Directrices para configurar filtros de firewall

Jerarquía de instrucciones para configurar filtros de firewall

Para configurar un filtro de firewall estándar, puede incluir las siguientes instrucciones. Para un filtro de firewall estándar IPv4, la family inet instrucción es opcional. Para un filtro de firewall estándar IPv6, la family inet6 instrucción es obligatoria.

Puede incluir la configuración del firewall en uno de los siguientes niveles de jerarquía:

• [edit]

• [edit logical-systems logical-system-name]

Nota:

Para el filtrado de firewall sin estado, debe permitir el tráfico del túnel de salida a través del filtro de firewall aplicado al tráfico de entrada en la interfaz que es la interfaz del próximo salto hacia el destino del túnel. El filtro de firewall sólo afecta a los paquetes que salen del enrutador (o conmutador) a través del túnel.

Nota:

En ACX7100 plataformas, los filtros de firewall VPLS se configuran en family ethernet-switching y no en family VPLS. Los filtros de administración se configuran en familia inet o inet6 y la sintaxis es de esta forma:

Familias de protocolos de filtro de firewall

Una configuración de filtro de firewall es específica de una familia de protocolos determinada. En la firewall instrucción, incluya una de las siguientes instrucciones para especificar la familia de protocolos para la que desea filtrar el tráfico:

• family any: para filtrar el tráfico independiente del protocolo.

• family inet: para filtrar el tráfico del protocolo de Internet versión 4 (IPv4).

• family inet6: para filtrar el tráfico del protocolo de Internet versión 6 (IPv6).

• family mpls: para filtrar el tráfico MPLS.

• family vpls: para filtrar el tráfico del servicio de LAN privada virtual (VPLS).

• family ccc: para filtrar el tráfico de conexión cruzada de circuitos (CCC) de capa 2.

• family bridge: para filtrar el tráfico de puente de capa 2 solo para enrutadores de borde universal 3D de la serie MX.

• family ethernet-switching: para filtrar el tráfico de capa 2 (Ethernet).

La family family-name instrucción sólo es necesaria para especificar una familia de protocolos distinta de IPv4. Para configurar un filtro de firewall IPv4, puede configurar el filtro en el nivel de [edit firewall] jerarquía sin incluir la family inet instrucción, ya que los [edit firewall] niveles de jerarquía y [edit firewall family inet] son equivalentes.

Nota:

Para el filtro de familia de puente, los criterios de ip-protocol coincidencia solo se admiten para IPv4 y no para IPv6. Esto se aplica a las tarjetas de línea compatibles con el chipset Junos Trio, como las tarjetas de línea MX 3D MPC.

Nombres y opciones de filtro de firewall

Bajo la family family-name instrucción, puede incluir filter filter-name instrucciones para crear y asignar nombres a filtros de firewall. El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").

En el nivel de [edit firewall family family-name filter filter-name] jerarquía, las siguientes instrucciones son opcionales:

• accounting-profile

• instance-shared (Solo enrutadores de la serie MX con concentradores de puertos modulares (MPCS))

• interface-specific

• physical-interface-filter

Términos del filtro de firewall

Bajo la instrucción, puede incluir term term-name instrucciones para crear y asignar nombres a los filter filter-name términos de filtro.

• Debe configurar al menos un término en un filtro de firewall.

• Debe especificar un nombre único para cada término dentro de un filtro de firewall. El nombre del término puede contener letras, números y guiones (-) y puede tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").

• El orden en que se especifican los términos dentro de una configuración de filtro de firewall es importante. Los términos del filtro de firewall se evalúan en el orden en que están configurados. De forma predeterminada, los términos nuevos siempre se agregan al final del filtro existente. Puede utilizar el comando de insert modo de configuración para reordenar los términos de un filtro de firewall.

En el nivel jerárquico [edit firewall family family-name filter filter-name term term-name] , la filter filter-name instrucción no es válida en el mismo término que fromthen las instrucciones. Cuando se incluye en este nivel de jerarquía, la filter filter-name instrucción se utiliza para anidar filtros de firewall.

Condiciones de coincidencia del filtro de firewall

Las condiciones de coincidencia del filtro del firewall son específicas del tipo de tráfico que se filtra.

Con la excepción del tráfico IPv4 o IPv6 etiquetado con MPLS, las condiciones de coincidencia del término se especifican en la from instrucción. Para el tráfico IPv4 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de la dirección IPv4 del término en la ip-version ipv4 instrucción y las condiciones de coincidencia específicas del puerto IPv4 del término en la protocol (tcp | udp) instrucción.

Para el tráfico IPv6 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de la dirección IPv6 del término en la ip-version ipv6 instrucción y las condiciones de coincidencia específicas del puerto IPv6 del término en la protocol (tcp | udp) instrucción.

Tabla 1 Describe los tipos de tráfico para los que puede configurar filtros de firewall.

Tabla 1: El filtro de firewall coincide con las condiciones por familia de protocolos

Tipo de tráfico	Nivel de jerarquía en el que se especifican las condiciones de coincidencia
Independiente del protocolo	[edit firewall family any filter filter-name term term-name] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para tráfico independiente del protocolo.
IPv4	[edit firewall family inet filter filter-name term term-name] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para tráfico IPv4.
IPv6	[edit firewall family inet6 filter filter-name term term-name] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv6.
MPLS	[edit firewall family mpls filter filter-name term term-name] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico MPLS.
Direcciones IPv4 en flujos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.
Puertos IPv4 en flujos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.
Direcciones IPv6 en flujos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.
Puertos IPv6 en flujos MPLS	[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico IPv4 o IPv6 etiquetado con MPLS.
VPLS	[edit firewall family vpls filter filter-name term term-name] Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para tráfico VPLS.
CCC de capa 2	[edit firewall family ccc filter filter-name term term-name] Para obtener la lista completa de las condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2.
Puente de capa 2 (Solo enrutadores serie MX y conmutadores serie EX)	[edit firewall family bridge filter filter-name term term-name] [edit firewall family ethernet-switching filter filter-name term term-name] (solo para conmutadores de la serie EX) Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2.

Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o source-address de coincidenciaaddressdestination-address), use la sintaxis para las representaciones de texto descritas en RFC 4291, Arquitectura de direccionamiento IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y Estándares IPv6 compatibles.

Acciones de filtro de firewall

En la then instrucción para un término de filtro de firewall, puede especificar las acciones que se deben realizar en un paquete que coincida con el término.

Tabla 2 Resume los tipos de acciones que puede especificar en un término de filtro de firewall.

Tabla 2: Categorías de acción de filtro de firewall

Tipo de acción	Description	Comentario
Terminación	Detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se utilizan términos adicionales para examinar el paquete. Solo puede especificar una acción de finalización en un término de filtro de firewall. Si intenta especificar más de una acción de terminación dentro del término de filtro, la última acción de terminación reemplazará a la acción de terminación existente. Sin embargo, puede especificar una acción de terminación con una o más acciones de no terminación en un solo término. Por ejemplo, dentro de un término, puede especificar accept con count y syslog. Independientemente del número de términos que contengan acciones de terminación, una vez que el sistema procesa una acción de terminación dentro de un plazo, el procesamiento de todo el filtro de firewall se detiene.	Consulte Acciones de terminación del filtro de firewall.
No terminación	Realiza otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, muestrear los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan términos adicionales para examinar el paquete.	Todas las acciones que no terminan incluyen una acción de aceptación implícita. Esta acción de aceptación se lleva a cabo si no se configura ninguna otra acción de terminación en el mismo plazo. Consulte Acciones de no terminación del filtro de firewall.
Control de flujo	Solo para filtros de firewall estándar, la next term acción indica al enrutador (o conmutador) que realice acciones configuradas en el paquete y, luego, en lugar de terminar el filtro, use el siguiente término del filtro para evaluar el paquete. Si se incluye la next term acción, el paquete coincidente se evalúa con respecto al siguiente término en el filtro de firewall. De lo contrario, el paquete coincidente no se evalúa con respecto a los términos posteriores en el filtro de firewall. Por ejemplo, cuando se configura un término con la acción countde no terminación , la acción del término cambia de un archivo discardaccept. La next term acción fuerza la evaluación continua del filtro de firewall.	No puede configurar la next term acción con una acción de finalización en el mismo término de filtro. Sin embargo, puede configurar la acción del siguiente término con otra acción de no terminación en el mismo término de filtro. Se admite un máximo de 1024 next term acciones por configuración de filtro de firewall estándar. Si configura un filtro de firewall estándar que supera este límite, la configuración candidata produce un error de confirmación. Nota: En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término de filtro en el que next term se especifica como una acción pero sin ninguna condición de coincidencia configurada.