Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

为新一代服务配置状态防火墙

要配置状态防火墙,请配置状态防火墙规则,然后向服务集应用这些规则。您也可配置状态防火墙规则集,其中包含一组状态防火墙规则。

为新一代服务配置状态防火墙规则

状态防火墙规则指定将处理哪些流量以及要应用于该流量的操作。

要配置状态防火墙规则:

  1. 配置状态防火墙规则的名称。
  2. 指定状态防火墙规则所应用的流量流向。

    如果配置 input-output ,则规则将应用于从任一方向发起的会话。

    如果此状态防火墙规则应用于接口类型服务集,则方向取决于数据包是进入还是离开应用服务集的接口。如果此状态防火墙规则应用于下一跳跃服务集,则方向为输入(如果使用内部接口路由数据包,则方向为输出(如果外部接口用于路由包)。

  3. 配置策略的名称。

    您可以为状态防火墙规则配置多个策略。每个策略都标识流的匹配条件以及是否允许流。当规则中的策略与数据包匹配时,将应用该策略,并且不会处理规则中的其他策略。

  4. 指定策略所应用流的目标地址。

    或者,您可以在配置 address-book 层次结构下面 services 指定 ,以在此步骤中使用。

    目标地址可以是 IPv4 或 IPv6。

  5. 指定策略不适用于的流的目标地址。

    目标地址可以是 IPv4 或 IPv6。

  6. 指定策略所应用流的源地址。

    或者,您可以在配置 address-book 层次结构下面 services 指定 ,以在此步骤中使用。

    源地址可以是 IPv4 或 IPv6。

  7. 指定策略不应用于的流的源地址。

    源地址可以是 IPv4 或 IPv6。

  8. 指定策略应用于的一个或多个应用程序协议。

    使用在层次结构级别配置的应用程序 [edit applications] 协议定义。

  9. 指定策略采取的操作。

    其中:

    计数

    启用策略允许通过的所有网络流量的计数(以字节或千字节为单位)。

    否认

    丢弃数据包。

    许可证

    接受数据包并将其发送到目的地。

    拒绝

    丢弃数据包。对于 TCP 信息流,将 TCP 重置 (RST) 分段发送到源主机。对于 UDP 信息流,向源主机发送 ICMP 消息(类型 destination unreachable, port unreachable 3、代码 3)。

为新一代服务配置状态防火墙规则集

状态防火墙规则集允许您指定一组状态防火墙规则,其按规则集配置中出现的顺序处理。规则集中的状态防火墙规则与数据包匹配后,将应用该规则,并且规则集内的其他规则不会处理 》。

要配置状态防火墙规则集:

  1. 配置状态防火墙规则集的名称。
  2. 指定属于规则集的状态防火墙规则。

为下一代服务配置有状态防火墙的服务集

状态防火墙规则必须先分配给服务集,然后才能应用于信息流。

要配置服务集以应用有状态防火墙规则,

  1. 定义服务集。
  2. 配置需要单个服务接口的接口服务集,或需要内外服务接口的下一跳服务集。

  3. 指定要与服务集一起使用的有状态防火墙规则。您可以指定单个规则或规则集,但不能二者同时指定。

    要应用单独的状态防火墙规则:

    要应用状态防火墙规则集:

    服务集按服务集配置中出现的顺序处理状态防火墙规则或规则集。