Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

配置简单过滤器的准则

本主题涵盖以下信息:

用于配置简单过滤器的语句层次结构

要配置简单的过滤器,请包含 simple-filter simple-filter-name 层级的 [edit firewall family inet] 语句。

本主题中将单独介绍该语句下支持的个人语句,在配置和应用简单过滤器的示例中 simple-filter simple-filter-name 进行了说明。

简单过滤器协议系列

您可以配置简单的过滤器以仅过滤 IPv4 流量 ( family inet )。简单过滤器不支持其他协议家族。

注意:

只能将简单的过滤器应用于系列 inet,并且只能在输入方向上应用。由于 SRX1400、SRX3400、SRX3600、SRX5600 和 SRX5800 设备的硬件限制,最多可以使用简单的过滤器应用 400 个逻辑输入接口和 2000 个术语(一个 Broadcom 数据包处理器)。(平台支持取决于Junos OS的安装版本。)

简单的过滤器名称

family inet 语句下,您可以 simple-filter simple-filter-name 添加语句来创建简单过滤器并命名。过滤器名称可以包含字母、数字和连字符 (-),并且最多 64 个字符。要将空格包含在名称中,请用引号 (" ") 将整个名称括起来。

简单的过滤器术语

simple-filter simple-filter-name 语句下,您可 term term-name 包含语句以创建过滤器术语并命名过滤器术语。

  • 防火墙过滤器中必须至少配置一 个术语

  • 您必须为防火墙过滤器内的每个术语指定唯一的名称。术语名称可以包含字母、数字和连字符 (-),并且最多可包含 64 个字符。要将空格包含在名称中,请用引号 (" ") 将整个名称括起来。

  • 在防火墙过滤器配置中指定术语的顺序非常重要。防火墙过滤器术语按配置顺序评估。默认情况下,新术语始终添加到现有过滤器的末尾。您可以使用配置 insert 模式命令重新排序防火墙过滤器的条款。

简单的过滤器不支持 next term 操作。

注意:

在一个 Broadcom 数据包处理器中,最多可将 2000 个术语与 SRX1400、SRX3400、SRX3600、SRX5600、SRX5600 和 SRX5800 设备上SRX5800过滤器。(平台支持取决于Junos OS的安装版本。)

简单的过滤器匹配条件

简单的过滤器术语仅支持标准无状态防火墙过滤器支持的 IPv4 匹配条件的子集。

与标准无状态防火墙过滤器不同,以下限制适用于简单过滤器:

  • 在具有增强型排队引擎的 MX 系列DPC,简单过滤器不支持 forwarding- class 匹配条件。

  • 简单过滤器每个过滤器 source-address 术语仅支持 destination-address 一个前缀。如果配置多个前缀,则只会使用最后一个前缀。

  • 简单过滤器单个 术语不支持多个源地址和目标地址。如果配置多个地址,则只会使用最后一个地址。

  • 简单过滤器不支持 已减减的匹配条件,例如 protocol-except 匹配条件或 exception 关键字。

  • 简单过滤器支持各种值, source-port 并且 destination-port 仅支持匹配条件。例如,您可以配置 source-port 400-500destination-port 600-700

  • 简单过滤器不支持 非组合掩码值。

表 1 列出了简单的过滤器匹配条件。

表 1:简单的过滤器匹配条件

匹配条件

描述

destination-address destination-address

匹配 IP 目标地址。

destination-port number

TCP 或 UDP 目标端口字段。

如果配置此匹配条件,建议同时配置 match 语句,以确定端口上使用了 protocol 哪个协议。

用数字值来表示 您可以指定以下文本别名之一(还会列出端口号 afs ):(1483)、(179)、(512)、(68)、(67)、(514)、(2401)、(67)、(53)、(2105)、(2106)、(512)、(79)、 bgp biff bootpc bootps cmd cvspserver dhcp domain eklogin ekshell exec finger ftp (21)、(20)、(80)、(443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、(389)、(513)、(434)、 ftp-data http https ident imap kerberos-sec klogin kpasswd krb-prop krbupdate kshell ldap login mobileip-agent/> msdp netbios-dgm (435)、(639)、(138)、(137)、(139)、(2049)、(119)、(518)、(123)、(1723)、(515)、(1813)、(1812) netbios-ns netbios-ssn nfsd nntp ntalk ntp pop3 pptp printer radacct radius rip (52)0)、(2108)、(25)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(65)、(517)、(23)、(69)、(525)、(513) rkinit smtp snmp snmptrap snpp socksssh sunrpc syslog tacacs-ds talk telnet tftp timed who xdmcp (177)。

forwarding-class class

匹配数据包的转发类。

指定 assured-forwarding best-effort 、 、 或 expedited-forwarding network-control

protocol number

IP 协议字段。用数字值来表示 您可以指定以下文本别名之一(还会列出字段值 ah ):(51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58) dstopts egp esp fragment gre hop-by-hop icmp icmp6 icmpv6 )、(58)、(2)、(4)、(41)、(89)、(103)、(46)、(132)、(6)、(17) igmp ipipipv6 ospf pim rsvp sctp tcp udp  vrrp (112)。

source-address ip-source-address

匹配 IP 源地址。

source-port number

匹配 UDP 或 TCP 源端口字段。

如果配置此匹配条件,建议同时配置 match 语句,以确定端口上使用了 protocol 哪个协议。

要表示数字字段,您可以指定 中列出的一个文本别名 destination-port

简单的过滤器终端操作

简单过滤器不支持 显式配置的终止操作,例如 accept 、 和 reject discard 。在简单过滤器中配置的术语始终接受数据包。

简单的过滤器不支持 next 操作。

简单过滤器非终止操作

简单过滤器仅支持以下非终止操作:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    注意:

    在具有增强型排队引擎的 MX 系列DPC,转发类作为匹配条件 from 不受支持。

  • loss-priority (high | low | medium-high | medium-low)

简单过滤器不支持对数据包执行其他功能的操作(例如递增计数器、记录有关数据包标头的信息、对数据包数据采样,或者使用系统日志功能将信息发送到远程主机)。

相关文档