Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo o filtro de pesquisa rápida do filtro de firewall

Para melhorar a velocidade com que os filtros de firewall específicos são processados, você pode usar o hardware do bloco de filtro disponível em determinados concentradores de portas modulares (MPCs). Consulte o manual de referência do módulo de interface da Série MX para obter mais detalhes. Esse hardware permite um aumento no número de operações de filtro de firewall por segundo que podem ser realizadas.

Usar a opção fast-lookup-filter em ambientes com centenas ou milhares de termos por filtro pode aumentar o desempenho desses filtros utilizando o hardware do bloco de filtro.

Existem 4096 filtros de hardware disponíveis por MPC. O número de filtros de firewall que podem ser instalados no hardware depende do número de termos em cada filtro. Um filtro de hardware é necessário para cada grupo de 255 termos em um filtro de firewall. O número total de termos suportados por filtro de firewall é de 8000. No entanto, anexar um determinado filtro de firewall com menos de 256 termos a várias interfaces só resultará em uma instância desse filtro de firewall sendo instalado no bloco de filtro. Isso vale tanto para filtros específicos da interface quanto para listas de filtros.

Você designa filtros de firewall específicos a serem processados no hardware do bloco de filtro, incluindo a opção fast-lookup-filter ao configurar o firewall.

Quando essa opção é usada, os parâmetros de firewall são armazenados no hardware do bloco de filtro que acelera o processo de pesquisa. fast-lookup-filter só está disponível para as famílias de protocolo inet e inet6. As condições da partida são limitadas a 5 tuples: protocolesource-addressdestination-addresssource-portdestination-port...

Intervalos, listas de prefixo e a palavra-chave exceto são suportadas dentro dos filtros e termos do firewall ao usar essa opção.

Nota:

Os filtros de firewall configurados usando a opção fast-lookup-filter não são otimizados pelo compilador de firewall.