防火墙过滤器概述(QFX 系列)
防火墙过滤器(有时称为访问控制 列表 (ACL))提供的规则用于定义是接受还是丢弃通过接口的数据包。如果数据包被接受,您可以对数据包配置更多操作,例如服务等级 (CoS) 标记(将相似类型的流量分组在一起,并将每种类型的流量视为具有自己服务优先级级别的一个类)和流量监管(控制发送或接收的最大流量速率)。
您可以配置防火墙过滤器,以确定在数据包进入或退出端口、VLAN、第 2 层 CCC、第 3 层(路由)接口、路由 VLAN 接口 (RVI) 或 MPLS 接口之前在何处接受或丢弃数据包。
入口(输入) 防火墙过滤器应用于进入接口或 VLAN 的数据包,出口(输出)防火墙过滤器应用于退出接口或 VLAN 的数据包。
网络端口、第 2 层和第 3 层或 IRB 接口上的监管器不监管主机绑定流量。但是,如果要防止 DDoS 攻击,则可以在 lo0 上创建防火墙过滤器来保护路由引擎。
可在何处应用过滤器
配置防火墙过滤器后,可以将其应用于以下内容:
-
端口 — 过滤传输系统端口的第 2 层流量。
-
VLAN — 过滤并控制进入 VLAN、在 VLAN 内桥接或离开 VLAN 的第 2 层数据包。
-
第 3 层(路由)接口 — 过滤 IPv4 和 IPv6 接口、路由 VLAN 接口 (RVI) 和环路接口上的流量。环路接口过滤发送到交换机本身或由交换机生成的流量。
-
第 2 层 CCC 接口 — 过滤第 2 层电路交叉连接 (CCC) 接口。
-
MPLS — 过滤 MPLS 接口。
您还可以将防火墙过滤器应用于 QFX 和 EX4600 独立交换机上的管理接口(例如 me0)。您无法将过滤器应用于 QFX3000-G 或 QFX3000-M 系统上的管理接口。
对于给定方向,您只能将一个防火墙过滤器应用于端口、VLAN 或第 2 层 CCC 接口。例如,对于接口 ge-0/0/6.0,您可以对入口方向应用一个过滤器,对出口方向应用一个过滤器。
-
(QFX 系列)从 Junos OS 版本 13.2X51-D15 开始,您可以将过滤器应用于出口方向的环路接口。
-
(QFX10000)从 Junos OS 18.2R1 版开始,您可以在第 2 层电路接口上应用带有监管器操作的
count
discard
入口和出口防火墙过滤器。 -
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016)从 Junos OS 19.2R1 版开始,您可以在 IPv4 和 IPv6 接口的出口方向上应用
interface
、forwarding-class
和loss-priority
匹配条件。
EX4600、QFX5000 系列和 QFX5000 EVO 系列交换机不依赖于在不同路由实例上配置的环路过滤器的 VRF 匹配。不支持每个路由实例(如 lo0.100、lo0.103、lo0.105)的环路过滤器,这可能会导致不可预测的行为。我们建议您仅将环回过滤器 (lo0.0) 应用于主路由实例。
防火墙过滤器的构成
配置防火墙过滤器时,需要定义系列地址类型(以太网交换、inet(用于 IPv4)、inet6(用于 IPv6)、电路交叉连接 (CCC) 或 MPLS)、过滤标准(术语、带匹配条件)以及在发生匹配时要采取的操作。
每个术语包含以下内容
-
匹配条件 — 数据包必须包含的值才能被视为匹配。您可以为 IP、TCP、UDP 或 ICMP 报头中的大多数字段指定值。您还可以匹配接口名称。
-
操作 — 数据包与匹配条件匹配时执行的操作。您可以将防火墙过滤器配置为接受、丢弃或拒绝匹配的数据包,然后执行更多操作,例如计数、分类和监管。默认操作为“接受”。
如何处理防火墙过滤器
如果筛选器中有多个术语,则术语的顺序很重要。如果数据包与第一个术语匹配,交换机将执行该术语定义的操作,并且不会评估其他术语。如果交换机未找到数据包与第一个术语之间的匹配项,则会将数据包与下一个术语进行比较。如果数据包与第二个术语之间没有匹配,系统将继续将数据包与过滤器中的每个连续术语进行比较,直到找到匹配项。如果未匹配任何术语,则交换机默认丢弃数据包。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
interface
、 forwarding-class
和 loss-priority
匹配条件。 count
discard
入口和出口防火墙过滤器。