了解嵌套配置中的多个防火墙过滤器

挑战：简化大规模防火墙过滤器管理

通常，您将单个 防火墙过滤器 应用于输入和/或输出方向的接口。但是，当您的路由器（或交换机）配置了许多甚至数百个接口时，此方法可能并不实用。在这种规模的环境中，您希望能够灵活地修改多个接口通用的过滤术语，而无需重新配置每个受影响接口的过滤器。

通常，解决方案是将多个无状态防火墙过滤器的有效“链式”结构应用于单个接口。您可以将过滤术语划分为多个已配置的防火墙过滤器，以便可以对每个路由器（或交换机）接口应用唯一的过滤器，还可以根据需要将通用过滤器应用于多个路由器（或交换机）接口。Junos OS 策略框架提供了两个选项，用于管理将多个单独的防火墙过滤器应用到各个路由器（或交换机）接口。一种选择是将多个筛选器应用为单个输入列表或输出列表。另一种选择是从另一个无状态防火墙过滤器的期限内引用无状态防火墙过滤器。

解决方案：配置对防火墙过滤器的嵌套引用

避免配置多个防火墙过滤器通用的重复过滤术语的最结构化方法是配置多个防火墙过滤器，以便每个过滤器通过 引用 包含常见过滤术语的单独过滤器来包含共享过滤术语。Junos OS 使用过滤器术语（按照它们在过滤器定义中出现的顺序）来评估通过接口的数据包。如果需要修改跨多个接口共享的过滤术语，则只需修改一个防火墙过滤器。

注：

与替代方法（应用防火墙过滤器列表）类似，配置嵌套防火墙过滤器会将多个防火墙过滤器合并到新的防火墙过滤器定义中。

嵌套防火墙过滤器的配置

为每个路由器（或交换机）接口配置嵌套防火墙过滤器涉及将共享数据包过滤规则与接口特定的数据包过滤规则分开，如下所示：

• 对于跨多个接口通用的每组数据包过滤规则，请配置包含共享过滤术语的单独防火墙过滤器。

• 对于每个路由器（或交换机）接口，配置一个单独的防火墙过滤器，其中包含：

  • 该接口独有的所有过滤术语。

  • 附加过滤术语，包括 对包含常见过滤术语的防火墙过滤器的引用。filter

将嵌套防火墙过滤器应用于路由器或交换机接口

应用嵌套防火墙过滤器与应用非嵌套防火墙过滤器没有什么不同。对于每个接口，您可以在节中包含或语句（或两者），以指定适当的嵌套防火墙过滤器。inputoutputfilter

将嵌套防火墙过滤器应用于接口时，共享过滤术语和接口特定的防火墙过滤器通过 单个嵌套防火墙 过滤器应用，该过滤器通过单独过滤术语中的语句包含 其他过滤器。filter

注：

对于不受支持的嵌套筛选器，提交检查和提交不会失败。不支持的嵌套过滤器是 vty 命令中未提及的过滤器组合 show jexpr dfw filter-types.