Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

了解作为列表应用的多个防火墙过滤器

本主题介绍以下信息:

挑战:简化大规模防火墙过滤器管理

通常,您将单个 防火墙过滤器 应用于输入或输出方向或两者中的接口。但是,当设备配置了多个接口时,这种方法可能不实用。在大型环境中,您需要能够灵活地修改多个接口通用的过滤术语,而无需重新配置每个受影响接口的过滤器。

通常,解决方案是将多个防火墙过滤器的有效“链式”结构应用于单个接口。您将过滤条件划分为多个防火墙过滤器,每个过滤器都执行一个过滤任务。然后,您可以选择要对给定接口执行哪些过滤任务,并将过滤任务应用于该接口。这样,您只需在单个防火墙过滤器中管理过滤任务的配置。

Junos OS 策略框架提供了两个选项,用于管理将多个单独的防火墙过滤器应用到单个路由器接口。一个选项是将多个过滤器作为单个输入列表或输出列表来应用。另一个选项是在另一个防火墙过滤器的术语中引用防火墙过滤器。PTX10003 路由器不支持此选项。

解决方案:应用防火墙过滤器列表

避免配置多个防火墙过滤器常见的重复过滤术语的最直接方法是配置多个防火墙过滤器,然后将自定义的过滤器 列表 应用于每个接口。Junos OS 使用过滤器(按照过滤器在列表中出现的顺序)来评估通过接口传输的数据包。如果需要修改跨多个接口共享的过滤术语,则只需要修改一个包含这些术语的防火墙过滤器。

为过滤器列表配置多个过滤器

配置要在每个路由器接口的唯一列表中应用防火墙过滤器涉及将共享数据包过滤规则与接口特定的数据包过滤规则分离,如下所示:

  • Unique filters-对于特定接口所特有的每组数据包过滤规则,请配置一个单独的防火墙过滤器,该过滤器仅包含该接口的过滤条款。

  • Shared filters-对于跨两个或多个接口通用的每组数据包过滤规则,请考虑配置一个包含共享过滤术语的单独防火墙过滤器。

    提示:

    在规划要使用过滤器列表应用大量防火墙过滤器时,管理员通常会根据过滤标准、客户订阅的服务或接口的目的来组织共享的过滤器。

将过滤器列表应用于路由器接口

将防火墙过滤器列表应用于接口需要选择满足该接口数据包过滤要求的过滤器。对于每个接口,您可以在部分中包含filter一个input-listoutput-list两个语句,以按使用顺序指定相关过滤器:

  • 包括包含与接口相关的通用过滤术语的任何过滤器。

  • 包含仅包含接口特有的过滤术语的过滤器。

过滤器列表的接口特定名称

由于在接口下配置了过滤器列表,因此产生的串联过滤器 特定于接口

注:

在接口下配置过滤器列表时,无论过滤器列表中是否将防火墙过滤器配置为特定于接口,所生成的串联过滤器都是特定于接口的。此外,接口规格防火墙过滤器的实例化不仅会创建任何防火墙过滤器计数器的单独实例,而且会创建任何监管器操作的单独实例。通过防火墙过滤器配置中指定的操作应用的任何监管器都会单独应用于接口组中的每个接口。

特定于接口的过滤器的系统生成名称包含完整的接口名称,后跟输入过滤器列表的 “”-i 或输出过滤器列表的 “-o”。

  • Input filter list name-例如,如果您使用 input-list 语句将过滤器链应用于 逻辑接口 ge-1/3/0.0,Junos OS 将使用以下过滤器名称:

  • Output filter list name-例如,如果您使用 output-list 语句将过滤器链应用于逻辑接口 fe-0/1/2.0,Junos OS 将使用以下过滤器名称:

注:

对于 Junos OS Evolved,过滤器名称不同。例如,如果过滤器绑定到 inet 系列,则过滤器将命名 ge-1/3/0/0-inet-ife-0/1/2.0-inet-o

输入指定防火墙过滤器名称的 Junos OS 操作模式命令 时,可以使用过滤器列表的接口专用名称。

当匹配的术语包括终止或下一个术语操作时,过滤器列表如何评估数据包

设备根据列表中过滤器顺序评估数据包,从列表中第一个过滤器开始,直到发生终止操作或数据包被隐式丢弃。

表 1 介绍了防火墙过滤器列表如何根据匹配术语是否指定终止操作和 next term 操作来评估数据包。操作 next term 既不是终止操作,也不是不可确定的操作,而是 流控制 操作。

表 1: 防火墙过滤器列表行为

匹配术语中包含的防火墙过滤器操作

术语说明

数据包过滤行为

终止

下一个学期

匹配术语包括终止操作(例如discard),但不包括next term

设备执行终止操作。过滤器中没有后续术语,列表中没有后续过滤器用于评估数据包。

匹配术语包括 next term 操作,但不包括任何终止操作。

设备会执行任何非确定操作,然后设备根据过滤器中的下一个术语或列表中下一个过滤器来评估数据包。

注:

在 Junos OS Evolved 上, next term 不能显示为操作的最后期限。不支持指定为操作但未配置任何匹配条件的过滤器术语 next term

匹配术语既不包括操作, next term 也不包括任何终止操作。

设备会执行任何非确定操作,然后设备将隐式接受数据包。accept由于操作是终止操作,因此过滤器中没有后续术语,列表中也不会使用后续过滤器来评估数据包。

有关终止操作的信息,请参阅 防火墙过滤器终止操作

注:

您不能在同 next term 一防火墙过滤器术语中将操作配置为终止操作。

当列表包含与协议无关的 IP 防火墙过滤器时,过滤器列表如何评估数据包

同时在与协议无关 (family any) 防火墙过滤器和协议专用(family inetfamily inet6)防火墙过滤器关联的单个接口上,首先执行与协议无关的防火墙过滤器。

第一个过滤器的终止操作确定第二个过滤器是否也评估数据包:

  • 如果第一个过滤器通过执行 accept 操作终止,第二个过滤器也会评估数据包。

  • 如果第一个过滤器终止时没有与数据包匹配的任何条款( 隐式 discard 操作),则第二个过滤器也会评估数据包。

  • 如果第一个过滤器通过执行 显式 discard 操作终止,则第二个过滤器不会评估数据包。

PTX10003 路由器不支持在过滤器列表中组合使用与协议无关的过滤器和其他过滤器。

相关主题