Descripción general de los filtros clásicos
La función de firewall dinámico admite filtros clásicos, que son filtros estáticos que se aplican dinámicamente a una interfaz. Se compilan en el momento de la confirmación y, a continuación, cuando se activa un servicio, se crea un clon específico de la interfaz del filtro y se adjunta a una interfaz lógica. Esta aplicación dinámica se realiza asociando filtros de entrada o salida con un perfil dinámico.
Esta descripción general cubre:
Tipos de filtros clásicos
Se admiten los siguientes tipos de filtros clásicos:
Filtro de firewall de puerto (capa 2): los filtros de firewall de puerto se aplican a los puertos de conmutador de capa 2. Puede aplicar filtros de firewall de puertos solo en la dirección de entrada de un puerto físico.
Filtro de firewall VLAN: los filtros de firewall VLAN proporcionan control de acceso para los paquetes que entran en una VLAN, se puentean dentro de una VLAN y salen de una VLAN. Puede aplicar filtros de firewall VLAN en las direcciones de entrada y salida en una VLAN. Los filtros de firewall VLAN se aplican a todos los paquetes que se reenvían o reenvían desde la VLAN.
Filtro de firewall de enrutador (capa 3): puede aplicar un filtro de firewall de enrutador en las direcciones de entrada y salida en interfaces de capa 3 (enrutadas).
Componentes de filtros clásicos
Al crear un filtro clásico, primero se define el tipo de dirección de familia (inet o ) y, a continuación, se definen uno o inet6varios términos que especifican los criterios de filtrado y la acción que se debe realizar cuando se produce una coincidencia.
Cada término, o regla, consta de los siguientes componentes:
Condiciones coincidentes: especifica valores o campos que debe contener el paquete. Puede definir varias condiciones de coincidencia, entre las que se incluyen:
Campo Dirección IP de origen
Campo Dirección IP de destino
Campo de puerto de origen del Protocolo de control de transmisión (TCP) o del Protocolo de datagramas de usuario (UDP)
Campo de protocolo IP
Tipo de paquete del Protocolo de mensajes de control de Internet (ICMP)
Indicadores TCP
Interfaces
Acciones: especifica qué hacer cuando se produce una condición de coincidencia. Las acciones posibles son aceptar o descartar un paquete. Además, los paquetes se pueden contar para recopilar información estadística. Si no se especifica ninguna acción para un término, la acción predeterminada es aceptar el paquete.
Procesamiento de filtros clásico
El orden de los términos dentro de un filtro clásico es importante. Los paquetes se prueban con cada término en el orden en que se enumeran los términos en la configuración del filtro de firewall. Cuando un filtro de firewall contiene varios términos, el enrutador adopta un enfoque descendente y compara un paquete con el primer término del filtro de firewall. Si el paquete coincide con el primer término, el enrutador ejecuta la acción definida por ese término para aceptar o rechazar el paquete, y no se evalúa ningún otro término. Si el enrutador no encuentra una coincidencia entre el paquete y el primer término, compara el paquete con el siguiente término en el filtro de firewall utilizando el mismo proceso de coincidencia. Si no se produce ninguna coincidencia entre el paquete y el segundo término, el enrutador continúa comparando el paquete con cada término sucesivo definido en el filtro de firewall hasta que se encuentre una coincidencia. Si un paquete no coincide con ninguno de los términos de un filtro de firewall, la acción predeterminada es descartar el paquete.
También puede especificar una prioridad (de 0 a 255) para los filtros de entrada y salida dentro de un perfil dinámico para forzar el procesamiento del filtro en un orden determinado. Establecer un valor de prioridad más bajo para un filtro le da una prioridad mayor dentro del perfil dinámico. Los filtros con valores de prioridad más bajos se aplican a las interfaces antes que a los filtros con valores de prioridad más altos. Una prioridad de cero (el valor predeterminado) da al filtro la prioridad más alta. Si no se especifica ninguna prioridad, el filtro recibe una prioridad de cero (prioridad más alta). Los filtros con prioridad coincidente (cero o de otro tipo) se aplican en orden aleatorio.
Los filtros dinámicos no procesan los paquetes salientes que se obtienen del motor de enrutamiento. Para filtrar los paquetes salientes que se obtienen del motor de enrutamiento, puede crear filtros de salida estáticos para cada interfaz.
Directrices para crear y aplicar filtros clásicos para interfaces de suscriptor
Se admite la configuración dinámica de filtros de firewall. Sin embargo, también puede seguir creando filtros de firewall estáticos para interfaces como lo hace normalmente y, a continuación, aplicar dinámicamente esos filtros a interfaces creadas estáticamente mediante perfiles dinámicos. También puede utilizar perfiles dinámicos para adjuntar filtros de entrada y salida a través de RADIUS.
Al crear y aplicar filtros, tenga en cuenta lo siguiente:
Se admite la aplicación dinámica de solo filtros de entrada y salida.
Los filtros deben ser específicos de la interfaz.
Puede crear filtros y
inetinet6específicos para la familia.Puede crear filtros específicos de la interfaz en el nivel que se apliquen a cualquier tipo de familia (
inetoinet6) configurado en launitinterfaz.Puede agregar o quitar filtros IPv4 e IPv6 con la misma activación o desactivación del servicio.
Puede quitar un tipo de filtro sin afectar al otro tipo de filtro. Por ejemplo, puede quitar los filtros IPv6 y dejar activos los filtros IPv4 actuales.
Puede encadenar hasta cinco filtros de entrada y cuatro filtros de salida juntos.
Si no configura y aplica un filtro, la interfaz utiliza la configuración predeterminada del filtro de grupo.
No puede modificar ni eliminar un filtro de firewall mientras los suscriptores de la misma interfaz lógica están enlazados.