Comparación de políticas de enrutamiento y filtros de firewall

Aunque las políticas de enrutamiento y los filtros de firewall comparten una arquitectura, sus propósitos, implementación y configuración son diferentes. La Tabla 1 describe sus propósitos. La tabla 2 compara los detalles de implementación de las políticas de enrutamiento y los filtros de firewall, resaltando las similitudes y diferencias en su configuración.

Tabla 1: Propósito de las políticas de enrutamiento y los filtros de firewall
Políticas	Fuente	Propósito de la política
Políticas de enrutamiento	La información de enrutamiento la generan los pares de redes internas.	Para controlar el tamaño y el contenido de las tablas de enrutamiento, qué rutas se anuncian y qué rutas se consideran las mejores para llegar a varios destinos.
Filtros de firewall	Los paquetes son generados por dispositivos internos y externos a través de los cuales se pueden perpetrar ataques hostiles.	Para proteger su enrutador y red del tráfico entrante excesivo o ataques hostiles que pueden interrumpir el servicio de red, y para controlar qué paquetes se reenvían desde qué interfaces de enrutador.

Tabla 2: Diferencias de implementación entre las políticas de enrutamiento y los filtros de firewall
Arquitectura de políticas	Implementación de políticas de enrutamiento	Implementación de filtros de firewall
Puntos de control	Controle la información de enrutamiento que se coloca en la tabla de enrutamiento con una política de enrutamiento de importación y se anuncia desde la tabla de enrutamiento con una política de enrutamiento de exportación.	Paquetes de control que se aceptan en una interfaz de enrutador con un filtro de firewall de entrada y que se reenvían desde una interfaz con un filtro de firewall de salida.
Tareas de configuración: Defina la política Aplicar política	Defina una política que contenga términos, condiciones de coincidencia y acciones. Aplique una o varias políticas de exportación o importación a un protocolo de enrutamiento. También puede aplicar una expresión de directiva, que utiliza operadores lógicos booleanos con varias directivas de importación o exportación. También puede aplicar una o varias políticas de exportación a la tabla de reenvío.	Defina una política que contenga términos, condiciones de coincidencia y acciones. Aplique un filtro de firewall de entrada o salida a una interfaz física o a un grupo de interfaces físicas para filtrar los paquetes de datos recibidos por o reenviados a una interfaz física (solo en plataformas de enrutamiento con un circuito integrado específico de la aplicación [ASIC] del procesador de Internet II). También puede aplicar un filtro de firewall de entrada o salida a la interfaz de circuito cerrado de la plataforma de enrutamiento, que es la interfaz con el motor de enrutamiento (en todas las plataformas de enrutamiento). Esto le permite filtrar los paquetes locales recibidos por o reenviados desde el motor de enrutamiento.
Términos	Configure tantos términos como desee. Define un nombre para cada término. Los términos se evalúan en el orden en que se especifican. La evaluación de una política finaliza después de que un paquete coincide con los criterios de un término y se realiza la acción de política definida o predeterminada de aceptar o rechazar. La ruta no se evalúa con respecto a los términos posteriores de la misma política o políticas posteriores.	Configure tantos términos como desee. Define un nombre para cada término. Los términos se evalúan en el orden en que se especifican. La evaluación de un filtro de firewall finaliza después de que un paquete coincide con los criterios de un término y se realiza la acción definida o predeterminada. El paquete no se evalúa con los términos posteriores del filtro de firewall.
Condiciones de coincidencia	Especifique cero o más criterios que una ruta debe cumplir. Puede especificar criterios basados en el origen, el destino o las propiedades de una ruta. También puede especificar las siguientes condiciones de coincidencia, que requieren más configuración: Expresión de ruta del sistema autónomo (AS): una combinación de números de AS y operadores de expresiones regulares. Comunidad: un grupo de destinos que comparten una propiedad común. Lista de prefijos: una lista de prefijos con nombre. Lista de rutas: una lista de prefijos de destino. Subrutina: una política de enrutamiento a la que se llama repetidamente desde otras políticas de enrutamiento.	Especifique cero o más criterios que debe cumplir un paquete. Debe hacer coincidir varios campos en el encabezado del paquete. Los campos se agrupan en las siguientes categorías: Valores numéricos, como números de puerto y protocolo. Valores de prefijo, como los prefijos de origen y destino de IP. Valores de campo de bits: si se establecen bits concretos de los campos, como opciones IP, indicadores de protocolo de control de transmisión (TCP) y campos de fragmentación de IP. Puede especificar los campos mediante operadores lógicos booleanos.
Acciones	Especifique cero o una acción a realizar si una ruta cumple con todos los criterios. Puede especificar las siguientes acciones: Aceptar: acepte la ruta en la tabla de enrutamiento y propáguela. Una vez que se toma esta acción, finaliza la evaluación de los términos y políticas posteriores. Rechazar: no acepte la ruta en la tabla de enrutamiento y no la propague. Una vez que se toma esta acción, finaliza la evaluación de los términos y políticas posteriores. Además de las acciones anteriores, también puede especificar cero o más de los siguientes tipos de acciones: Siguiente término: evalúe el siguiente término en la política de enrutamiento. Siguiente política: evalúe la siguiente política de enrutamiento. Acciones que manipulan las características asociadas con una ruta a medida que el protocolo de enrutamiento la coloca en la tabla de enrutamiento o la anuncia desde la tabla de enrutamiento. Acción de rastreo, que registra las coincidencias de ruta.	Especifique cero o una acción a realizar si un paquete cumple con todos los criterios. (Recomendamos que siempre configure explícitamente una acción). Puede especificar las siguientes acciones: Aceptar: acepta un paquete. Descartar: descarte un paquete de forma silenciosa, sin enviar un mensaje ICMP. Rechazar: descarta un paquete y envía un mensaje de destino ICMP inalcanzable. Instancia de enrutamiento: especifique una tabla de enrutamiento a la que se reenvían los paquetes. Siguiente término: evalúe el siguiente término en el filtro de firewall. Nota: En Junos OS evolucionado, `next term` no puede aparecer como el último término de la acción. No se admite un término de filtro donde `next term` se especifica como una acción pero sin ninguna condición de coincidencia configurada. Además de cero o las acciones anteriores, también puede especificar cero o más modificadores de acción. Puede especificar los siguientes modificadores de acción: Recuento: agregar paquete a un total de recuento. Clase de reenvío: establezca la clase de reenvío de paquetes en un valor especificado del 0 al 3. Asociación de seguridad IPsec: se utiliza con las condiciones de coincidencia de dirección de origen y destino, especifique una asociación de seguridad (SA) de Seguridad IP (IPsec) para el paquete. Registro: almacene la información del encabezado de un paquete en el motor de enrutamiento. Prioridad de pérdida: establezca el bit de prioridad de pérdida de paquetes (PLP) en un valor especificado, 0 o 1. Policía: aplique procedimientos de limitación de velocidad al tráfico. Muestra: muestra del tráfico de paquetes. Syslog: registra una alerta para el paquete.
Acciones y políticas predeterminadas	Si llega una ruta entrante o saliente y una política relacionada con la ruta no está configurada explícitamente, se realiza la acción especificada por la política predeterminada para el protocolo de enrutamiento asociado. Existen las siguientes acciones predeterminadas para las políticas de enrutamiento: Si una política no especifica una condición de coincidencia, todas las rutas evaluadas con respecto a la política coinciden. Si se produce una coincidencia, pero la política no especifica una acción de aceptación, rechazo, siguiente término o siguiente, se produce una de las siguientes situaciones: Se evalúa el siguiente término, si está presente. Si no hay otros términos presentes, se evalúa la siguiente política. Si no hay otras políticas presentes, se realiza la acción especificada por la política predeterminada. Si no se produce una coincidencia con un término de una política y existen términos posteriores en la misma política, se evalúa el siguiente término. Si no se produce una coincidencia con ningún término de una política y existen políticas posteriores, se evalúa la siguiente política. Si no se produce una coincidencia al final de una política y no existe ninguna otra política, se realiza la acción de aceptación o rechazo especificada por la política predeterminada.	Si un paquete entrante o saliente llega a una interfaz y no se configura un filtro de firewall para la interfaz, se adopta la política predeterminada (se acepta el paquete). Existen las siguientes acciones predeterminadas para los filtros de firewall: Si un filtro de firewall no especifica una condición de coincidencia, se considera que todos los paquetes coinciden. Si se produce una coincidencia, pero el filtro del firewall no especifica ninguna acción, se acepta el paquete. Si se produce una coincidencia, se realiza la acción definida o predeterminada y finaliza la evaluación. Los términos posteriores del filtro de firewall no se evalúan, a menos que se especifique la `next term` acción. Nota: En Junos OS evolucionado, `next term` no puede aparecer como el último término de la acción. No se admite un término de filtro donde `next term` se especifica como una acción pero sin ninguna condición de coincidencia configurada. Si no se produce una coincidencia con un término de un filtro de firewall y existen términos posteriores en el mismo filtro, se evalúa el siguiente término. Si no se produce una coincidencia al final de un filtro de firewall, el paquete se descarta.

Comparación de políticas de enrutamiento y filtros de firewall

Documentación relacionada