无状态防火墙过滤器概述
数据包流控制
要影响允许哪些数据包通过系统并根据需要对数据包应用特殊操作,您可以配置 无状态防火墙过滤器。无状态防火墙指定一个或多个数据包过滤规则的序列,称为 过滤器术语。过滤器术语指定用于确定匹配的匹配条件以及要对 匹配 数据包执行 的操作 。无状态 防火墙过滤器 使您能够根据第 3 层和第 4 层标头字段的评估来操作特定协议家族的任何数据包,包括分段数据包。您通常会将无状态防火墙过滤器应用于配置了协议系列功能的一个或多个接口。您可以将无状态防火墙过滤器应用于入口接口和/或出口接口。
数据包流控制
要在数据包从源转发到目标时控制通过设备的数据包流,您可以将无状态防火墙过滤器应用于路由器或交换机物理接口的输入或输出。
要为接口上发送或接收的流量强制实施指定的带宽和最大突发大小,您可以配置 监管器。监管器是一种特殊类型的无状态防火墙过滤器,也是 Junos OS 服务等级 (CoS) 的主要组件。
本地数据包流控制
要控制物理接口与路由引擎之间的本地数据包流,您可以将无状态防火墙过滤器应用于 环路接口的输入或输出。环路接口 () 是路由引擎的接口,不携带数据包。lo0
Junos OS 演化版本地数据包流控制
在 Junos OS 演化版中,您可以使用两种不同的过滤器:一个用于网络控制流量(环回流量),一个用于管理流量。使用两个过滤器,您可以获得更大的灵活性。例如,您可以对管理接口流量配置比对网络控制流量更严格的过滤器。
管理过滤使用基于网络过滤器(Linux 内核提供的框架)的路由引擎过滤器。此差异导致仅支持某些匹配项和操作。请参阅路由引擎防火墙过滤器以了解更多信息。https://www.juniper.net/documentation/us/en/software/junos/overview-evo/topics/concept/evo-top-differences.html#top-differences-between-junos-os-evolved-and-junos-os__section-routing-engine-firewall-filters
您必须在管理接口上显式添加过滤器,就像 Junos OS 演化版一样,lo 过滤器不再适用于管理流量,就像 Junos OS 一样。
无状态和有状态防火墙过滤器
无状态防火墙过滤器(也称为 访问控制列表 (ACL))不会对流量进行有状态检查。相反,它静态评估数据包内容,并且不跟踪网络连接的状态。相反,有状态 防火墙过滤器 使用从数据流中的其他应用程序和过去通信派生的连接状态信息来做出动态控制决策。
《路由策略、防火墙过滤器和流量监管器用户指南》介绍了无状态防火墙过滤器。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
无状态防火墙过滤器的用途
无状态防火墙过滤器的基本目的是通过使用数据包过滤来增强安全性。数据包过滤使您能够检查传入或传出数据包的组件,然后对与您指定的条件匹配的数据包执行您指定的操作。无状态防火墙过滤器的典型用途是保护路由引擎进程和资源免受恶意或不受信任数据包的侵害。