在逻辑系统中配置和应用防火墙过滤器的准则
用于在逻辑系统中配置防火墙过滤器的语句层次结构
要在逻辑系统中配置防火墙过滤器,请在层次结构级别包含 、 或语句。filterservice-filtersimple-filter[edit logical-systems logical-system-name firewall family family-name]
[edit]
logical systems {
logical-system-name {
firewall {
family family-name {
filter filter-name {
interface-specific;
physical-interface-filter;
term term-name {
filter filter-name;
from {
match-conditions;
}
then {
actions;
}
}
}
service-filter filter-name { # For ’family inet’ or ’family inet6’ only.
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
simple-filter filter-name { # For ’family inet’ only.
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
}
}
}
}
逻辑系统中的过滤器类型
对于可以在逻辑系统中配置的无状态防火墙过滤器类型,没有特殊限制。
在逻辑系统中,您可以使用物理路由器或交换机上提供的相同类型的无状态防火墙过滤器:
标准无状态防火墙过滤器
服务过滤器
简单过滤器
逻辑系统中的防火墙过滤器协议家族
逻辑系统中无状态防火墙过滤器支持的协议家族没有特殊限制。
在逻辑系统中,您可以过滤与在物理路由器或交换机上相同的协议家族。
标准无状态防火墙过滤器 — 在逻辑系统中,您可以过滤以下流量类型:与协议无关、IPv4、IPv6、MPLS、MPLS 标记的 IPv4 或 IPv6、VPLS、第 2 层电路交叉连接和第 2 层桥接。
服务过滤器 — 在逻辑系统中,您可以过滤 IPv4 和 IPv6 流量。
简单过滤器 — 在逻辑系统中,您只能过滤 IPv4 流量。
逻辑系统中的防火墙过滤器匹配条件
逻辑系统中无状态防火墙过滤器支持的匹配条件没有特殊限制。
逻辑系统中的防火墙过滤器操作
逻辑系统中无状态防火墙过滤器支持的操作没有特殊限制。
用于在逻辑系统中应用防火墙过滤器的语句层次结构
要在逻辑系统中应用防火墙过滤器,请将 、 或语句包含在逻辑系统中的逻辑接口。filter filter-nameservice-filter service-filter-namesimple-filter simple-filter-name
以下配置显示了可在其中应用语句的层次结构级别:
[edit]
logical-systems logical-system-name {
interfaces {
interface-name {
unit logical-unit-number {
family family-name {
filter {
group group-name;
input filter-name;
input-list [ filter-names ];
output filter-name;
output-list [ filter-names ]
}
rpf-check { # For ’family inet’ or ’family inet6’ only.
fail-filter filter-name;
mode loose;
}
service { # For ’family inet’ or ’family inet6’ only.
input {
service-set service-set-name <service-filter service-filter-name>;
post-service-filter service-filter-name;
}
output {
service-set service-set-name <service-filter service-filter-name>;
}
}
simple-filter { # For ’family inet’ only.
input simple-filter-name;
}
}
}
}
}
}