嵌套多个防火墙过滤器参考准则
用于配置嵌套防火墙过滤器的语句层次结构
要从过滤器中引用过滤器,请将 filter filter-name 语句添加为单独的过滤器术语:
firewall firewall-name {
family family-name {
filter filter-name {
term term-name {
filter filter-name;
}
}
}
}
您可以在以下某个层级包括防火墙配置:
[edit][edit logical-systems logical-system-name]
过滤器定义术语和过滤器引用条款
您不能配置既引用另一个 防火墙过滤器 又定义匹配条件或操作的防火墙过滤器术语。如果防火墙过滤器术语包含语句 filter ,则也不能包含 from 或 then 语句。
例如,配置中的防火墙过滤器术语term term1无效:
[edit]
firewall {
family inet {
filter filter_1 {
term term1 {
filter filter_2;
from {
source-address 172.16.1.1/32;
}
then {
accept;
}
}
}
}
}
要 term term1 成为有效的过滤术语,必须删除 filter filter_2 语句,或者同时 from 移除和 then 节。
嵌套配置中支持的过滤器类型
防火墙过滤器的嵌套配置仅支持防火墙过滤器。您不能在嵌套防火墙过滤器配置中使用服务过滤器或简单过滤器。
单个过滤器中的过滤器引用数
过滤器内引用的过滤器总数不能超过 256 个。
过滤器嵌套深度
Junos OS 支持单一级别的防火墙过滤器嵌套。如果 filter_1 引用 filter_2,则不能配置引用引用的过滤器的 filter_1过滤器。