了解防火墙过滤器的规划
在创建 防火墙过滤器 并将其应用于接口之前,请确定您希望防火墙过滤器完成的任务以及如何使用其匹配条件和操作来实现您的目标。您必须了解如何匹配数据包以匹配条件、防火墙过滤器的默认和配置操作以及防火墙过滤器的正确放置。
您最多可以为每个端口、VLAN 或路由器接口配置和应用每个方向的防火墙过滤器。以下限制适用于各种交换机型号上每个过滤器允许的防火墙过滤器术语数:
在 EX3300 交换机上,每个过滤器的术语数不能超过 1436。
在 EX3200 和 EX4200 交换机上,每个过滤器的术语数不能超过 7042。
在 EX2300 交换机上,对于端口、VLAN 和第 3 层接口上配置的防火墙过滤器,入口和出口流量支持以下最大术语数:
对于入口流量:
端口上配置的防火墙过滤器的 256 个术语
VLAN 上配置的防火墙过滤器的 256 个术语
在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 256 个术语
在为 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 256 个术语
对于出口流量:
端口上配置的防火墙过滤器的 512 术语
VLAN 上配置的防火墙过滤器的 128 个术语
在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语
在 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语
在 EX3400 交换机上,入口和出口流量、端口、VLAN 和第 3 层接口上配置的防火墙过滤器支持以下最大术语数:
对于入口流量:
端口上配置的防火墙过滤器的 512 术语
VLAN 上配置的防火墙过滤器的 512 个术语
在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语
在 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语
对于出口流量:
端口上配置的防火墙过滤器的 512 术语
VLAN 上配置的防火墙过滤器的 256 个术语
在为 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 1024 个术语
在用于 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 1024 个术语
在 EX4300 交换机上,对于在端口、VLAN 和第 3 层接口上配置的防火墙文件管理器,入口和出口流量支持以下最大术语数:
对于入口流量:
端口上配置的防火墙过滤器的 3500 个术语
VLAN 上配置的防火墙过滤器的 3500 个术语
在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 7000 个术语
在 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 3500 个术语
注:EX4300 交换机上入口流量的三元内容可寻址存储器 (TCAM) 限制为 256 个条目。
对于出口流量:
端口上配置的防火墙过滤器的 512 术语
VLAN 上配置的防火墙过滤器的 256 个术语
在 IPv4 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语
在 IPv6 流量的第 3 层接口上配置的防火墙过滤器的 512 个术语
注:仅当在交换机上配置一种类型的防火墙过滤器(端口、VLAN 或路由器(第 3 层)防火墙过滤器)时,以及交换机中任何接口上未启用风暴控制时,才能配置最大术语数。
在 EX4500 和 EX4550 交换机上,每个过滤器的术语数不能超过 1200。
在 EX6200 交换机上,每个过滤器的术语数不能超过 1400。
在 EX8200 交换机上,每个过滤器的术语数不能超过 32,768。
此外,请尽量保守每个防火墙过滤器中包含的术语(规则)数量,因为大量术语在提交期间需要更长的处理时间,并且还会使防火墙过滤器测试和故障排除更加困难。同样,跨多个交换机和路由器接口应用防火墙过滤器可能会使测试和故障排除这些过滤器的规则变得困难。
在配置和应用防火墙过滤器之前,请为每个防火墙过滤器回答以下问题:
防火墙过滤器的用途是什么?
例如,您可以使用防火墙过滤器将流量限制到源和目标 MAC 地址、特定协议或特定数据速率,或者防止拒绝服务 (DoS) 攻击。
适当的匹配条件是什么?
确定数据包必须包含的数据包标头字段才能进行匹配。可能的字段包括:
第 2 层标头字段 — 源和目标 MAC 地址、dot1q 标记、以太网类型和 VLAN
第 3 层标头字段 — 源和目标 IP 地址、协议和 IP 选项(IP 优先级、IP 分段标志、TTL 类型)
TCP 标头字段 - 源和目标端口和标志
ICMP 标头字段 — 数据包类型和代码
确定接收数据包的端口、VLAN 或路由器接口。
如果发生匹配,应采取哪些适当的措施?
发生匹配时可能要执行的操作是接受、放弃和转发到路由实例。
可能需要哪些其他操作修饰符?
确定如果数据包与匹配条件匹配,是否需要执行其他操作;例如,您可以指定操作修饰符来计数、分析或警察数据包。
应在哪个接口上应用防火墙过滤器?
从以下基本准则开始:
如果进入某个端口的所有数据包都需要进行过滤,请使用端口防火墙过滤器。
如果桥接的所有数据包都需要过滤,请使用 VLAN 防火墙过滤器。
如果路由的所有数据包都需要过滤,请使用路由器防火墙过滤器。
在选择要应用防火墙过滤器的接口之前,请了解该放置如何影响流向其他接口的流量。通常,应用防火墙过滤器,以过滤离源设备最近的源和目标 IP 地址、IP 协议或协议信息(如 ICMP 消息类型以及 TCP 和 UDP 端口号)。但是,通常应用防火墙过滤器,该过滤器仅过滤离目标设备最近的源 IP 地址。当应用在离源设备太近的位置时,仅对源 IP 地址进行过滤的防火墙过滤器可能会阻止该源设备访问网络上可用的其他服务。
注:出口防火墙过滤器不会影响来自路由引擎的本地生成的控制数据包的流动。
防火墙过滤器应应用于哪个方向?
您可以将防火墙过滤器应用于交换机上的端口,以过滤进入端口的数据包。您可以将防火墙过滤器应用于 VLAN,并将第 3 层(路由)接口应用于过滤进入或退出 VLAN 或路由接口的数据包。通常,您为进入接口的流量配置的操作集与为退出接口的流量配置的操作集不同。