防火墙过滤器(QFX 系列)概述
防火墙过滤器(有时称为 访问控制列表 (ACL))提供规则,用于定义是接受还是丢弃正在通过接口传输的数据包。如果接受数据包,您可以对数据包配置更多操作,例如服务等级 (CoS) 标记(将类似类型的流量组合在一起,并将每种流量类型作为一个具有其自身服务级别优先级的类别)和流量管制(控制发送或接收的最大流量速率)。
您可以配置防火墙过滤器,以确定在数据包进入或退出端口、VLAN、第 2 层 CCC、第 3 层(路由)接口、路由 VLAN 接口 (RVI) 或 MPLS 接口之前接受或丢弃数据包的位置。
入口(输入) 防火墙过滤器应用于进入接口或 VLAN 的数据包,并将出口(输出)防火墙过滤器应用于正在退出接口或 VLAN 的数据包。
网络端口、第 2 层和第 3 层或 IRB 接口上的监管器不会监管与主机绑定的流量。但是,如果您想阻止 DDoS 攻击,则可以在 lo0 上创建一个防火墙过滤器,以保护路由引擎。
可以在哪里应用过滤器
配置防火墙过滤器后,可将其应用到以下方面:
-
端口 — 过滤器第 2 层流量传输系统端口。
-
VLAN — 对进入 VLAN、在 VLAN 内桥接或离开 VLAN 的第 2 层数据包进行过滤并提供访问控制。
-
第 3 层(路由)接口 — 过滤 IPv4 和 IPv6 接口、路由 VLAN 接口 (RVI) 和环路接口上的流量。环路接口可过滤发送到交换机本身或交换机生成的流量。
-
第 2 层 CCC 接口 — 过滤器第 2 层电路交叉连接 (CCC) 接口。
-
MPLS — 过滤器 MPLS 接口。
您还可以将防火墙过滤器应用于 QFX 和 EX4600 独立交换机上的管理接口(例如 me0)。不能将过滤器应用于 QFX3000-G 或 QFX3000-M 系统上的管理接口。
对于给定方向,您只能将一个防火墙过滤器应用于端口、VLAN 或第 2 层 CCC 接口。例如,对于接口 ge-0/0/6.0,可以为入口方向应用一个过滤器,为出口方向应用一个过滤器。
-
(QFX 系列)从 Junos OS 13.2X51-D15 版开始,您可以对出口方向的环路接口应用过滤器。
-
(QFX10000)从 Junos OS 18.2R1 版开始,您可以使用第 2 层电路接口上的监管器操作来应用入口和出口防火墙过滤器
count,并将其discard作为监管器操作。 -
(QFX10002-36Q、QFX10002-72Q、QFX10002-60C、QFX10008、QFX10016、PTX10008、PTX10016)从 Junos OS 19.2R1 版开始,您可以在 IPv4 和 IPv6 接口的出口方向应用
interfaceforwarding-class、 并loss-priority匹配条件。
EX4600、QFX5000 系列和 QFX5000 EVO 系列交换机不依赖于不同路由实例上配置的环路过滤器的 VRF 匹配。不支持每个路由实例的环路过滤器(如 lo0.100、lo0.103、lo0.105),可能会导致不可预测的行为。建议仅将环路过滤器 (lo0.0) 应用于主路由实例。
防火墙过滤器的构成
配置防火墙过滤器时,请定义家族地址类型(以太网交换、inet(适用于 IPv4)、inet6(适用于 IPv6)、电路交叉连接 (CCC) 或 MPLS)、过滤标准(术语、带有匹配条件)以及在发生匹配时要采取的操作。
每个术语包括以下
-
匹配条件 — 数据包必须包含的值才能被视为匹配。可以为 IP、TCP、UDP 或 ICMP 报头中的大多数字段指定值。您还可以匹配接口名称。
-
操作 — 如果数据包与匹配条件匹配,则采取的操作。您可以将防火墙过滤器配置为接受、丢弃或拒绝匹配数据包,然后执行更多操作,如计数、分类和监管。默认操作为接受。
如何处理防火墙过滤器
如果过滤器中有多个术语,则术语顺序很重要。如果数据包与第一个术语匹配,交换机将执行该术语定义的操作,并且不会评估其他术语。如果交换机未找到数据包与第一个术语之间的匹配项,它将将该数据包与下一项进行比较。如果数据包与第二个术语之间未发生匹配,系统将继续将数据包与过滤器中的每个连续项进行比较,直到找到匹配项。如果未匹配任何术语,交换机默认丢弃数据包。
interfaceforwarding-class、 并loss-priority匹配条件。 count ,并将其 discard 作为监管器操作。