Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Definición de un filtro de firewall de imitación de puerto

En enrutadores que contengan un circuito integrado específico de la aplicación (ASIC) del procesador de Internet II, puede enviar una copia de un paquete IP versión 4 (IPv4) o IP versión 6 (IPv6) desde el enrutador a una dirección de host externa o a un analizador de paquetes para su análisis. Esto se conoce como duplicación de puertos.

La duplicación de puertos es diferente del muestreo de tráfico. En el muestreo de tráfico, se envía al motor de enrutamiento una clave de muestreo basada en el encabezado IPv4. Allí, la clave se puede colocar en un archivo, o se pueden enviar paquetes cflowd basados en la clave a un servidor cflowd. En la duplicación de puertos, todo el paquete se copia y se envía a través de una interfaz de salto siguiente.

Puede configurar el uso simultáneo del muestreo y la duplicación de puertos, y establecer una frecuencia de muestreo independiente y una longitud de ejecución para los paquetes reflejados en puerto. Sin embargo, si se selecciona un paquete tanto para el muestreo como para la duplicación de puertos, solo se puede realizar una acción y la duplicación de puertos tiene prioridad. Por ejemplo, si configura una interfaz para muestrear cada entrada de paquete a la interfaz y un filtro también selecciona el paquete para que se refleje en otra interfaz, solo surtirá efecto la duplicación de puertos. Todos los demás paquetes que no coincidan con los criterios explícitos de duplicación de puerto de filtro se siguen muestreando cuando se reenvían a su destino final.

Los filtros de firewall proporcionan un medio para proteger su enrutador del tráfico excesivo que transita por el enrutador hacia un destino de red o destinado al motor de enrutamiento. Los filtros de firewall que controlan los paquetes locales también pueden proteger su enrutador de incidentes externos.

Puede configurar un filtro de firewall para que haga lo siguiente:

  • Restrinja el tráfico destinado al motor de enrutamiento en función de su origen, protocolo y aplicación.

  • Limite la velocidad de tráfico de los paquetes destinados al motor de enrutamiento para protegerse contra ataques de inundación o denegación de servicio (DS).

  • Abordar circunstancias especiales asociadas con paquetes fragmentados destinados al motor de enrutamiento. Dado que el dispositivo evalúa cada paquete con respecto a un filtro de firewall (incluidos los fragmentos), debe configurar el filtro para que dé cabida a fragmentos que no contengan información del encabezado del paquete. De lo contrario, el filtro descarta todo el fragmento de un paquete fragmentado, excepto el primero.

Para obtener información acerca de cómo configurar filtros de firewall en general (incluso en un entorno de capa 3), consulte Descripción general del filtro de firewall sin estado y Cómo los filtros de firewall estándar evalúan los paquetes en la Guía del usuario de políticas de enrutamiento, filtros de firewall y reguladores de tráfico.

Para definir un filtro de firewall con una acción de duplicación de puerto:

  1. Prepare el tráfico para la duplicación de puertos incluyendo la filter instrucción en el nivel de [edit firewall family (inet | inet6)] jerarquía.

    Este filtro en el nivel de jerarquía selecciona el [edit firewall family (inet | inet6)] tráfico que se reflejará en el puerto:

  2. Habilite la configuración de filtros de firewall.

    El valor de la family opción puede ser inet o inet6.

  3. Habilite la configuración de un filtro filter-namede firewall.
  4. Habilite la configuración de un término filter-term-namede filtro de firewall.

    Para obtener más información sobre los términos de filtro de firewall, consulte Directrices para configurar filtros de firewall en la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico de Junos OS para dispositivos de enrutamiento.

  5. Especifique las condiciones de coincidencia del filtro de firewall en función de la dirección de origen de la ruta para reflejar un subconjunto de los paquetes muestreados.

    Para obtener información acerca de cómo configurar condiciones de coincidencia de filtro de firewall, consulte Condiciones de coincidencia de filtro de firewall basadas en números o alias de texto, Condiciones de coincidencia de filtro de firewall basadas en valores de campo de bits, Condiciones de coincidencia de filtro de firewall basadas en campos de dirección y Condiciones de coincidencia de filtro de firewall basadas en clases de direcciónen la Guía del usuario de políticas de enrutamiento de Junos OS, filtros de firewall y reguladores de tráfico para dispositivos de enrutamiento.

  6. Habilite la configuración de la action y action-modifier para aplicarla a los paquetes coincidentes.
  7. Especifique las acciones que se deben realizar en los paquetes coincidentes.

    El valor recomendado para la action opción es aceptar. Si no especifica una acción, o si omite la then instrucción por completo, se aceptarán todos los paquetes que coincidan con las condiciones de la from instrucción.

  8. Especifique port-mirror como el action-modifierarchivo .

    Cuando la acción de filtro es port-mirror, el paquete se copia en una interfaz local para supervisión local o remota.

  9. Compruebe la configuración mínima del filtro de firewall.

Documentación relacionada