Diretrizes para configurar filtros de serviço
Hierarquia de declarações para configurar filtros de serviço
Para configurar um filtro de serviço, inclua a declaração no nível de hierarquia:service-filter service-filter-name
[edit firewall family (inet | inet6)]
[edit] firewall { family (inet
|inet6
) {service-filter
service-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
As declarações individuais apoiadas pela declaração são descritas separadamente neste tópico e são ilustradas no exemplo de configurar e aplicar um filtro de serviço.service-filter service-filter-name
Famílias de protocolo de filtro de serviço
Você pode configurar filtros de serviço para filtrar apenas tráfego IPv4 () e tráfego IPv6 ().family inet
family inet6
Nenhuma outra família de protocolo é apoiada por filtros de serviço.
Nomes de filtro de serviço
Sob a declaração ou declaração, você pode incluir declarações para criar e nomear filtros de serviço.family inet
family inet6
service-filter service-filter-name
O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
Termos do filtro de serviço
Sob a declaração, você pode incluir declarações para criar e filtrar nomes.service-filter service-filter-name
term term-name
Você deve configurar pelo menos um termo em um filtro de firewall.
Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
A ordem em que você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de modo de configuração para reordenar os termos de um filtro de firewall.
insert
Condições de correspondência do filtro de serviço
Os termos do filtro de serviço oferecem suporte apenas a um subconjunto das condições de correspondência IPv4 e IPv6 que são suportadas para filtros de firewall sem estado padrão.
Se você especificar um endereço IPv6 em uma condição de correspondência (as condições, ou condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6.address
destination-address
source-address
Para obter mais informações sobre endereços IPv6, veja "Visão geral do IPv6" na Biblioteca de protocolos de roteamento do Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/index.html
Ações de terminação de filtro de serviço
Ao configurar um termo de filtro de serviço, você deve especificar uma das seguintes ações de terminação de filtro:
service
skip
Essas ações são exclusivas dos filtros de serviço.
Os termos do filtro de serviço oferecem suporte apenas a um subconjunto das ações não sufocantes IPv4 e IPv6 que são suportadas para filtros de firewall sem estado padrão:
count counter-name
log
port-mirror
sample
Os filtros de serviço não suportam a ação .next