Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解防火墙过滤器规划

在创建并应用 防火墙过滤器 之前,请先确定您希望过滤器完成的任务,以及如何使用其匹配条件和操作来实现您的目标。了解数据包的匹配方式、防火墙过滤器的默认操作和配置的操作以及应用防火墙过滤器的位置非常重要。

每个路由器接口每个方向(输入和输出)只能应用一个防火墙过滤器。例如,对于给定的接口,您最多可以在输入方向应用一个过滤器,在输出方向应用一个过滤器。在每个防火墙过滤器中包含的术语(规则)数量应尽量保守,因为大量术语在提交操作期间需要更长的处理时间,并且会使测试和故障排除更加困难。

在配置和应用防火墙过滤器之前,请回答每个过滤器的以下问题:

  1. 过滤器的用途是什么?

    例如,系统可以根据标头信息丢弃数据包、对流量进行速率限制、将数据包分类为转发类、记录和统计数据包或者防止拒绝服务攻击。

  2. 合适的匹配条件是什么?确定数据包必须包含的数据包标头字段才能进行匹配。可能的字段包括:

    • 第 3 层 标头字段 — 源和目标 IP 地址、协议和 IP 选项(IP 优先级、IP 分段标志或 TTL 类型)。

    • TCP 报头字段 — 源端口和目标端口及标志。

    • ICMP 报头字段 — 数据包类型和代码。

  3. 如果发生匹配,应采取哪些适当措施?

    系统可以接受、丢弃或拒绝数据包。

  4. 可能需要哪些额外的动作修饰符?

    例如,您可以将系统配置为将数据包镜像(复制)到指定端口、对匹配数据包进行计数、应用流量管理或监管数据包。

  5. 应在哪个第 3 层接口上应用防火墙过滤器?

    在选择要应用防火墙过滤器的接口之前,请了解该位置如何影响流向其他接口的流量。通常,如果过滤器在源或目标 IP 地址、IP 协议或协议信息(例如 ICMP 消息类型以及 TCP 或 UDP 端口号)上匹配,则将过滤器应用于靠近源设备。但是,如果过滤器 在源 IP 地址上匹配,则应将过滤器应用于靠近目标设备的过滤器。如果将过滤器应用得离源设备太近,过滤器可能会阻止该源设备访问网络上可用的其他服务。

  6. 应在哪个方向应用防火墙过滤器?

    通常,您为进入接口的流量配置的操作与为退出接口的流量配置的操作不同。

  7. 我应该创建多少个过滤器?

相关文档