Comparación de políticas de enrutamiento y filtros de firewall

Aunque las políticas de enrutamiento y los filtros de firewall comparten una arquitectura, sus propósitos, implementación y configuración son diferentes. Tabla 1 describe sus propósitos. Tabla 2 compara los detalles de implementación para las políticas de enrutamiento y los filtros de firewall, destacando las similitudes y diferencias en su configuración.

Tabla 1: Propósito de las políticas de enrutamiento y los filtros de firewall
Políticas	Source	Propósito de la política
Políticas de enrutamiento	La información de enrutamiento es generada por pares de redes internas.	Controlar el tamaño y el contenido de las tablas de enrutamiento, qué rutas se anuncian y qué rutas se consideran las mejores para llegar a varios destinos.
Filtros de firewall	Los paquetes son generados por dispositivos internos y externos a través de los cuales se pueden perpetrar ataques hostiles.	Para proteger su enrutador y red de tráfico entrante excesivo o ataques hostiles que pueden interrumpir el servicio de red, y controlar qué paquetes se reenvían desde qué interfaces de enrutador.

Tabla 2: Diferencias de implementación entre las políticas de enrutamiento y los filtros de firewall
Arquitectura de política	Implementación de la política de enrutamiento	Implementación del filtro de firewall
Puntos de control	Controle la información de enrutamiento que se coloca en la tabla de enrutamiento con una política de enrutamiento de importación y se anuncia de la tabla de enrutamiento con una política de enrutamiento de exportación.	Paquetes de control aceptados en una interfaz de enrutador con un filtro de firewall de entrada y que se reenvían desde una interfaz con un filtro de firewall de salida.
Tareas de configuración: Definir política Aplicar política	Defina una política que contenga términos, condiciones de coincidencia y acciones. Aplique una o varias políticas de exportación o importación a un protocolo de enrutamiento. También puede aplicar una expresión de política, que usa operadores lógicos booleanos con varias políticas de importación o exportación. También puede aplicar una o más políticas de exportación a la tabla de reenvío.	Defina una política que contenga términos, condiciones de coincidencia y acciones. Aplique un filtro de firewall de entrada o salida a una interfaz física o a un grupo de interfaz física para filtrar los paquetes de datos recibidos por una interfaz física o reenviados a una interfaz física (solo en plataformas de enrutamiento con un circuito integrado específico de aplicación [ASIC] para una aplicación específica del procesador de Internet II). También puede aplicar un filtro de firewall de entrada o salida a la interfaz de circuito cerrado de la plataforma de enrutamiento, que es la interfaz con el motor de enrutamiento (en todas las plataformas de enrutamiento). Esto le permite filtrar los paquetes locales recibidos por o reenviados desde el motor de enrutamiento.
Términos	Configure tantos términos como desee. Defina un nombre para cada término. Los términos se evalúan en el orden en el que se especifican. La evaluación de una política finaliza después de que un paquete coincide con los criterios de un término y se toma la acción de política definida o predeterminada de aceptar o rechazar. La ruta no se evalúa con términos posteriores en la misma política o en políticas posteriores.	Configure tantos términos como desee. Defina un nombre para cada término. Los términos se evalúan en el orden en el que se especifican. La evaluación de un filtro de firewall termina después de que un paquete coincide con los criterios en un término y se realiza la acción definida o predeterminada. El paquete no se evalúa en función de términos posteriores en el filtro de firewall.
Condiciones de coincidencia	Especifique cero o más criterios que una ruta debe coincidir. Puede especificar criterios basados en el origen, el destino o las propiedades de una ruta. También puede especificar las siguientes condiciones de coincidencia, que requieren más configuración: Expresión de ruta del sistema autónomo (AS): combinación de números de AS y operadores de expresión regular. Comunidad: un grupo de destinos que comparten una propiedad común. Lista de prefijos: una lista de prefijos con nombre. Lista de rutas: una lista de prefijos de destino. Subrutina: una política de enrutamiento que se llama repetidamente de otras políticas de enrutamiento.	Especifique cero o más criterios que un paquete debe coincidir. Debe coincidir con varios campos en el encabezado del paquete. Los campos se agrupan en las siguientes categorías: Valores numéricos, como números de puerto y protocolo. Valores de prefijo, como prefijos ip de origen y destino. Valores de campo de bits: si se establecen bits particulares en los campos, como opciones IP, indicadores del Protocolo de control de transmisión (TCP) y campos de fragmentación de IP. Puede especificar los campos mediante operadores lógicos booleanos.
Acciones	Especifique cero o una acción que se debe realizar si una ruta coincide con todos los criterios. Puede especificar las siguientes acciones: Aceptar (Accept): permite aceptar la ruta en la tabla de enrutamiento y propagarla. Después de tomar esta acción, finaliza la evaluación de los términos y políticas posteriores. Rechazar : no acepte la ruta en la tabla de enrutamiento y no la propague. Después de tomar esta acción, finaliza la evaluación de los términos y políticas posteriores. Además de las acciones anteriores, también puede especificar cero o más de los siguientes tipos de acciones: Próximo plazo: evalúe el próximo plazo en la política de enrutamiento. Política siguiente: evalúa la próxima política de enrutamiento. Acciones que manipulan las características asociadas con una ruta a medida que el protocolo de enrutamiento la coloca en la tabla de enrutamiento o la anuncia desde la tabla de enrutamiento. Acción de seguimiento, que registra coincidencias de ruta.	Especifique cero o una acción a realizar si un paquete coincide con todos los criterios. (Recomendamos que siempre configure explícitamente una acción.) Puede especificar las siguientes acciones: Aceptar (Accept): permite aceptar un paquete. Descartar: descarte un paquete en silencio, sin enviar un mensaje ICMP. Rechazar: descarta un paquete y envía un mensaje de destino ICMP inalcanzable. Instancia de enrutamiento: especifique una tabla de enrutamiento a la que se reenvían los paquetes. Próximo plazo: evalúe el próximo término en el filtro de firewall. Nota: En Junos OS evolucionado, `next term` no puede aparecer como el último término de la acción. No se admite un término `next term` de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada. Además de cero o las acciones anteriores, también puede especificar modificadores de acción cero o más. Puede especificar los modificadores de acciones siguientes: Recuento (Count): permite agregar paquetes a un total de recuentos. Clase de reenvío : establece la clase de reenvío de paquetes en un valor especificado de 0 a 3. Asociación de seguridad IPsec: cuando se utiliza con las condiciones de coincidencia de direcciones de origen y destino, especifique una asociación de seguridad (SA) de seguridad de IP (IPsec) para el paquete. Registro: almacena la información de encabezado de un paquete en el motor de enrutamiento. Prioridad de pérdida: establece el bit de prioridad de pérdida de paquetes (PLP) en un valor especificado, 0 o 1. Agente de policía: aplique procedimientos de limitación de velocidad al tráfico. Ejemplo: muestra el tráfico de paquetes. Syslog: registre una alerta para el paquete.
Políticas y acciones predeterminadas	Si llega una ruta de entrada o salida y no se configura explícitamente una política relacionada con la ruta, se realiza la acción especificada por la directiva predeterminada para el protocolo de enrutamiento asociado. Existen las siguientes acciones predeterminadas para las políticas de enrutamiento: Si una política no especifica una condición de coincidencia, todas las rutas evaluadas con la política coinciden. Si se produce una coincidencia pero la política no especifica una acción de política de aceptación, rechazo, término siguiente o siguiente, se produce uno de los siguientes: El próximo plazo, si está presente, se evalúa. Si no hay otros términos presentes, se evalúa la siguiente política. Si no hay ninguna otra política presente, se realiza la acción especificada por la política predeterminada. Si no se produce una coincidencia con un término en una política y existen términos subsiguientes en la misma política, se evalúa el siguiente término. Si no se produce una coincidencia con ningún término de una política y existen políticas posteriores, se evalúa la siguiente política. Si no se produce una coincidencia al final de una política y no existen otras políticas, se tomará la acción de aceptar o rechazar especificada por la política predeterminada.	Si un paquete entrante o saliente llega a una interfaz y no se configura un filtro de firewall para la interfaz, se toma la política predeterminada (se acepta el paquete). Existen las siguientes acciones predeterminadas para los filtros de firewall: Si un filtro de firewall no especifica una condición de coincidencia, se considera que todos los paquetes coinciden. Si se produce una coincidencia, pero el filtro de firewall no especifica una acción, el paquete se acepta. Si se produce una coincidencia, se realiza la acción definida o predeterminada y finaliza la evaluación. Los términos posteriores del filtro de firewall no se evalúan, a menos que se especifique la `next term` acción. Nota: En Junos OS evolucionado, `next term` no puede aparecer como el último término de la acción. No se admite un término `next term` de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada. Si no se produce una coincidencia con un término en un filtro de firewall y existen términos posteriores en el mismo filtro, se evalúa el siguiente término. Si no se produce una coincidencia al final de un filtro de firewall, el paquete se descarta.

Comparación de políticas de enrutamiento y filtros de firewall

Temas relacionados