Directrices para configurar filtros de firewall
En este tema, se trata la siguiente información:
Jerarquía de instrucciones para configurar filtros de firewall
Para configurar un filtro de firewall estándar, puede incluir las siguientes instrucciones. Para un filtro de firewall estándar IPv4, la family inet
instrucción es opcional. Para un filtro de firewall estándar IPv6, la family inet6
instrucción es obligatoria.
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Puede incluir la configuración del firewall en uno de los siguientes niveles jerárquicos:
[edit]
[edit logical-systems logical-system-name]
Para el filtrado de firewall sin estado, debe permitir el tráfico de túnel de salida a través del filtro de firewall aplicado para ingresar tráfico en la interfaz que es el siguiente salto hacia el destino del túnel. El filtro de firewall afecta solo a los paquetes que salen del enrutador (o conmutador) a través del túnel.
Familias de protocolos de filtro de firewall
Una configuración de filtro de firewall es específica de una familia de protocolos en particular. En la firewall
instrucción, incluya una de las siguientes instrucciones para especificar la familia de protocolos para la que desea filtrar el tráfico:
family any
— Para filtrar tráfico independiente del protocolo.family inet
—Para filtrar el tráfico del protocolo de Internet versión 4 (IPv4).family inet6
—Para filtrar el tráfico del protocolo de Internet versión 6 (IPv6).family mpls
— Para filtrar el tráfico de MPLS.family vpls
—Para filtrar el tráfico del servicio lan privada virtual (VPLS).family ccc
—Para filtrar el tráfico de conexiones cruzadas de circuito (CCC) de capa 2.family bridge
— Para filtrar el tráfico de puente de capa 2 solo para enrutadores de borde universales serie MX 3D.family ethernet-switching
— Para filtrar el tráfico de capa 2 (Ethernet).
La family family-name
instrucción solo es necesaria para especificar una familia de protocolos que no sea IPv4. Para configurar un filtro de firewall IPv4, puede configurar el filtro en el [edit firewall]
nivel de jerarquía sin incluir la family inet
instrucción, ya que los niveles y [edit firewall family inet]
de [edit firewall]
jerarquía son equivalentes.
Para el filtro de familia de puente, el ip-protocol criterio de coincidencia solo se admite para IPv4 y no para IPv6. Esto se aplica a las tarjetas de línea compatibles con el chipset Junos Trio, como las tarjetas de línea MX 3D MPC.
Nombres y opciones de filtro de firewall
En la family family-name
instrucción, puede incluir filter filter-name
instrucciones para crear y nombrar filtros de firewall. El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres de longitud. Para incluir espacios en el nombre, encierre el nombre completo entre comillas (" ").
En el [edit firewall family family-name filter filter-name]
nivel de jerarquía, las siguientes instrucciones son opcionales:
accounting-profile
instance-shared
(Solo enrutadores de la serie MX con concentradores de puerto modular (MPCS)interface-specific
physical-interface-filter
Términos del filtro de firewall
En la filter filter-name
instrucción, puede incluir term term-name
instrucciones para crear y nombrar términos de filtro.
Debe configurar al menos un término en un filtro de firewall.
Debe especificar un nombre único para cada término dentro de un filtro de firewall. El nombre del término puede contener letras, números y guiones (-) y puede tener hasta 64 caracteres de longitud. Para incluir espacios en el nombre, encierre el nombre completo entre comillas (" ").
El orden en el que se especifican los términos en la configuración de un filtro de firewall es importante. Los términos del filtro de firewall se evalúan en el orden en que están configurados. De forma predeterminada, siempre se agregan nuevos términos al final del filtro existente. Puede usar el comando del modo de
insert
configuración para reordenar los términos de un filtro de firewall.
En el [edit firewall family family-name filter filter-name term term-name]
nivel de jerarquía, la filter filter-name
instrucción no es válida en el mismo término from
que o then
instrucciones. Cuando se incluye en este nivel de jerarquía, la filter filter-name
instrucción se utiliza para anidar los filtros de firewall.
Condiciones de coincidencia de filtro de firewall
Las condiciones de coincidencia de filtros de firewall son específicas del tipo de tráfico que se está filtrando.
Con la excepción del tráfico IPv4 o IPv6 con etiqueta MPLS, especifique las condiciones de coincidencia del término en la from
instrucción. Para el tráfico IPv4 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de dirección IPv4 del término en la ip-version ipv4
instrucción y las condiciones de coincidencia específicas del puerto IPv4 del término en la protocol (tcp | udp)
instrucción.
Para el tráfico IPv6 etiquetado con MPLS, especifique las condiciones de coincidencia específicas de dirección IPv6 del término en la ip-version ipv6
instrucción y las condiciones de coincidencia específicas del puerto IPv6 del término en la protocol (tcp | udp)
instrucción.
Tabla 1 describe los tipos de tráfico para los que puede configurar filtros de firewall.
Tipo de tráfico |
Nivel de jerarquía en el que se especifican las condiciones de coincidencia |
---|---|
Independiente del protocolo |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall para tráfico independiente del protocolo. |
IPv4 |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4. |
IPv6 |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv6. |
MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico MPLS. |
Direcciones IPv4 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS. |
Puertos IPv4 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS. |
Direcciones IPv6 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS. |
Puertos IPv6 en flujos MPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico IPv4 o IPv6 con etiquetas MPLS. |
VPLS |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia del filtro del firewall para el tráfico VPLS. |
CCC de capa 2 |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico CCC de capa 2. |
Puente de capa 2 (Solo enrutadores serie MX y conmutadores serie EX) |
Para obtener la lista completa de condiciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall para tráfico de puente de capa 2. |
Si especifica una dirección IPv6 en una condición de coincidencia (las address
, destination-address
o source-address
condiciones de coincidencia), utilice la sintaxis para las representaciones de texto descritas en rfc 4291, arquitectura de dirección IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y estándares IPv6 compatibles.
Acciones de filtro de firewall
En la then
instrucción para un término de filtro de firewall, puede especificar las acciones que se deben realizar en un paquete que coincida con el término.
Tabla 2 resume los tipos de acciones que puede especificar en un término de filtro de firewall.
Tipo de acción |
Descripción |
Comentario |
---|---|---|
Terminación |
Detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador (o conmutador) realiza la acción especificada y no se utilizan términos adicionales para examinar el paquete. Solo puede especificar una acción de finalización en un término de filtro de firewall. Sin embargo, puede especificar una acción de terminación con una o varias acciones nominativas en un solo término. Por ejemplo, dentro de un término, puede especificar |
|
No personal |
Realiza otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, tomar muestras de los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema), pero se utilizan términos adicionales para examinar el paquete. |
Todas las acciones nominativas incluyen una acción de aceptación implícita. Esta acción de aceptación se lleva a cabo si ninguna otra acción de finalización está configurada en el mismo término. |
Control de flujo |
Para solo filtros de firewall estándar, la Por ejemplo, cuando se configura un término con la acción |
No puede configurar la Se admiten un máximo de 1024 Nota:
En Junos OS evolucionado, |