Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros de Firewall (procedimiento de CLI)

Puede configurar filtros de firewall en conmutadores de la serie EX para controlar el tráfico que entra en los puertos del conmutador o ingresa y sale de las redes VLAN y de las interfaces de capa 3 (enrutadas). Para configurar un filtro de firewall, debe configurar el filtro y, luego, aplicarlo a una interfaz de puerto, VLAN o capa 3.

Configuración de un filtro de Firewall

Antes de poder aplicar un filtro de cortafuegos a una interfaz de puerto, VLAN o capa 3, debe configurar un filtro de cortafuegos con los detalles necesarios, como el tipo de familia para el filtro firewall, el nombre de filtro firewall y las condiciones de coincidencia. Una condición de coincidencia en la configuración del filtro de Firewall puede contener varios términos que definen los criterios para la condición de coincidencia. Para cada término, debe especificar una acción a llevar a cabo si un paquete coincide con las condiciones del término. Para obtener información sobre diferentes condiciones y acciones de coincidencia, consulte Firewall Filter matching conditions, Actions y modificadores de acciones para los conmutadores de la serie ex.

Para configurar un filtro de Firewall:

  1. Configure el tipo de dirección de familia para el filtro de Firewall:
    • Para un filtro de firewall que se aplica a un puerto o VLAN, especifique el tipo de dirección de familia para filtrar paquetes de capa 2 (Ethernet) y paquetes de capa ethernet-switching 3 (IP), por ejemplo:

    • Para un filtro de cortafuegos que se aplica a una interfaz de capa 3 (enrutada):

      • Para filtrar paquetes IPv4, especifique el tipo de dirección de inet familia, por ejemplo:

      • Para filtrar paquetes IPv6, especifique el tipo de dirección de inet6 familia, por ejemplo:

      Nota:

      Puede configurar filtros del cortafuegos para el tráfico de IPv4 e IPv6 en la misma interfaz de capa 3.

  2. Especifique el nombre del filtro:

    El nombre del filtro puede contener letras, números y guiones (-) y puede tener un máximo de 64 caracteres. Cada nombre de filtro debe ser único.

  3. Si desea aplicar un filtro de firewall a varias interfaces y nombrar contadores de firewall individuales específicos de cada interfaz, configure la interface-specific opción:
  4. Especifique un nombre de término:

    El nombre del término puede contener letras, números y guiones (-), y puede tener un máximo de 64 caracteres.

    Un filtro de Firewall puede contener uno o varios términos. Cada nombre de término debe ser único dentro de un filtro.

    Nota:

    El número máximo de términos permitidos por firewall para los conmutadores de la serie EX es:

    • 512 conmutadores EX2200

    • 1.436 conmutadores EX3300

      Nota:

      En los conmutadores EX3300, si agrega y elimina filtros con una gran cantidad de términos (en el orden 1000 o superior) de la misma operación, no se instalan todos los filtros. Debe agregar filtros en una operación de confirmación y eliminar filtros en una operación de confirmación independiente.

    • 7.168 conmutadores super3200 y EX4200

    • En los conmutadores EX4300, a continuación se indican el número de términos que se admiten para el tráfico de entrada y salida, para los archivadores Firewall configurados en una interfaz de puerto, VLAN y capa 3:

      • Para el tráfico de entrada:

        • 3.500 términos para filtros de cortafuegos configurados en un puerto

        • 3.500 términos para filtros de cortafuegos configurados en una VLAN

        • 7.000 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

        • 3.500 términos para los Filers Firewall configurados en interfaces de capa 3 para tráfico IPv6

      • Para el tráfico de salida:

        • 512 términos para filtros de cortafuegos configurados en un puerto

        • 256 términos para filtros de cortafuegos configurados en una VLAN

        • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

        • 512 términos para los Filers Firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota:

      Puede configurar este número máximo de términos únicamente al configurar un tipo de filtro de cortafuegos (puerto, VLAN o enrutador (Layer 3) Firewall Filter) en el conmutador y cuando no está activado el control de tormentas en todas las interfaces del conmutador.

    • 1.200 para conmutadores EX4500 y EX4550

    • 1.400 conmutadores EX6200

    • 32.768 conmutadores EX8200

    Si intenta configurar un filtro de firewall que supere estos límites, el modificador devolverá un mensaje de error cuando confirme la configuración.

  5. En cada término de filtro de firewall, especifique las condiciones de coincidencia que se utilizarán para hacer coincidir los componentes de un paquete.

    Para especificar condiciones de coincidencia que coincidan en paquetes que contengan una dirección de origen y un puerto de origen específicos, por ejemplo:

    Puede especificar una o más condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término.

    La from instrucción es opcional, pero si se incluye en un término, from la instrucción no puede estar vacía. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  6. En cada término de filtro de firewall, especifique la acción que debe llevarse a cabo si el paquete coincide con todas las condiciones en ese término.

    Puede especificar una acción o modificadores de acciones:

    • Para especificar una acción de filtrado, por ejemplo, para descartar paquetes que cumplan las condiciones del término de filtro:

      No puede especificar más de una acción por término de filtro.

    • Para especificar un modificador de acción, por ejemplo, para contar y clasificar paquetes en una clase de reenvío:

      En una then instrucción, puede especificar los siguientes modificadores de acciones:

      • analyzer analyzer-name: refleja el tráfico del puerto a un puerto de destino o VLAN especificados que está conectado a una aplicación de analizador de protocolo. Debe analyzer configurarse una en el ethernet-switching tipo de dirección de familia. Consulte configuración del reflejo de puerto para analizar el tráfico (procedimiento de la CLI).

      • count counter-name: cuente la cantidad de paquetes que pasan este término de filtro.

        Nota:

        Le recomendamos que configure un contador para cada término en un filtro de firewall, para poder supervisar el número de paquetes que coincidan con las condiciones especificadas en cada término de filtro.

      • forwarding-class class: permite clasificar paquetes en una clase de reenvío.

      • loss-priority priority: establezca la prioridad para colocar un paquete.

      • policer policer-name: permite aplicar limitación de velocidad al tráfico.

      • interface nombre de interfaz:reenvía el tráfico a la interfaz especificada, omitiendo la búsqueda de conmutación.

      • log: registre la información de encabezado del paquete en la motor de enrutamiento.

    Si omite la then instrucción o no especifica ninguna acción, se aceptarán los paquetes que coincidan con todas las from condiciones de la instrucción. Sin embargo, siempre debe configurar explícitamente una acción o un modificador de acción en then la instrucción. No puede incluir más de una acción, pero puede utilizar cualquier combinación de modificadores de acciones. Para que una acción o modificador de acción surtan efecto, deben coincidir todas las condiciones de la from instrucción.

    Nota:

    La desecho implícita también se aplica a un filtro de cortafuegos que se lo0aplica a la interfaz de bucle de retorno,.

    Por Juniper Networks EX8200 Conmutadores Ethernet, si se configura una acción implícita o explícita en una interfaz de circuito cerrado para el tráfico IPv4, se aceptan y se permiten los paquetes de resolución de salto siguiente para pasar por discard el conmutador. Sin embargo, para el tráfico IPv6 debe configurar una regla de forma explícita para permitir que el conmutador pase a través de IPv6 para resolver paquetes.

Configuración de un término específicamente para el tráfico IPv4 o IPv6

Para configurar un término en una configuración de filtro de Firewall específicamente para el tráfico IPv4:

  1. Compruebe que ni ether-type ipv6 tampoco ip-version ipv6 se especifica en el término de la configuración. De forma predeterminada, una configuración que no contiene ether-type ipv6 ni ip-version ipv6 ningún término se aplica al tráfico IPv4.
  2. Adicional Realice una de estas tareas:
    • Definir ether-type ipv4 en un término en la configuración.

    • Definir ip-version ipv4 en un término en la configuración.

    • Defina ambos ether-type ipv4 y ip-version ipv4 en un término de la configuración.

    • Compruebe que no se especifica ni en un término de la configuración: de forma predeterminada, una configuración que no contiene ni en un término se aplica al tráfico ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6 IPv4 ether-type ipv6 si no contiene o ip-version ipv6 .

  3. Asegúrese de que las condiciones de coincidencia del término son válidas para el tráfico IPv4.

Para configurar un término en una configuración de filtro de Firewall específicamente para tráfico IPv6:

  1. Realice una de estas tareas:

    • Definir ether-type ipv6 en un término en la configuración.

    • Definir ip-version ipv6 en un término en la configuración.

    • Defina ambos ether-type ipv6 y ip-version ipv4 en un término de la configuración.

      Nota:

      De forma predeterminada, una configuración que no contiene ether-type ipv6 ni ip-version ipv6 ningún término se aplica al tráfico IPv4.

  2. Asegúrese de que las condiciones de coincidencia del término son válidas para el tráfico IPv6.

Nota:

Si el término contiene cualquiera de las condiciones ether-type ipv6 de coincidencia ip-version ipv6o, sin especificar ninguna otra condición de coincidencia de IPv6, todo el tráfico IPv6 coincidirá.

Nota:

Para configurar un filtro de Firewall para el tráfico IPv4 e IPv6, debe incluir dos términos independientes, uno para el tráfico IPv4 y otro para el tráfico IPv6.

Aplicación de un filtro de cortafuegos a un puerto en un conmutador

Puede aplicar un filtro de Firewall a un puerto en un conmutador para filtrar el tráfico de entrada o de salida en el conmutador. Cuando configure el filtro del firewall, puede especificar cualquier condición de coincidencia de correspondencia, acción y modificadores de acción especificados en condiciones de coincidencia de filtro de cortafuegos, acciones y modificadores de acciones para los conmutadores de la serie ex. La acción especificada en la condición coincidir indica la acción de los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de Firewall a un puerto para filtrar el tráfico de entrada o de salida:

Nota:

Para aplicar un filtro de Firewall a una interfaz de administración, consulteAplicar un filtro de Firewall a una interfaz de administración en un conmutador

  1. Especifique el nombre de interfaz y proporcione una descripción significativa del filtro firewall y la interfaz a la que se aplica el filtro:
    Nota:

    El suministro de la descripción es opcional.

  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz:

    Para los filtros de firewall que se aplican a los puertos, el tipo de dirección de familia debe ser ethernet-switching .

  3. Para aplicar un filtro de Firewall para filtrar paquetes que están entrando en un puerto:

    Para aplicar un filtro de Firewall para filtrar paquetes que estén saliendo de un puerto:

    Nota:

    No puede aplicar más de un filtro de Firewall por puerto, por dirección.

Aplicar un filtro de Firewall a una interfaz de administración en un conmutador

Puede configurar y aplicar un filtro de Firewall a una interfaz de administración para controlar el tráfico que entra o sale de la interfaz en un conmutador. Puede utilizar utilidades como SSH o Telnet para conectarse a la interfaz de administración a través de la red y, a continuación, utilizar protocolos de administración, como SNMP, para recopilar los datos estadísticos del conmutador. Al igual que con la configuración de un filtro de firewall en otros tipos de interfaces, puede configurar un filtro de firewall en una interfaz de administración utilizando cualquier condición de coincidencia, acción y modificador de acción especificados en las condiciones, acciones y acción de las coincidencias del filtro del cortafuegos Modificadores para conmutadores de la serie EX excepto los modificadores de acciones siguientes:

  • loss-priority

  • forwarding-class

Puede aplicar un filtro de cortafuegos a la interfaz de administración Ethernet en cualquier conmutador de la serie EX. También puede aplicar un filtro de Firewall a la interfaz Ethernet de administración virtual (VME) en el conmutador EX4200. Para obtener más información sobre la interfaz Ethernet de administración y la interfaz VME, consulte interfaces Descripción de los conmutadores.

Para aplicar un filtro de firewall en la interfaz de administración para filtrar el tráfico de entrada o salida:

  1. Especifique el nombre de interfaz y proporcione una descripción significativa del filtro firewall y la interfaz a la que se aplica el filtro:
    Nota:

    El suministro de la descripción es opcional.

  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz de administración:
    Nota:

    En el caso de los filtros de firewall que se aplican a las interfaces de administración, el tipo de dirección de familia puede ser inet o inet6 .

  3. Para aplicar un filtro de Firewall para filtrar paquetes que estén entrando en una interfaz de administración:

    Para aplicar un filtro de Firewall para filtrar paquetes que estén saliendo de una interfaz de administración:

    Nota:

    No puede aplicar más de un filtro de Firewall por cada interfaz de administración por dirección.

Aplicación de un filtro de Firewall a una VLAN en una red

Puede aplicar un filtro de Firewall a una VLAN de una red para filtrar el tráfico de entrada o de salida en la red. Para aplicar un filtro de Firewall a una VLAN, especifica el identificador e nombre de VLAN y, a continuación, aplica el filtro de Firewall a la VLAN. Cuando configure el filtro del firewall, puede especificar cualquier condición de coincidencia de correspondencia, acción y modificadores de acción especificados en condiciones de coincidencia de filtro de cortafuegos, acciones y modificadores de acciones para los conmutadores de la serie ex. La acción especificada en la condición coincidir indica la acción de los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de Firewall a una VLAN:

  1. Especifique el nombre de VLAN y el ID de VLAN, y proporcione una descripción significativa del filtro firewall y la VLAN a la que se aplica el filtro:
    Nota:

    El suministro de la descripción es opcional.

  2. Aplique filtros de Firewall para filtrar paquetes que estén entrando o saliendo de la VLAN:
    • Para aplicar un filtro de Firewall para filtrar paquetes que estén entrando en la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de Firewall para filtrar paquetes que estén entrando en la VLAN:

    • Para aplicar un filtro de Firewall para filtrar paquetes que salen de la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de Firewall para filtrar paquetes que salen de la VLAN:

    Nota:

    No puede aplicar más de un filtro de Firewall por VLAN, por dirección.

Aplicación de un filtro de cortafuegos a una interfaz de capa 3 (enrutado)

Puede aplicar un filtro de cortafuegos a una interfaz de capa 3 (enrutado) para filtrar el tráfico de entrada o de salida en el conmutador. Cuando configure el filtro del firewall, puede especificar cualquier condición de coincidencia de correspondencia, acción y modificadores de acción especificados en condiciones de coincidencia de filtro de cortafuegos, acciones y modificadores de acciones para los conmutadores de la serie ex. La acción especificada en la condición coincidir indica la acción de los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de Firewall a una interfaz de capa 3 en un conmutador:

  1. Especifique el nombre de interfaz y proporcione una descripción significativa del filtro firewall y la interfaz a la que se aplica el filtro:
    Nota:

    El suministro de la descripción es opcional.

  2. Especifique el número de unidad, el tipo de dirección de familia y la dirección de la interfaz:

    Para los filtros de firewall aplicados a interfaces de capa 3, el tipo de dirección de familia debe ser (para el tráfico inet IPv4) o inet6 (para el tráfico IPv6).

  3. Puede aplicar filtros de firewall para filtrar paquetes que entran o salen de una interfaz de capa 3 (enrutada):
    • Para aplicar un filtro de Firewall para filtrar paquetes que estén entrando en una interfaz de capa 3:

    • Para aplicar un filtro de Firewall para filtrar paquetes que estén saliendo de una interfaz de capa 3:

    Nota:

    No puede aplicar más de un filtro de Firewall por interfaz de capa 3, por dirección.