Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解防火墙过滤器规划

在创建并应用 防火墙过滤器 之前,请确定希望过滤器实现的目标,以及如何使用其匹配条件和操作来实现您的目标。了解数据包的匹配方式、防火墙过滤器的默认和配置操作以及防火墙过滤器应用的位置非常重要。

每个方向(输入和输出)每个端口、VLAN 或路由器接口只能应用一个以上防火墙过滤器。例如,对于给定端口,在输入方向上最多应用一个过滤器,在输出方向上最多应用一个过滤器。您应该尽量保守在每个防火墙过滤器中包含的术语(规则)数量,因为大量术语在提交操作期间需要更长的处理时间,并且可能会使测试和故障排除更加困难。

在配置和应用防火墙过滤器之前,请回答以下每个过滤器的问题:

  1. 过滤器的用途是什么?

    例如,系统可以根据标头信息、速率限制流量丢弃数据包,将数据包分类为转发类别,对数据包进行日志和计数,或者防止拒绝服务攻击。

  2. 合适的匹配条件是什么?确定匹配数据包必须包含的数据包标头字段。字段包括:

    • 第 2 层报头字段 — 源和目标 MAC 地址、802.1Q 标记、以太网类型或 VLAN。

    • 第 3 层报头字段 — 源和目标 IP 地址、协议和 IP 选项(IP 优先级、IP 分片标志或 TTL 类型)。

    • TCP 报头字段 — 源和目标端口及标志。

    • ICMP 报头字段 — 数据包类型和代码。

  3. 如果发生匹配,应采取哪些适当措施?

    系统可以接受、丢弃或拒绝数据包。

  4. 可能需要哪些额外的操作修改符?

    例如,您可以将系统配置为将数据包镜像(复制)到指定端口、对匹配数据包进行计数、应用流量管理或监管数据包。

  5. 防火墙过滤器应应用在什么端口、路由器接口或 VLAN 上?

    从以下基本准则开始:

    • 如果需要过滤进入或离开第 2 层接口(端口)的数据包,可以在层级应用过滤器 [edit family ethernet switching filter] 。这是端口过滤器

    • 如果需要过滤进入或离开特定 VLAN 中任何端口的数据包,请使用 VLAN 过滤器。

    • 如果需要过滤进入或离开第 3 层(路由)接口或 路由 VLAN 接口RVI) 的数据包,请使用路由器防火墙过滤器。将过滤器应用于层级的 [edit family inet] 接口。您还可以在环路接口上应用路由器防火墙过滤器。

    在选择要应用防火墙过滤器的接口或 VLAN 之前,请了解该放置如何影响流向其他接口的流量。通常,如果过滤器与源或目标 IP 地址、IP 协议或协议信息(如 ICMP 消息类型以及 TCP 或 UDP 端口号)匹配,请应用靠近源设备的过滤器。但是,如果过滤器 匹配源 IP 地址,您应该在目标设备附近应用过滤器。如果应用过滤器离源设备太近,则过滤器可能会阻止该源设备访问网络上提供的其他服务。

    注:

    出口防火墙过滤器不会影响来自路由引擎的本地生成的控制数据包的流。

  6. 应向哪个方向应用防火墙过滤器?

    通常,对于进入接口的流量配置操作与为退出接口的流量配置的流量不同。

  7. 我应该创建多少个过滤器?

    有关可应用多少 个防火墙过滤器的信息,请参阅规划要创建的 防火墙过滤器的数量。

相关主题