配置服务过滤器的准则
用于配置服务过滤器的语句层次结构
要配置服务过滤器,请在 service-filter service-filter-name 层级添加语句 [edit firewall family (inet | inet6)] :
[edit] firewall { family (inet|inet6) {service-filterservice-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
本主题将单独介绍该 service-filter service-filter-name 语句下支持的单个语句,并在配置和应用服务过滤器的示例中进行了说明。
服务过滤器协议家族
您可以配置服务过滤器,以仅过滤 IPv4 流量 (family inet) 和 IPv6 流量 (family inet6)。服务过滤器不支持其他协议家族。
服务过滤器名称
在 family inet or family inet6 语句下,您可以包括 service-filter service-filter-name 要创建和命名服务过滤器的语句。过滤器名称可以包含字母、数字和连字符 (-),最长为 64 个字符。要让名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
服务筛选条款
该语句下 service-filter service-filter-name ,您可以包括 term term-name 要创建和命名过滤术语的语句。
您必须在 防火墙过滤器中至少配置一个术语。
您必须为防火墙过滤器中的每个术语指定唯一的名称。术语名称可包含字母、数字和连字符 (-),最长可包含 64 个字符。要让名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
在防火墙过滤器配置中指定术语的顺序非常重要。将按配置顺序评估防火墙过滤器术语。默认情况下,新术语始终添加到现有过滤器的末尾。您可以使用
insert配置模式命令对防火墙过滤器的条款进行重新排列。
服务过滤器匹配条件
服务过滤器条款仅支持标准无状态防火墙过滤器支持的 IPv4 和 IPv6 匹配条件的一个子集。
如果指定匹配条件(、 addressdestination-address或source-address匹配条件)中的 IPv6 地址,请使用语法用于 RFC 4291,IP 版本 6 寻址架构中描述的文本表示。有关 IPv6 地址的更多信息,请参阅适用于路由设备的 Junos OS 路由协议库中的“IPv6 概述”。
服务过滤器终止操作
配置服务过滤器术语时,必须指定以下过滤器终止操作之一:
serviceskip
这些操作是服务过滤器所特有的。
服务过滤器条款仅支持标准无状态防火墙过滤器支持的 IPv4 和 IPv6 非确定操作的一个子集:
count counter-namelogport-mirrorsample
服务过滤器不支持该 next 操作。