de reenvío de paquetes mantiene contadores separados específicos de interfaz, y Junos OS asocia cada contador con un nombre específico de interfaz generado por el sistema.

  • Para cualquier policer acción en los términos del filtro, Junos OS crea instancias independientes y específicas de la interfaz de las acciones de policía.

Para obtener más información, consulte Descripción general de las instancias de filtro de firewall específicas de la interfaz.

Temas relacionados