Directrices para configurar filtros de firewall

En este tema, se trata la siguiente información:

Jerarquía de instrucciones para configurar filtros de firewall

Para configurar un filtro de firewall estándar, puede incluir las siguientes instrucciones. Para un filtro de firewall estándar IPv4, la family inet instrucción es opcional. Para un filtro de firewall estándar IPv6, la family inet6 instrucción es obligatoria.

Puede incluir la configuración del firewall en uno de los siguientes niveles jerárquicos:

[edit]
[edit logical-systems logical-system-name]

Nota:

Para el filtrado de firewall sin estado, debe permitir el tráfico de túnel de salida a través del filtro de firewall aplicado para ingresar tráfico en la interfaz que es el siguiente salto hacia el destino del túnel. El filtro de firewall afecta solo a los paquetes que salen del enrutador (o conmutador) a través del túnel.

Familias de protocolos de filtro de firewall

Una configuración de filtro de firewall es específica de una familia de protocolos en particular. En la firewall instrucción, incluya una de las siguientes instrucciones para especificar la familia de protocolos para la que desea filtrar el tráfico:

family any— Para filtrar tráfico independiente del protocolo.
family inet—Para filtrar el tráfico del protocolo de Internet versión 4 (IPv4).
family inet6—Para filtrar el tráfico del protocolo de Internet versión 6 (IPv6).
family mpls— Para filtrar el tráfico de MPLS.
family vpls—Para filtrar el tráfico del servicio lan privada virtual (VPLS).
family ccc—Para filtrar el tráfico de conexiones cruzadas de circuito (CCC) de capa 2.
family bridge— Para filtrar el tráfico de puente de capa 2 solo para enrutadores de borde universales serie MX 3D.
family ethernet-switching— Para filtrar el tráfico de capa 2 (Ethernet).

La family family-name instrucción solo es necesaria para especificar una familia de protocolos que no sea IPv4. Para configurar un filtro de firewall IPv4, puede configurar el filtro en el [edit firewall] nivel de jerarquía sin incluir la family inet instrucción, ya que los niveles y [edit firewall family inet] de [edit firewall] jerarquía son equivalentes.

Nota:

Para el filtro de familia de puente, el ip-protocol criterio de coincidencia solo se admite para IPv4 y no para IPv6. Esto se aplica a las tarjetas de línea compatibles con el chipset Junos Trio, como las tarjetas de línea MX 3D MPC.

Nombres y opciones de filtro de firewall

En la family family-name instrucción, puede incluir filter filter-name instrucciones para crear y nombrar filtros de firewall. El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres de longitud. Para incluir espacios en el nombre, encierre el nombre completo entre comillas (" ").

En el [edit firewall family family-name filter filter-name] nivel de jerarquía, las siguientes instrucciones son opcionales:

accounting-profile
instance-shared (Solo enrutadores de la serie MX con concentradores de puerto modular (MPCS)
interface-specific
physical-interface-filter

Términos del filtro de firewall

En la filter filter-name instrucción, puede incluir term term-name instrucciones para crear y nombrar términos de filtro.

Debe configurar al menos un término en un filtro de firewall.
Debe especificar un nombre único para cada término dentro de un filtro de firewall. El nombre del término puede contener letras, números y guiones (-) y puede tener hasta 64 caracteres de longitud. Para incluir espacios en el nombre, encierre el nombre completo entre comillas (" ").
El orden en el que se especifican los términos en la configuración de un filtro de firewall es importante. Los términos del filtro de firewall se evalúan en el orden en que están configurados. De forma predeterminada, siempre se agregan nuevos términos al final del filtro existente. Puede usar el comando del modo de insert configuración para reordenar los términos de un filtro de firewall.

En el [edit firewall family family-name filter filter-name term term-name] nivel de jerarquía, la filter filter-name instrucción no es válida en el mismo término from que o then instrucciones. Cuando se incluye en este nivel de jerarquía, la filter filter-name instrucción se utiliza para anidar los filtros de firewall.

Condiciones de coincidencia de filtro de firewall

Las condiciones de coincidencia de filtros de firewall son específicas del tipo de tráfico que se está filtrando.

Con la excepción del tráfico IPv4 o IPv6 con etiqueta MPLS, especifique las condiciones de coincidencia del término en la from instrucción. Para el tráfico IPv4 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de dirección IPv4 del término en la ip-version ipv4 instrucción y las condiciones de coincidencia específicas del puerto IPv4 del término en la protocol (tcp | udp) instrucción.

Para el tráfico IPv6 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de dirección IPv6 del término en la ip-version ipv6 instrucción y las condiciones de coincidencia específicas del puerto IPv6 del término en la protocol (tcp | udp) instrucción.

Tabla 1 describe los tipos de tráfico para los que puede configurar filtros de firewall.

Tabla 1: Condiciones de coincidencia de filtro de firewall por familia de protocolos
Tipo de tráfico	Nivel de jerarquía en el que se especifican las condiciones de coincidencia
Independiente del protocolo	`[edit firewall family any filter filter-name term term-name]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico independiente del protocolo.
IPv4	`[edit firewall family inet filter filter-name term term-name]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4.
IPv6	`[edit firewall family inet6 filter filter-name term term-name]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv6.
MPLS	`[edit firewall family mpls filter filter-name term term-name]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico MPLS.
Direcciones IPv4 en flujos MPLS	`[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS.
Puertos IPv4 en flujos MPLS	`[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp \| udp)]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS.
Direcciones IPv6 en flujos MPLS	`[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS.
Puertos IPv6 en flujos MPLS	`[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp \| udp)]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS.
VPLS	`[edit firewall family vpls filter filter-name term term-name]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro del firewall para el tráfico VPLS.
CCC de capa 2	`[edit firewall family ccc filter filter-name term term-name]` Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico CCC de capa 2.
Puente de capa 2 (Solo enrutadores serie MX y conmutadores serie EX)	`[edit firewall family bridge filter filter-name term term-name]` `[edit firewall family ethernet-switching filter filter-name term term-name]` (solo para conmutadores de la serie EX) Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico de puente de capa 2.

Si especifica una dirección IPv6 en una condición de coincidencia (las address, destination-addresso source-address condiciones de coincidencia), utilice la sintaxis para las representaciones de texto descritas en rfc 4291, arquitectura de dirección IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y estándares IPv6 compatibles.

Acciones de filtro de firewall

En la then instrucción para un término de filtro de firewall, puede especificar las acciones que se deben realizar en un paquete que coincida con el término.

Tabla 2 resume los tipos de acciones que puede especificar en un término de filtro de firewall.

Tabla 2: Categorías de acción del filtro de firewall
Tipo de acción	Descripción	Comentario
Terminación	Detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se utilizan términos adicionales para examinar el paquete. Solo puede especificar una acción de finalización en un término de filtro de firewall. Sin embargo, puede especificar una acción de terminación con una o varias acciones nominativas en un solo término. Por ejemplo, dentro de un término, puede especificar `accept` con `count` y `syslog`. Independientemente de la cantidad de términos que contengan acciones de terminación, una vez que el sistema procesa una acción de terminación dentro de un término, el procesamiento de todo el filtro del firewall se detiene.	Consulte Acciones de terminación del filtro de firewall.
No personal	Realiza otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, tomar muestras de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan términos adicionales para examinar el paquete.	Todas las acciones nominativas incluyen una acción de aceptación implícita. Esta acción de aceptación se lleva a cabo si ninguna otra acción de finalización está configurada en el mismo término. Consulte Acciones nominativas de filtro de firewall.
Control de flujo	Para solo filtros de firewall estándar, la `next term` acción dirige al enrutador (o conmutador) a realizar acciones configuradas en el paquete y, luego, en lugar de terminar el filtro, utilice el término siguiente en el filtro para evaluar el paquete. Si se incluye la `next term` acción, el paquete correspondiente se evalúa con el término siguiente en el filtro de firewall. De lo contrario, el paquete coincidente no se evalúa con los términos posteriores en el filtro de firewall. Por ejemplo, cuando se configura un término con la acción `count`nominante, la acción del término cambia de una implícita `discard` a una implícita `accept`. La `next term` acción obliga a la evaluación continua del filtro de firewall.	No puede configurar la `next term` acción con una acción de finalización en el mismo término de filtro. Sin embargo, puede configurar la acción de término siguiente con otra acción nominante en el mismo término de filtro. Se admiten un máximo de 1024 `next term` acciones por configuración estándar de filtro de firewall. Si configura un filtro de firewall estándar que supere este límite, la configuración del candidato produce un error de confirmación. Nota: En Junos OS evolucionado, `next term` no puede aparecer como el último término de la acción. No se admite un término `next term` de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

EN ESTA PÁGINA