Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

应用标准防火墙过滤器准则

应用防火墙过滤器概述

您可以将标准防火墙过滤器应用于路由器上的环路接口,或者应用于路由器上的物理或逻辑接口。您可以将防火墙过滤器应用于单个接口或路由器上的多个接口。表 1 根据将过滤器连接到的点汇总了防火墙过滤器的行为。

表 1: 按过滤器附件点设置的防火墙过滤行为

过滤器附件点

过滤器行为

环路接口

路由器的环路接口 lo0是路由引擎的接口,不承载任何数据包。将防火墙过滤器应用于环路接口时,过滤器将评估路由引擎接收或传输的本地数据包。

注:

  • ACX5048 和 ACX5096 路由器不支持评估路由引擎为环路接口过滤器传输的数据包。

物理接口或逻辑接口

将过滤器应用于路由器上的物理接口或逻辑接口(或在接口上定义的聚合以太网捆绑包的成员)时,过滤器将评估通过该接口的所有数据包。

多个接口

您可以使用一次或多次相同的防火墙过滤器。

在 M 系列路由器(M120 和 M320 路由器除外)上,如果对多个接口应用防火墙过滤器,则过滤器会根据进出这些接口的流量总和起作用。

在 T 系列、M120、M320 和 MX 系列路由器上,接口分布在多个数据包转发组件之间。在这些路由器上,您可以配置防火墙过滤器和服务过滤器,在应用于多个接口时,不管多个接口上的流量总和如何,都会对进出每个接口的单个流量流执行操作。

有关更多信息,请参阅 特定于接口的防火墙过滤器实例概述

单个接口,附加了与协议无关且特定于协议的防火墙过滤器

对于仅托管在以下硬件上的接口,可以同时连接与协议无关的 (family any) 防火墙过滤器和协议特定的(family inetfamily inet6)防火墙过滤器。与协议无关的防火墙首先执行。

  • ACX 系列通用城域网路由器

  • M7i 和 M10i 多服务边缘路由器中的灵活 PIC 集中器 (FPC)

  • MX 系列 5G 通用路由平台中的模块化接口卡 (MIC) 和模块化端口集中器 (MPC)

  • T 系列核心路由器

注:

以下硬件上托管的接口不支持与协议无关的防火墙过滤器:

  • M120 路由器中的转发引擎板 (FEB)

  • M320 路由器中的增强型 III FPC

  • MX 系列路由器中的 FPC2 和 FPC3 模块

  • MX 系列路由器中的密集端口集中器 (DPC)

  • PTX 系列数据包传输路由器

用于应用防火墙过滤器的语句层次结构

要对逻辑接口应用标准防火墙过滤器,请filter为在或[edit logical-systems logical-system-name]层级下[edit]定义的逻辑接口配置语句。在语句下 filter ,您可以包括以下一个或多个语句:group group-numberinput filter-nameinput-list filter-nameoutput filter-nameoutput-list filter-name。语句附加 filter 的层次结构级别取决于要配置的过滤器类型和设备类型。

MX 系列路由器上的协议无关防火墙过滤器

要向 MX 系列路由器上的逻辑接口应用与协议无关的防火墙过滤器,请filter直接在逻辑单元下配置语句:

逻辑接口上的所有其他防火墙过滤器

要向逻辑接口应用标准防火墙过滤器,用于 MX 系列路由器上与协议无关的过滤器 以外的 所有情况,请在协议家族下配置语句 filter

对应用防火墙过滤器的限制

每个逻辑接口的输入和输出过滤器数

Input filters- 尽管可以多次使用相同的过滤器,但只能对一个接口应用一个输入过滤器或一个输入过滤器列表。

  • 要指定用于评估接口上接收的数据包的单个防火墙过滤器,请将该 input filter-name 语句包含在 filter 部分。

  • 要指定用于评估接口上接收的数据包的有序防火墙过滤器列表,请将该 input-list [ filter-names ] 语句包含在 filter 部分。可以为过滤器输入列表指定多达 16 个防火墙过滤器。

Output filters- 尽管可以多次使用同一个过滤器,但只能对一个接口应用一个输出过滤器或一个输出过滤器列表。

  • 要指定用于评估接口上传输的数据包的单个防火墙过滤器,请将该 output filter-name 语句包含在 filter 部分。

  • 要指定用于评估接口上传输的数据包的有序防火墙过滤器列表,请将语句 output-list [ filter-names ] 包含在 filter 部分。您可以在过滤器输出列表中指定最多 16 个防火墙过滤器。

列表中 MPLS 和 2 层 CCC 防火墙过滤器

input-list filter-names所有接口均支持防火墙ccc过滤器和协议家族的和output-list filter-namesmpls语句,但以下内容除外:

  • 管理接口和内部以太网接口(fxpem0

  • 环路接口 (lo0

  • USB 调制解调器接口 (umd

MX 系列路由器和 EX 系列交换机上的第 2 层 CCC 防火墙过滤器

只有在 MX 系列路由器和 EX 系列交换机上,您才能将第 2 层 CCC 无状态防火墙过滤器(在层次结构级别上 [edit firewall filter family ccc] 配置的防火墙过滤器)应用为输出过滤器。在 MX 系列路由器和 EX 系列交换机上,为语句 family ccc 配置的防火墙过滤器只能作为输入过滤器应用。

PTX 系列数据包传输路由器上的 IPv6 防火墙过滤器

在 PTX10001-20C 路由器上,您无法将 IPv6 防火墙过滤器应用于:

  • 隧道接口

  • IRB 接口

  • 出口接口

  • 特定于接口的过滤器,在 [edit firewall family inet6 filter filter-name] 层次结构级别上配置。

  • 交通监管员

  • Junos 遥测接口

相关主题