Directrices para aplicar filtros de firewall estándar

Información general sobre la aplicación de filtros de firewall

Puede aplicar un filtro de firewall estándar a una interfaz de circuito cerrado en el enrutador o a una interfaz física o lógica en el enrutador. Puede aplicar un filtro de firewall a una sola interfaz o a varias interfaces del enrutador.Tabla 1 Resume el comportamiento de los filtros de firewall en función del punto al que se adjunta el filtro.

Tabla 1: Comportamiento del filtro del firewall por punto de conexión del filtro
Punto de conexión del filtro	Comportamiento del filtro
Interfaz de circuito cerrado	La interfaz de circuito cerrado del enrutador, `lo0`, es la interfaz con el motor de enrutamiento y no contiene paquetes de datos. Cuando se aplica un filtro de firewall a la interfaz de circuito cerrado, el filtro evalúa los paquetes locales recibidos o transmitidos por el motor de enrutamiento. Nota: ACX5048 y enrutadores ACX5096 no admiten la evaluación de paquetes transmitidos por el motor de enrutamiento para el filtro de interfaz de circuito cerrado.
Interfaz física o interfaz lógica	Cuando se aplica un filtro a una interfaz física en el enrutador o a una interfaz lógica (o miembro de un paquete Ethernet agregado definido en la interfaz), el filtro evalúa todos los paquetes de datos que pasan a través de esa interfaz.
Múltiples interfaces	Puede utilizar el mismo filtro de firewall una o más veces. En los enrutadores de la serie M, excepto los enrutadores M120 y M320, si aplica un filtro de firewall a varias interfaces, el filtro actúa sobre la suma del tráfico que entra o sale de esas interfaces. En los enrutadores serie T, M120, M320 y MX, las interfaces se distribuyen entre varios componentes de reenvío de paquetes. En estos enrutadores, puede configurar filtros de firewall y filtros de servicio que, cuando se aplican a varias interfaces, actúan sobre los flujos de tráfico individuales que entran o salen de cada interfaz, independientemente de la suma del tráfico en las distintas interfaces. Para obtener más información, consulte Descripción general de instancias de filtro de firewall específicas de la interfaz.
Interfaz única con filtros de firewall independientes del protocolo y específicos del protocolo adjuntos	Solo para interfaces alojadas en el siguiente hardware, puede adjuntar simultáneamente un filtro de firewall independiente del protocolo (`family any`) y un filtro de firewall específico del protocolo (`family inet` o `family inet6`). El firewall independiente del protocolo se ejecuta primero. Enrutadores Metro universales serie ACX Concentradores PIC flexibles (FPC) en enrutadores perimetrales multiservicio M7i y M10i Tarjetas de interfaz modular (MIC) y concentradores de puertos modulares (MPC) en plataformas de enrutamiento universal 5G serie MX Enrutadores de núcleo de la serie T Nota: Las interfaces hospedadas en el siguiente hardware no admiten filtros de firewall independientes del protocolo: Placas de motor de reenvío (FEB) en enrutadores M120 FPC III mejoradas en enrutadores M320 Módulos FPC2 y FPC3 en enrutadores de la serie MX Concentradores de puerto denso (DPC) en enrutadores de la serie MX Enrutadores de transporte de paquetes de la serie PTX

Jerarquía de instrucciones para aplicar filtros de firewall

Para aplicar un filtro de firewall estándar a una interfaz lógica, configure la filter instrucción para la interfaz lógica definida en el nivel de [edit] jerarquía or [edit logical-systems logical-system-name] . Debajo de la filter instrucción, puede incluir una o varias de las siguientes instrucciones: group group-number, input filter-name, input-list filter-name, output filter-name, o output-list filter-name. El nivel de jerarquía en el que se adjunta la filter instrucción depende del tipo de filtro y del tipo de dispositivo que esté configurando.

Filtros de firewall independientes del protocolo en enrutadores de la serie MX
Todos los demás filtros de firewall en interfaces lógicas

Filtros de firewall independientes del protocolo en enrutadores de la serie MX

Para aplicar un filtro de firewall independiente del protocolo a una interfaz lógica en un enrutador de la serie MX, configure la filter instrucción directamente en la unidad lógica:

Todos los demás filtros de firewall en interfaces lógicas

Para aplicar un filtro de firewall estándar a una interfaz lógica para todos los casos que no sean filtros independientes del protocolo en un enrutador de la serie MX, configure la filter instrucción en la familia de protocolos:

Restricciones en la aplicación de filtros de firewall

Número de filtros de entrada y salida por interfaz lógica
Filtros de firewall MPLS y CCC de capa 2 en listas
Filtros de firewall CCC de capa 2 en enrutadores serie MX y conmutadores serie EX
Filtros de firewall IPv6 en enrutadores de transporte de paquetes de la serie PTX

Número de filtros de entrada y salida por interfaz lógica

Input filters: aunque puede utilizar el mismo filtro varias veces, sólo puede aplicar un filtro de entrada o una lista de filtros de entrada a una interfaz.

Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes recibidos en la interfaz, incluya la input filter-name instrucción en la filter estrofa.
Para especificar una lista ordenada de filtros de firewall que se utilizarán para evaluar los paquetes recibidos en la interfaz, incluya la input-list [ filter-names ] instrucción en la filter estrofa. Puede especificar hasta 16 filtros de firewall para la lista de entrada de filtros.

Output filters: aunque puede utilizar el mismo filtro varias veces, sólo puede aplicar un filtro de salida o una lista de filtros de salida a una interfaz.

Para especificar un único filtro de firewall que se utilizará para evaluar los paquetes transmitidos en la interfaz, incluya la output filter-name instrucción en la filter estrofa.
Para especificar una lista ordenada de filtros de firewall que se utilizarán para evaluar los paquetes transmitidos en la interfaz, incluya la output-list [ filter-names ] instrucción en la filter estrofa. Puede especificar hasta 16 filtros de firewall en una lista de salida de filtros.

Filtros de firewall MPLS y CCC de capa 2 en listas

Las input-list filter-names instrucciones y output-list filter-names de los filtros de firewall para las familias de ccc protocolos y mpls se admiten en todas las interfaces, excepto las siguientes:

Interfaces de administración e interfaces Ethernet internas (fxp o em0)
Interfaces de circuito cerrado (lo0)
Interfaces de módem USB (umd)

Filtros de firewall CCC de capa 2 en enrutadores serie MX y conmutadores serie EX

Solo en enrutadores serie MX y conmutadores serie EX, no puede aplicar un filtro de firewall sin estado CCC de capa 2 (un filtro de firewall configurado en el nivel de [edit firewall filter family ccc] jerarquía) como filtro de salida. En los enrutadores serie MX y conmutadores serie EX, los filtros de firewall configurados para la family ccc instrucción solo se pueden aplicar como filtros de entrada.

Filtros de firewall IPv6 en enrutadores de transporte de paquetes de la serie PTX

En enrutadores PTX10001-20C, no puede aplicar filtros de firewall IPv6 a:

Interfaz de túnel
Interfaces del IRB
Interfaces de salida
Filtros específicos de la interfaz, configurados en el nivel de [edit firewall family inet6 filter filter-name] jerarquía.
Policías de tráfico
Interfaz de telemetría de Junos

EN ESTA PÁGINA