了解如何评估防火墙过滤器
防火墙过滤器由一个或多个术语组成,防火墙过滤器中术语的顺序非常重要。在配置防火墙过滤器之前,您应该了解瞻博网络 EX 系列以太网交换机如何评估防火墙过滤器中的术语,以及如何根据条款评估数据包。
当防火墙过滤器由单个术语组成时,将按如下方式评估过滤器:
如果数据包符合所有条件,则执行语句中的
then
操作。如果数据包符合所有条件,并且语句中未指定
then
任何操作,则执行默认操作 accept 。
当防火墙过滤器由多个术语组成时,将按顺序评估防火墙过滤器:
在第一个术语中,将根据语句中的
from
条件评估数据包。如果数据包与术语中的所有条件匹配,则执行语句中的
then
操作并结束评估。不计算筛选器中的后续项。如果数据包与术语中的所有条件不匹配,则在第二个术语中根据语句中的
from
条件评估数据包。此过程一直持续到数据包与语句中的
from
条件匹配后续术语之一,或者过滤器中没有更多术语。如果数据包在没有匹配项的情况下通过过滤器中的所有术语,则该数据包将被丢弃。
图 1 显示了 EX 系列交换机如何评估防火墙过滤器中的术语。

如果术语不包含 from
语句,则认为数据包匹配,并执行术语语句中的 then
操作。
如果术语不包含 then
语句,或者语句中尚未配置 then
操作,并且数据包与术语语句中的 from
条件匹配,则接受数据包。
每个防火墙过滤器在过滤器末尾都包含一个隐 deny
式语句,该语句等效于以下显式过滤器术语:
term implicit-rule { then discard; }
因此,如果数据包在不匹配任何条件的情况下通过过滤器中的所有术语,则该数据包将被丢弃。如果配置的防火墙过滤器没有期限,则通过该过滤器的所有数据包都将被丢弃。