无状态防火墙过滤器应用点

定义防火墙过滤器后，必须将其应用于应用程序点。这些应用点包括逻辑接口、物理接口、路由接口和路由实例。

在大多数情况下，您可以将防火墙过滤器应用为输入过滤器或输出过滤器，或同时应用两者。输入过滤器对指定接口上接收的数据包执行操作，而输出过滤器对通过指定接口传输的数据包执行操作。

您通常将一个具有多个术语的过滤器应用于单个逻辑接口、传入流量和/或出站流量。但是，有时您可能希望将多个防火墙过滤器（具有单个或多个术语）链接在一起并将它们应用于一个接口。您可以使用 输入列表 将多个防火墙过滤器应用于接口上的传入流量。您可以使用 输出列表 将多个防火墙过滤器应用于接口上的出站流量。在输入列表或输出列表中最多可以包含 16 个筛选器。

您可以设置的筛选器和计数器的数量没有限制，但有一些实际注意事项。计数器越多，需要更多术语，并且在提交操作期间，大量术语可能需要很长时间才能处理。但是，已成功实现具有 4000 多个术语和计数器的过滤器。

表 1 介绍可以应用防火墙过滤器的每个点。对于每个应用点，下表描述了该点支持的防火墙过滤器类型、可以应用过滤器的路由器（或交换机）层次结构级别以及任何特定于平台的限制。

表 1：无状态防火墙过滤器配置和应用程序摘要
过滤器类型	应用点	限制
无状态防火墙过滤器通过包含`filter filter-name` 语句 `[edit firewall]` 来配置层次结构级别： filter `filter-name`; 注：如果未包含该 `family` 语句，则默认情况下，防火墙过滤器会处理 IPv4 流量。	逻辑接口通过包含`input filter-nameoutput filter-name`或语句在层次结构级别应用`[edit interfaces interface-name unit unit-number family inet]`： filter { input `filter-name`; output `filter-name`; } 注：配置了隐式 `inet` 协议家族的过滤器不能包含在输入过滤器列表或输出过滤器列表中。注：在 T4000 5 类 FPC 上，连接在第 2 层应用点（即逻辑接口级别）的过滤器无法与第 3 层分类器（如 DSCP、DSCP V6 `inet-precedence`和 `mpls-exp`）设置的数据包的转发类匹配。	在以下路由器上受支持： T 系列路由器 M320 路由器具有增强型 CFEB （CFEB-e）的 M7i 路由器采用增强型 CFEB-e 的 M10i 路由器 MX 系列路由器上的以下模块化端口集中器（MPC）也受支持： 10 千兆以太网 MPC 60 千兆以太网队列 MPC 60 千兆以太网增强型排队 MPC 100 千兆以太网 MPC 在 EX 系列交换机上也受支持
无状态防火墙过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family family-name]` 配置： filter `filter-name`; 可以是 `family-name` 以下任何协议家族： `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	逻辑接口上的协议族在层次结构级别应用 `[edit interfaces interface-name unit unit-number family family-name]` 的方式包括 `input`、 `input-list`、 `output`或 `output-list` 语句： filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	协议家族 `bridge` 仅在 MX 系列路由器上受支持。
无状态防火墙过滤器	路由引擎环路接口
服务过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family (inet \| inet6)]` 配置： service-filter `service-filter-name`;	系列 `inet` 或 `inet6` 逻辑接口上通过使用语句将服务筛选器作为输入或输出筛选器应用于服务集，在`service-set`层次结构级别应用`[edit interfaces interface-name unit unit-number family (inet \| inet6)]`： service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } 通过包含以下语句在层次结构级别配置 `[edit services]` 服务集： `service-set service-set-name`;	仅在自适应服务（AS）和多服务（MS） PIC 上受支持。
服务后筛选器通过包含以下语句在层次结构级别进行 `[edit firewall family (inet \| inet6)]` 配置： service-filter `service-filter-name`;	系列 `inet` 或 `inet6` 逻辑接口上通过包含`post-service-filter`将服务筛选器应用为输入筛选器的语句，在层次结构级别应用`[edit interfaces interface-name unit unit-number family (inet \| inet6)]`： service { input { post-service-filter `filter-name`; } }	服务后过滤器应用于服务处理后返回到服务接口的流量。仅当配置并选择了服务集时，才会应用筛选器。
简单过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family inet]` 配置： simple-filter `filter-name`	逻辑接口上的家族`inet` 通过包含以下语句在层次结构级别应用 `[edit interfaces interface-name unit unit-number family inet]` ： simple-filter `simple-filter-name`;	简单筛选器只能用作输入筛选器。仅在以下平台上受支持： M120、M320 和 T 系列路由器上的千兆以太网智能排队（IQ2） PIC。 MX 系列路由器（和 EX 系列交换机）上的增强型排队密集端口集中器（EQ DPC）。
反向数据包转发（RPF）检查过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family (inet \| inet6)]` 配置： filter `filter-name`;	系列 `inet` 或 `inet6` 逻辑接口上通过包含以下语句在层次结构级别应用 `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` ： rpf-check fail-filter `filter-name` 将无状态防火墙过滤器应用为 RPF 检查过滤器。 rpf-check { fail-filter `filter-name`; mode loose; }	仅在 MX 系列路由器和 EX 系列交换机上受支持。

过滤器类型	应用点	限制
无状态防火墙过滤器通过包含`filter filter-name` 语句 `[edit firewall]` 来配置层次结构级别： filter `filter-name`; 注：如果未包含该 `family` 语句，则默认情况下，防火墙过滤器会处理 IPv4 流量。	逻辑接口通过包含`input filter-nameoutput filter-name`或语句在层次结构级别应用`[edit interfaces interface-name unit unit-number family inet]`： filter { input `filter-name`; output `filter-name`; } 注：配置了隐式 `inet` 协议家族的过滤器不能包含在输入过滤器列表或输出过滤器列表中。注：在 T4000 5 类 FPC 上，连接在第 2 层应用点（即逻辑接口级别）的过滤器无法与第 3 层分类器（如 DSCP、DSCP V6 `inet-precedence`和 `mpls-exp`）设置的数据包的转发类匹配。	在以下路由器上受支持： T 系列路由器 M320 路由器具有增强型 CFEB （CFEB-e）的 M7i 路由器采用增强型 CFEB-e 的 M10i 路由器 MX 系列路由器上的以下模块化端口集中器（MPC）也受支持： 10 千兆以太网 MPC 60 千兆以太网队列 MPC 60 千兆以太网增强型排队 MPC 100 千兆以太网 MPC 在 EX 系列交换机上也受支持
无状态防火墙过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family family-name]` 配置： filter `filter-name`; 可以是 `family-name` 以下任何协议家族： `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	逻辑接口上的协议族在层次结构级别应用 `[edit interfaces interface-name unit unit-number family family-name]` 的方式包括 `input`、 `input-list`、 `output`或 `output-list` 语句： filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	协议家族 `bridge` 仅在 MX 系列路由器上受支持。
无状态防火墙过滤器	路由引擎环路接口
服务过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family (inet \| inet6)]` 配置： service-filter `service-filter-name`;	系列 `inet` 或 `inet6` 逻辑接口上通过使用语句将服务筛选器作为输入或输出筛选器应用于服务集，在`service-set`层次结构级别应用`[edit interfaces interface-name unit unit-number family (inet \| inet6)]`： service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } 通过包含以下语句在层次结构级别配置 `[edit services]` 服务集： `service-set service-set-name`;	仅在自适应服务（AS）和多服务（MS） PIC 上受支持。
服务后筛选器通过包含以下语句在层次结构级别进行 `[edit firewall family (inet \| inet6)]` 配置： service-filter `service-filter-name`;	系列 `inet` 或 `inet6` 逻辑接口上通过包含`post-service-filter`将服务筛选器应用为输入筛选器的语句，在层次结构级别应用`[edit interfaces interface-name unit unit-number family (inet \| inet6)]`： service { input { post-service-filter `filter-name`; } }	服务后过滤器应用于服务处理后返回到服务接口的流量。仅当配置并选择了服务集时，才会应用筛选器。
简单过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family inet]` 配置： simple-filter `filter-name`	逻辑接口上的家族`inet` 通过包含以下语句在层次结构级别应用 `[edit interfaces interface-name unit unit-number family inet]` ： simple-filter `simple-filter-name`;	简单筛选器只能用作输入筛选器。仅在以下平台上受支持： M120、M320 和 T 系列路由器上的千兆以太网智能排队（IQ2） PIC。 MX 系列路由器（和 EX 系列交换机）上的增强型排队密集端口集中器（EQ DPC）。
反向数据包转发（RPF）检查过滤器通过包含以下语句在层次结构级别进行 `[edit firewall family (inet \| inet6)]` 配置： filter `filter-name`;	系列 `inet` 或 `inet6` 逻辑接口上通过包含以下语句在层次结构级别应用 `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` ： rpf-check fail-filter `filter-name` 将无状态防火墙过滤器应用为 RPF 检查过滤器。 rpf-check { fail-filter `filter-name`; mode loose; }	仅在 MX 系列路由器和 EX 系列交换机上受支持。