Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Directrices para configurar filtros de Firewall

En este tema se trata la siguiente información:

Jerarquía de instrucciones para configurar filtros de cortafuegos

Para configurar un filtro de Firewall estándar, puede incluir las instrucciones siguientes. En el caso de un filtro de Firewall family inet estándar para IPv4, la instrucción es opcional. En el caso de un filtro de Firewall family inet6 IPv6 estándar, la instrucción es obligatoria.

Puede incluir la configuración del servidor de seguridad en uno de los siguientes niveles de jerarquía:

  • [edit]

  • [edit logical-systems logical-system-name]

Nota:

Para el filtrado de Firewall sin estado, debe permitir que el tráfico de túnel de salida mediante el filtro Firewall se aplique al tráfico de entrada en la interfaz que es la interfaz de próximo salto hacia el destino de túnel. El filtro del firewall afecta únicamente a los paquetes que salen del enrutador (o conmutador) por medio del túnel.

Familias de protocolos de filtro de Firewall

Una configuración de filtro de Firewall es específica de una determinada familia de protocolos. En la firewall instrucción, incluya una de las siguientes instrucciones para especificar la familia de protocolos para la que desea filtrar el tráfico:

  • family any: para filtrar el tráfico independiente de protocolos.

  • family inet: para filtrar el tráfico del protocolo de Internet versión 4 (IPv4).

  • family inet6: para filtrar el tráfico del protocolo de Internet versión 6 (IPv6).

  • family mpls: para filtrar MPLS tráfico.

  • family vpls: para filtrar el tráfico del servicio laN privada virtual (VPLS).

  • family ccc: para filtrar el tráfico de conexión cruzada de circuitos (CCC) de capa 2.

  • family bridge: para filtrar el tráfico de puente de capa 2 solo para enrutadores de borde universales 3D serie MX.

  • family ethernet-switching: para filtrar el tráfico de capa 2 (Ethernet).

La family family-name instrucción solo es necesaria para especificar una familia de protocolos distinta de IPv4. Para configurar un filtro de Firewall IPv4, puede configurar el filtro en el [edit firewall] nivel de jerarquía sin incluir family inet la instrucción, ya [edit firewall] que [edit firewall family inet] los niveles de jerarquía y son equivalentes.

Nota:

Para el filtro de familia de puente, los criterios de coincidencia ip-protocol solo se admiten para IPv4 y no para IPv6. Esto se aplica a las tarjetas de línea que admiten el conjunto Junos conjunto de chips de trío, como las tarjetas de línea MX 3D MPC.

Nombres de filtro de firewall y opciones

En la family family-name instrucción, puede incluir filter filter-name instrucciones para crear y asignar nombres a los filtros del cortafuegos. El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").

En el [edit firewall family family-name filter filter-name] nivel de la jerarquía, las instrucciones siguientes son opcionales:

  • accounting-profile

  • instance-shared(Enrutadores de la serie MX con concentradores de puertos modulares (MPCS) solamente)

  • interface-specific

  • physical-interface-filter

Términos de filtro de Firewall

En el filter filter-name extracto, puede incluir term term-name extractos para crear y asignar nombres a los términos del filtro.

  • Debe configurar al menos un término en un filtro de Firewall.

  • Debe especificar un nombre único para cada término dentro de un filtro de Firewall. El nombre del término puede contener letras, números y guiones (-), y puede tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").

  • El orden en el que se especifican los términos en una configuración de filtro de Firewall es importante. Los términos de filtro del cortafuegos se evalúan en el orden en que se configuran. De forma predeterminada, los términos nuevos siempre se agregan al final del filtro existente. Puede utilizar el insert comando modo de configuración para reordenar los términos de un filtro de cortafuegos.

En el [edit firewall family family-name filter filter-name term term-name] nivel de la jerarquía filter filter-name , la instrucción no es válida en el mismo from término then que las instrucciones or. Cuando se incluye en este nivel de jerarquía filter filter-name , la instrucción se utiliza para anidar filtros de Firewall.

Condiciones de coincidencia de filtro de Firewall

Las condiciones de coincidencia de filtro de cortafuegos son específicas del tipo de tráfico que se está filtrando.

Con la excepción MPLS tráfico IPv4 o IPv6 etiquetado con etiqueta, especifique las condiciones de coincidencia del término en la from instrucción. Para MPLS tráfico IPv4 etiquetado con etiqueta, se especifican las condiciones de coincidencia específicas de dirección IPv4 del término en la instrucción y las condiciones de coincidencia específicas del puerto IPv4 del término en la ip-version ipv4protocol (tcp | udp) instrucción.

Para MPLS tráfico IPv6 etiquetado con etiqueta, especifica las condiciones de coincidencia específicas de dirección IPv6 del término en la instrucción y las condiciones de coincidencia específicas del puerto IPv6 del término en la ip-version ipv6protocol (tcp | udp) instrucción.

Tabla 1describe los tipos de tráfico para los que puede configurar filtros del cortafuegos.

Tabla 1: Condiciones de coincidencia de filtro de Firewall por familia de protocolo

Tipo de tráfico

Nivel de jerarquía en el que se especifican condiciones de coincidencia

Independiente del Protocolo

[edit firewall family any filter filter-name term term-name]

Para obtener la lista completa de condiciones de coincidencia, consulte condiciones de coincidencia de filtros de Firewall para el tráfico independiente del protocolo.

IPv4

[edit firewall family inet filter filter-name term term-name]

Para obtener la lista completa de las condiciones de coincidencia, consulta condiciones de coincidencia de filtro de Firewall para tráfico IPv4.

IPv6

[edit firewall family inet6 filter filter-name term term-name]

Para obtener la lista completa de condiciones de coincidencia, vea condiciones de coincidencia de filtros de Firewall para tráfico IPv6.

MPLS

[edit firewall family mpls filter filter-name term term-name]

Para obtener la lista completa de las condiciones de coincidencia, consulte Firewall Filter matching conditions for MPLS Traffic.

Direcciones IPv4 en MPLS flujos

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

Para obtener una lista completa de las condiciones de coincidencia, consulta condiciones de coincidencia de filtro de Firewall para tráfico IPv4 o IPv6 con MPLS etiquetas.

Puertos IPv4 en MPLS dinámicos

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

Para obtener una lista completa de las condiciones de coincidencia, consulta condiciones de coincidencia de filtro de Firewall para tráfico IPv4 o IPv6 con MPLS etiquetas.

Direcciones IPv6 en MPLS flujos

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

Para obtener una lista completa de las condiciones de coincidencia, consulta condiciones de coincidencia de filtro de Firewall para tráfico IPv4 o IPv6 con MPLS etiquetas.

Puertos IPv6 en MPLS dinámicos

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

Para obtener una lista completa de las condiciones de coincidencia, consulta condiciones de coincidencia de filtro de Firewall para tráfico IPv4 o IPv6 con MPLS etiquetas.

VPLS

[edit firewall family vpls filter filter-name term term-name]

Para obtener la lista completa de las condiciones de coincidencia, consulta condiciones de coincidencia del filtro de Firewall para el tráfico VPLS.

CCC de capa 2

[edit firewall family ccc filter filter-name term term-name]

Para obtener la lista completa de las condiciones de coincidencia, vea condiciones de coincidencia de filtros de Firewall para el tráfico del CCC capa 2.

Puente de capa 2

(Solo enrutadores serie MX y conmutadores de la serie EX)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name](sólo para conmutadores de la serie EX)

Para obtener la lista completa de las condiciones de coincidencia, vea condiciones de coincidencia de filtro de Firewall para tráfico de puente de capa 2.

Si especifica una dirección IPv6 en una condición de coincidencia (las condiciones , o de coincidencia), utilice la sintaxis para las representaciones de texto descritas en addressdestination-address RFC source-address 4291, Arquitectura de dirección IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte información general sobre IPv6 y estándares de IPv6 compatibles.

Acciones de filtrado del firewall

Bajo la then instrucción de un término de filtro de firewall, puede especificar las acciones que deben llevarse a cabo en un paquete que coincida con el término.

Tabla 2resume los tipos de acciones que se pueden especificar en un término de filtro de Firewall.

Tabla 2: Categorías de acciones de filtro de Firewall

Tipo de acción

Descriptiva

Coment

Anula

Detiene toda la evaluación de un filtro de Firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se utilizan términos adicionales para examinar el paquete.

Solo puede especificar una acción de terminación en un término de filtro de Firewall. Sin embargo, puede especificar una acción de terminación con una o más acciones de no terminación en un único término. Por ejemplo, dentro de un término, puede especificar accept con count and syslog. Independientemente del número de términos que contengan acciones de finalización, una vez que el sistema procesa una acción de terminación dentro de un término, se detiene todo el procesamiento del filtro de cortafuegos.

Consulte acciones de terminación de filtros del cortafuegos.

No terminando

Realiza otras funciones en un paquete (como, por ejemplo, incrementar un contador, registrar información sobre el encabezado del paquete, realizar el muestreo de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan otros términos adicionales para examinar el los.

Todas las acciones de no terminación incluyen una acción de aceptación implícita. Esta acción de aceptación se lleva a cabo si no se configura ninguna otra acción de terminación en el mismo término.

Consulte filtrado de cortafuegos de accionesde no terminación.

Control de flujo

Únicamente para los filtros estándar del cortafuegos, la next term acción dirige al enrutador (o conmutador) para que realice acciones configuradas en el paquete y, a continuación, en lugar de terminar el filtro, utilice el siguiente término del filtro para evaluar el paquete. Si la next term acción está incluida, el paquete coincidente se evalúa en relación con el siguiente término en el filtro del firewall. De lo contrario, el paquete coincidente no se evaluará con los siguientes términos del filtro Firewall.

Por ejemplo, cuando se configura un término con la acción no terminal, la acción del término cambia de una implícita countdiscard a una accept implícita. La next term acción fuerza la evaluación continuada del filtro de cortafuegos.

No puede configurar la next term acción con una acción de terminación en el mismo término de filtro. Sin embargo, puede configurar la acción siguiente con otra acción de no terminación en el mismo término de filtro.

Se admiten un máximo de 1024 acciones según la configuración estándar del next term filtro de firewall. Si configura un filtro de Firewall estándar que supere este límite, la configuración de candidatos producirá un error de confirmación.

Nota:

En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.