Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

为新一代服务配置有状态防火墙

要配置有状态的防火墙,请配置有状态的防火墙规则,并将这些规则应用于服务集。您还可以配置有状态的防火墙规则集,其中包含一组有状态的防火墙规则。

为新一代服务配置有状态防火墙规则

有状态的防火墙规则指定处理哪些流量以及要应用于流量的操作。

要配置有状态的防火墙规则:

  1. 为有状态防火墙规则配置名称。
  2. 指定有状态防火墙规则适用的流量方向。

    如果配置 input-output,则规则将应用于从任一方向启动的会话。

    如果将此有状态的防火墙规则应用于接口类型服务集,则方向取决于数据包是进入还是离开应用了该服务集的接口。如果将此有状态的防火墙规则应用于下一跃点服务集,则使用内部接口路由数据包时输入方向;如果使用外部接口路由数据包,则方向为输出。

  3. 配置策略的名称。

    您可以为有状态防火墙规则配置多个策略。每个策略都会识别流的匹配条件,以及是否允许该流。一旦规则中的策略与数据包匹配,将应用该策略,并且不会处理规则中的其他策略。

  4. 指定策略应用于的流的目标地址。

    或者,您可以在配置层次结构下services指定要address-book在这一步中使用的配置层次结构。

    目标地址可以是 IPv4 或 IPv6。

  5. 指定策略不适用的流的目标地址。

    目标地址可以是 IPv4 或 IPv6。

  6. 指定策略应用于的流的源地址。

    或者,您可以在配置层次结构下services指定要address-book在这一步中使用的配置层次结构。

    源地址可以是 IPv4 或 IPv6。

  7. 指定策略不适用的流的源地址。

    源地址可以是 IPv4 或 IPv6。

  8. 指定策略应用于的一个或多个应用程序协议。

    使用您在层级配置 [edit applications] 的应用程序协议定义。

  9. 指定策略采取的操作。

    其中:

    count

    启用策略允许传递的所有网络流量的计数(以字节或千字节为单位)。

    deny

    丢弃数据包。
    permit

    接受数据包并将其发送到目的地。
    reject

    丢弃数据包。对于 TCP 流量,请向源主机发送 TCP 重置 (RST) 分段。对于 UDP 流量,向源主机发送 ICMP destination unreachable, port unreachable 消息(类型 3,代码 3)。

为新一代服务配置有状态的防火墙规则集

有状态的防火墙规则集允许您指定一组有状态的防火墙规则,这些规则会按照它们在规则集配置中的出现顺序进行处理。一旦规则集中的有状态防火墙规则与数据包匹配,将应用该规则,并且不会处理该规则集中的其他规则 2。

要配置有状态的防火墙规则集:

  1. 为有状态防火墙规则集配置名称。
  2. 指定属于规则集的有状态防火墙规则。

为新一代服务配置有状态防火墙的服务集

必须先将有状态的防火墙规则分配给服务集,然后才能应用于流量。

要配置服务集以应用有状态防火墙规则:

  1. 定义服务集。
  2. 配置需要单个服务接口的接口服务集,或需要内部和外部服务接口的下一跃点服务集。

  3. 指定要与服务集一起使用的有状态防火墙规则。您可以指定单个规则或规则集,但不能同时指定两者。

    要应用个别有状态的防火墙规则:

    要应用有状态的防火墙规则集:

    服务集按照它们在服务集配置中出现的顺序处理有状态的防火墙规则或规则集。