Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Pautas para aplicar filtros estándar de firewall

Descripción general de la aplicación de filtros de firewall

Puede aplicar un filtro de firewall estándar a una interfaz de circuito cerrado en el enrutador o a una interfaz física o lógica en el enrutador. Puede aplicar un filtro de firewall a una sola interfaz o a varias interfaces en el enrutador.Tabla 1 resume el comportamiento de los filtros de firewall según el punto al que se adjunta el filtro.

Tabla 1: Comportamiento del filtro de firewall por punto de adjunto de filtro

Punto de conexión de filtro

Comportamiento de filtro

Interfaz de circuito cerrado

La interfaz de circuito cerrado del enrutador, lo0, es la interfaz con el motor de enrutamiento y no transporta paquetes de datos. Cuando se aplica un filtro de firewall a la interfaz de circuito cerrado, el filtro evalúa los paquetes locales recibidos o transmitidos por el motor de enrutamiento.

Nota:

  • Los enrutadores ACX5048 y ACX5096 no admiten la evaluación de paquetes transmitidos por el motor de enrutamiento para el filtro de interfaz de circuito cerrado.

Interfaz física o lógica

Cuando se aplica un filtro a una interfaz física en el enrutador o a una interfaz lógica (o miembro de un paquete de Ethernet agregado definido en la interfaz), el filtro evalúa todos los paquetes de datos que pasan por esa interfaz.

Varias interfaces

Puede usar el mismo filtro de firewall una o más veces.

En los enrutadores serie M, excepto los enrutadores M120 y M320, si aplica un filtro de firewall a varias interfaces, el filtro actúa en la suma del tráfico que entra o sale de esas interfaces.

En los enrutadores serie T, M120, M320 y MX, las interfaces se distribuyen entre varios componentes de reenvío de paquetes. En estos enrutadores, puede configurar filtros de firewall y filtros de servicio que, cuando se aplican a varias interfaces, actúan en los flujos de tráfico individuales que entran o salen de cada interfaz, independientemente de la suma de tráfico en varias interfaces.

Para obtener más información, consulte Descripción general de instancias de filtro de firewall específicas de interfaz.

Interfaz única con filtros de firewall independientes de protocolo y específicos de protocolo adjuntos

Para las interfaces alojadas solo en el siguiente hardware, puede adjuntar simultáneamente un filtro de firewall independiente de protocolo (family any) y un filtro de firewall específico (family inet o family inet6) de protocolo. El firewall independiente de protocolo se ejecuta primero.

  • Enrutadores Metro universales serie ACX

  • Concentradores de PIC flexibles (FPC) en enrutadores de borde multiservicio M7i y M10i

  • Tarjetas de interfaz modulares (MIC) y concentradores de puerto modulares (MPC) en plataformas de enrutamiento universal 5G serie MX

  • Enrutadores de núcleo serie T

Nota:

Las interfaces alojadas en el siguiente hardware no admiten filtros de firewall independientes de protocolo:

  • Tarjetas de motor de reenvío (FET) en enrutadores M120

  • FPC III mejorados en enrutadores M320

  • Módulos FPC2 y FPC3 en enrutadores serie MX

  • Concentradores de puerto denso (DPC) en enrutadores serie MX

  • Enrutadores de transporte de paquetes serie PTX

Jerarquía de instrucción para aplicar filtros de firewall

Para aplicar un filtro de firewall estándar a una interfaz lógica, configure la filter instrucción para la interfaz lógica definida en el [edit] nivel de jerarquía o [edit logical-systems logical-system-name] . En la filter instrucción, puede incluir una o más de las siguientes instrucciones: group group-number, input filter-name, input-list filter-name, output filter-name, o output-list filter-name. El nivel de jerarquía en el que se adjunta la filter instrucción depende del tipo de filtro y del tipo de dispositivo que esté configurando.

Filtros de firewall independientes de protocolo en enrutadores serie MX

Para aplicar un filtro de firewall independiente de protocolo a una interfaz lógica en un enrutador de la serie MX, configure la filter instrucción directamente en la unidad lógica:

Todos los demás filtros de firewall en interfaces lógicas

Para aplicar un filtro de firewall estándar a una interfaz lógica para todos los casos , excepto un filtro independiente de protocolo en un enrutador de la serie MX, configure la filter instrucción en la familia de protocolos:

Restricciones en la aplicación de filtros de firewall

Número de filtros de entrada y salida por interfaz lógica

Input filters— Aunque puede usar el mismo filtro varias veces, solo puede aplicar un filtro de entrada o una lista de filtros de entrada a una interfaz.

  • Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes recibidos en la interfaz, incluya la input filter-name instrucción en la filter estrofa.

  • Para especificar una lista ordenada de filtros de firewall que se usarán para evaluar los paquetes recibidos en la interfaz, incluya la input-list [ filter-names ] instrucción en la filter estrofa. Puede especificar hasta 16 filtros de firewall para la lista de entradas de filtros.

Output filters— Aunque puede usar el mismo filtro varias veces, solo puede aplicar un filtro de salida o una lista de filtros de salida a una interfaz.

  • Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes transmitidos en la interfaz, incluya la output filter-name instrucción en la filter estrofa.

  • Para especificar una lista ordenada de filtros de firewall que se usarán para evaluar los paquetes transmitidos en la interfaz, incluya la output-list [ filter-names ] instrucción en la filter estrofa. Puede especificar hasta 16 filtros de firewall en una lista de salida de filtros.

Filtros de firewall CCC de capa 2 y MPLS en listas

Las input-list filter-names instrucciones y output-list filter-names de los filtros de firewall para las ccc familias de protocolo y y mpls se admiten en todas las interfaces, con la excepción de lo siguiente:

  • Interfaces de administración e interfaces Ethernet internas (fxp o em0)

  • Interfaces de circuito cerrado (lo0)

  • Interfaces de módem USB (umd)

Filtros de firewall CCC de capa 2 en enrutadores serie MX y conmutadores serie EX

Solo en enrutadores serie MX y conmutadores serie EX, no puede aplicar un filtro de firewall sin estado CCC de capa 2 (un filtro de firewall configurado en el [edit firewall filter family ccc] nivel jerárquico) como filtro de salida. En enrutadores serie MX y conmutadores de la serie EX, los filtros de firewall configurados para la family ccc instrucción solo se pueden aplicar como filtros de entrada.

Filtros de firewall IPv6 en enrutadores de transporte de paquetes serie PTX

En enrutadores PTX10001-20C, no puede aplicar filtros de firewall IPv6 a:

  • Interfaz de túnel

  • Interfaces IRB

  • Interfaces de salida

  • Filtros específicos de interfaz, configurados en el [edit firewall family inet6 filter filter-name] nivel jerárquico.

  • Agentes de policía de tráfico

  • Interfaz de telemetría de Junos

Temas relacionados