Comparación de políticas de enrutamiento y filtros de firewall

Aunque las políticas de enrutamiento y los filtros de firewall comparten una arquitectura, sus propósitos, implementación y configuración son diferentes. Tabla 1 describe sus propósitos. Tabla 2 Compara los detalles de implementación de las directivas de enrutamiento y los filtros de firewall, destacando las similitudes y diferencias en su configuración.

Tabla 1: Propósito de las políticas de enrutamiento y los filtros de firewall
Políticas	Fuente	Propósito de la política
Políticas de enrutamiento	La información de enrutamiento es generada por pares de redes internas.	Para controlar el tamaño y el contenido de las tablas de enrutamiento, qué rutas se anuncian y qué rutas se consideran las mejores para llegar a varios destinos.
Filtros de firewall	Los paquetes son generados por dispositivos internos y externos a través de los cuales se pueden perpetrar ataques hostiles.	Para proteger el enrutador y la red del tráfico entrante excesivo o de ataques hostiles que pueden interrumpir el servicio de red, y para controlar qué paquetes se reenvían desde qué interfaces del enrutador.

Tabla 2: Diferencias de implementación entre las políticas de enrutamiento y los filtros de firewall
Arquitectura de políticas	Implementación de la política de enrutamiento	Implementación del filtro de firewall
Puntos de control	Controle la información de enrutamiento que se coloca en la tabla de enrutamiento con una directiva de enrutamiento de importación y se anuncia desde la tabla de enrutamiento con una política de enrutamiento de exportación.	Controle los paquetes que se aceptan en una interfaz de enrutador con un filtro de firewall de entrada y que se reenvían desde una interfaz con un filtro de firewall de salida.
Tareas de configuración: Definir política Aplicar política	Defina una política que contenga términos, condiciones de coincidencia y acciones. Aplicar una o más políticas de exportación o importación a un protocolo de enrutamiento. También puede aplicar una expresión de directiva, que utiliza operadores lógicos booleanos con varias directivas de importación o exportación. También puede aplicar una o varias políticas de exportación a la tabla de reenvío.	Defina una política que contenga términos, condiciones de coincidencia y acciones. Aplique un filtro de firewall de entrada o salida a una interfaz física o grupo de interfaces físicas para filtrar los paquetes de datos recibidos o reenviados a una interfaz física (solo en plataformas de enrutamiento con un circuito integrado específico de la aplicación [ASIC] del Procesador de Internet II). También puede aplicar un filtro de firewall de entrada o salida a la interfaz de circuito cerrado de la plataforma de enrutamiento, que es la interfaz del motor de enrutamiento (en todas las plataformas de enrutamiento). Esto le permite filtrar los paquetes locales recibidos o reenviados desde el motor de enrutamiento.
Términos	Configure tantos términos como desee. Defina un nombre para cada término. Los términos se evalúan en el orden en que se especifican. La evaluación de una política finaliza después de que un paquete coincide con los criterios de un término y se toma la acción de política definida o predeterminada de aceptar o rechazar. La ruta no se evalúa con respecto a los términos posteriores de la misma política o políticas posteriores.	Configure tantos términos como desee. Defina un nombre para cada término. Los términos se evalúan en el orden en que se especifican. La evaluación de un filtro de firewall finaliza después de que un paquete coincide con los criterios de un término y se lleva a cabo la acción definida o predeterminada. El paquete no se evalúa con respecto a los términos posteriores en el filtro de firewall.
Condiciones del partido	Especifique cero o más criterios que debe cumplir una ruta. Puede especificar criterios basados en el origen, el destino o las propiedades de una ruta. También puede especificar las siguientes condiciones de coincidencia, que requieren más configuración: Expresión de ruta de sistema autónomo (AS): combinación de números de AS y operadores de expresión regular. Comunidad: grupo de destinos que comparten una propiedad común. Lista de prefijos: una lista de prefijos con nombre. Lista de rutas: una lista de prefijos de destino. Subrutina: una política de enrutamiento a la que se llama repetidamente desde otras políticas de enrutamiento.	Especifique cero o más criterios que debe cumplir un paquete. Debe hacer coincidir varios campos en el encabezado del paquete. Los campos se agrupan en las siguientes categorías: Valores numéricos, como números de puerto y protocolo. Valores de prefijos, como prefijos IP de origen y destino. Valores de campo de bits: si se establecen bits concretos en los campos, como opciones IP, indicadores del Protocolo de control de transmisión (TCP) y campos de fragmentación IP. Puede especificar los campos mediante operadores lógicos booleanos.
Acciones	Especifique cero o una acción a realizar si una ruta coincide con todos los criterios. Puede especificar las siguientes acciones: Aceptar: permite incluir la ruta en la tabla de enrutamiento y propagarla. Después de que se toma esta acción, finaliza la evaluación de los términos y políticas posteriores. Rechazar: no acepta la ruta en la tabla de enrutamiento y no la propaga. Después de que se toma esta acción, finaliza la evaluación de los términos y políticas posteriores. Además de las acciones anteriores, también puede especificar cero o más de los siguientes tipos de acciones: Próximo término: evalúe el siguiente término en la política de enrutamiento. Siguiente directiva: evalúe la siguiente política de enrutamiento. Acciones que manipulan características asociadas a una ruta a medida que el protocolo de enrutamiento la coloca en la tabla de enrutamiento o la anuncia desde la tabla de enrutamiento. Acción de seguimiento, que registra las coincidencias de ruta.	Especifique cero o una acción a realizar si un paquete coincide con todos los criterios. (Se recomienda configurar siempre explícitamente una acción). Puede especificar las siguientes acciones: Aceptar: acepta un paquete. Descartar: descarte un paquete silenciosamente, sin enviar un mensaje ICMP. Rechazar: descarte un paquete y envíe un mensaje de destino ICMP inaccesible. Instancia de enrutamiento: especifique una tabla de enrutamiento a la que se reenvían los paquetes. Próximo trimestre: evalúe el siguiente término en el filtro de firewall. Nota: En Junos OS evolucionado, no puede aparecer como el último término de la acción.`next term` No se admite un término de filtro en el que se especifica como una acción pero sin ninguna condición de coincidencia configurada.`next term` Además de cero o las acciones anteriores, también puede especificar cero o más modificadores de acción. Puede especificar los siguientes modificadores de acción: Recuento: permite añadir un paquete a un recuento total. Clase de reenvío: establezca la clase de reenvío de paquetes en un valor especificado del 0 al 3. Asociación de seguridad IPsec: se utiliza con las condiciones de coincidencia de direcciones de origen y destino, especifique una asociación de seguridad (SA) de seguridad IP (IPsec) para el paquete. Registro: almacena la información del encabezado de un paquete en el motor de enrutamiento. Prioridad de pérdida: establezca el bit de prioridad de pérdida de paquetes (PLP) en un valor especificado, 0 o 1. Policer: aplica procedimientos de limitación de velocidad al tráfico. Muestra: muestree el tráfico de paquetes. Syslog: registra una alerta para el paquete.
Políticas y acciones predeterminadas	Si llega una ruta entrante o saliente y no se configura explícitamente una política relacionada con la ruta, se lleva a cabo la acción especificada por la directiva predeterminada para el protocolo de enrutamiento asociado. Existen las siguientes acciones predeterminadas para las directivas de enrutamiento: Si una política no especifica una condición de coincidencia, todas las rutas evaluadas con respecto a la política coinciden. Si se produce una coincidencia pero la directiva no especifica una acción de aceptación, rechazo, siguiente término o siguiente política, se produce una de las siguientes acciones: Se evalúa el siguiente término, si está presente. Si no hay otros términos presentes, se evalúa la siguiente política. Si no hay ninguna otra directiva presente, se lleva a cabo la acción especificada por la directiva predeterminada. Si no se produce una coincidencia con un término en una política y existen términos posteriores en la misma política, se evalúa el siguiente término. Si no se produce una coincidencia con ningún término de una directiva y existen directivas posteriores, se evalúa la siguiente directiva. Si no se produce una coincidencia al final de una directiva y no existen otras directivas, se llevará a cabo la acción de aceptar o rechazar especificada por la directiva predeterminada.	Si un paquete entrante o saliente llega a una interfaz y no se configura un filtro de firewall para la interfaz, se toma la política predeterminada (se acepta el paquete). Existen las siguientes acciones predeterminadas para los filtros de firewall: Si un filtro de firewall no especifica una condición de coincidencia, se considera que todos los paquetes coinciden. Si se produce una coincidencia pero el filtro de firewall no especifica una acción, se acepta el paquete. Si se produce una coincidencia, se realiza la acción definida o predeterminada y finaliza la evaluación. Los términos posteriores en el filtro de firewall no se evalúan, a menos que se especifique la acción.`next term` Nota: En Junos OS evolucionado, no puede aparecer como el último término de la acción.`next term` No se admite un término de filtro en el que se especifica como una acción pero sin ninguna condición de coincidencia configurada.`next term` Si no se produce una coincidencia con un término en un filtro de firewall y existen términos posteriores en el mismo filtro, se evalúa el siguiente término. Si no se produce una coincidencia al final de un filtro de firewall, el paquete se descarta.

Comparación de políticas de enrutamiento y filtros de firewall

Temas relacionados