Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解防火墙过滤器规划

在创建并应用 防火墙 过滤器之前,请确定您希望过滤器完成的内容以及如何使用其匹配条件和操作来实现您的目标。了解数据包的匹配方式、防火墙过滤器的默认和配置操作以及应用防火墙过滤器的位置非常重要。

每个端口、VLAN 或路由器接口(输入和输出)只能应用一个防火墙过滤器。例如,对于给定端口,您最多可以在输入方向应用一个滤波器,在输出方向上应用一个滤波器。应尽量保守每个防火墙过滤器中包含的术语(规则)数量,因为在提交操作期间,大量术语需要更长的处理时间,并且会使测试和故障排除更加困难。

在配置和应用防火墙过滤器之前,请为每个过滤器回答以下问题:

  1. 过滤器的用途是什么?

    例如,系统可以根据标头信息丢弃数据包、对流量进行速率限制、将数据包分类为转发类、记录和计数数据包或防止拒绝服务攻击。

  2. 适当的匹配条件是什么?确定数据包必须包含的数据包标头字段才能进行匹配。可能的字段包括:

    • 第 2 层标头字段 — 源和目标 MAC 地址、802.1Q 标记、以太网类型或 VLAN。

    • 第 3 层标头字段 — 源和目标 IP 地址、协议和 IP 选项(IP 优先级、IP 分段标志或 TTL 类型)。

    • TCP 标头字段 — 源端口和目标端口及标志。

    • ICMP 标头字段 — 数据包类型和代码。

  3. 如果发生匹配,应采取哪些适当的措施?

    系统可以接受、丢弃或拒绝数据包。

  4. 可能需要哪些其他操作修饰符?

    例如,您可以将系统配置为将数据包镜像(复制)到指定端口、计算匹配数据包、应用流量管理或监管数据包。

  5. 应在哪个端口、路由器接口或 VLAN 上应用防火墙过滤器?

    从以下基本准则开始:

    • 如果需要过滤进入或离开第 2 层接口(端口)的数据包,请在层次结构级别应用过滤器 。[edit family ethernet switching filter] 这是一个端口过滤器。

    • 如果需要过滤进入或离开特定 VLAN 中任何端口的数据包,请使用 VLAN 过滤器。

    • 如果需要过滤进入或离开第 3 层(路由)接口或 路由 VLAN 接口 (RVI) 的数据包,请使用路由器防火墙过滤器。将过滤器应用于层次结构级别的接口 。[edit family inet] 您还可以在环路接口上应用路由器防火墙过滤器。

    在选择要应用防火墙过滤器的接口或 VLAN 之前,请了解该放置如何影响流向其他接口的流量。通常,如果过滤器与源或目标 IP 地址、IP 协议或协议信息(如 ICMP 消息类型以及 TCP 或 UDP 端口号)匹配,则在源设备附近应用过滤器。但是,如果筛选器 仅在 源 IP 地址上匹配,则应在目标设备附近应用筛选器。如果应用筛选器太靠近源设备,筛选器可能会阻止该源设备访问网络上可用的其他服务。

    注:

    出口防火墙过滤器不会影响来自路由引擎的本地生成的控制数据包的流动。

  6. 防火墙过滤器应应用于哪个方向?

    您通常为进入接口的流量配置的操作与为退出接口的流量配置的操作不同。

  7. 我应该创建多少个筛选器?

    有关可以应用多少个防火墙过滤器的信息,请参阅 规划要创建的防火墙过滤器数量 。规划要创建的防火墙过滤器数量

相关主题