Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

应用标准防火墙过滤器的准则

应用防火墙过滤器概述

您可以将标准防火墙过滤器应用于路由器上的环路接口或路由器上的物理或逻辑接口。您可以将防火墙过滤器应用于单个接口或路由器上的多个接口。表 1 根据附加过滤器的点汇总防火墙过滤器的行为。

表 1: 按过滤器连接点划分的防火墙过滤器行为

过滤器连接点

过滤器行为

环路接口

路由器的环路接口 是路由引擎的接口 ,不携带数据包。lo0 将防火墙过滤器应用于环路接口时,过滤器将评估路由引擎接收或传输的本地数据包。

注:

  • ACX5048 和 ACX5096 路由器不支持评估路由引擎传输的数据包以进行环路接口过滤器。

物理接口或逻辑接口

将过滤器应用于路由器上的物理接口或逻辑接口(或接口上定义的聚合以太网捆绑包的成员)时,过滤器将评估通过该接口的所有数据包。

多个接口

您可以使用同一个防火墙过滤器一次或多次。

在 M 系列路由器(M120 和 M320 路由器除外)上,如果将防火墙过滤器应用于多个接口,则过滤器将作用于进入或退出这些接口的流量总和。

在 T 系列、M120、M320 和 MX 系列路由器上,接口分布在多个数据包转发组件之间。在这些路由器上,您可以配置防火墙过滤器和服务过滤器,当应用于多个接口时,无论多个接口上的流量总和如何,它们都会作用于进入或退出每个接口的各个流量流。

有关更多信息,请参阅 特定于接口的防火墙过滤器实例概述。特定于接口的防火墙过滤器实例概述

连接了协议无关和协议特定防火墙过滤器的单一接口

对于仅托管在以下硬件上的接口,您可以同时附加与协议无关的 () 防火墙过滤器和特定于协议的 ( 或 ) 防火墙过滤器。family anyfamily inetfamily inet6 与协议无关的防火墙首先执行。

  • ACX 系列通用城域网路由器

  • M7i 和 M10i 多业务边缘路由器中的灵活 PIC 集中器 (FPC)

  • MX 系列 5G 通用路由平台中的模块化接口卡 (MIC) 和模块化端口集中器 (MPC)

  • T 系列核心路由器

注:

托管在以下硬件上的接口不支持与协议无关的防火墙过滤器:

  • M120 路由器中的转发引擎板 (FEB)

  • M320 路由器中的增强型 III FPC

  • MX 系列路由器中的 FPC2 和 FPC3 模块

  • MX 系列路由器中的密集端口集中器 (DPC)

  • PTX 系列数据包传输路由器

用于应用防火墙过滤器的语句层次结构

要将标准防火墙过滤器应用于逻辑接口,请为在或层次结构级别下定义的逻辑接口配置语句。filter[edit][edit logical-systems logical-system-name] 在该 语句下,可以包含以下一个或多个语句:filter 、 、 、 或 。group group-numberinput filter-nameinput-list filter-nameoutput filter-nameoutput-list filter-name 附加 语句的层次结构级别取决于要配置的筛选器类型和设备类型。filter

MX 系列路由器上的与协议无关的防火墙过滤器

要将与协议无关的防火墙过滤器应用于 MX 系列路由器上的逻辑接口,请直接在逻辑单元下配置语句:filter

逻辑接口上的所有其他防火墙过滤器

要将标准防火墙过滤器应用于 MX 系列路由器上与协议无关的过滤器 以外的 所有情况的逻辑接口,请在协议家族下配置 以下语句:filter

应用防火墙过滤器的限制

每个逻辑接口的输入和输出滤波器数量

Input filters- 尽管可以多次使用相同的过滤器,但只能将一个输入过滤器或一个输入过滤器列表应用于接口。

  • 要指定用于评估接口上收到的数据包的单个防火墙过滤器,请将语句 包含在节中 。input filter-namefilter

  • 要指定用于评估接口上收到的数据包的防火墙过滤器的有序列表,请将语句 包含在节中 。input-list [ filter-names ]filter 您最多可以为过滤器输入列表指定 16 个防火墙过滤器。

Output filters- 尽管可以多次使用相同的过滤器,但只能将一个输出过滤器或一个输出过滤器列表应用于接口。

  • 要指定用于评估接口上传输的数据包的单个防火墙过滤器,请将语句 包含在节中 。output filter-namefilter

  • 要指定用于评估接口上传输的数据包的防火墙过滤器的有序列表,请在节中包含该语句。output-list [ filter-names ]filter 您最多可以在过滤器输出列表中指定 16 个防火墙过滤器。

列表中的 MPLS 和第 2 层 CCC 防火墙过滤器

所有接口都支持 和协议家族的防火墙过滤器的 and 语句,但以下接口除外:input-list filter-namesoutput-list filter-namescccmpls

  • 管理接口和内部以太网接口( 或 )fxpem0

  • 环路接口 ()lo0

  • USB 调制解调器接口 ()umd

MX 系列路由器和 EX 系列交换机上的第 2 层 CCC 防火墙过滤器

只能在 MX 系列路由器和 EX 系列交换机上,不能将第 2 层 CCC 无状态防火墙过滤器(在层次结构级别配置 的防火墙过滤器)应用为输出过滤器。[edit firewall filter family ccc] 在 MX 系列路由器和 EX 系列交换机上,为语句配置的 防火墙过滤器只能用作输入过滤器。family ccc

PTX 系列数据包传输路由器上的 IPv6 防火墙过滤器

在 PTX10001-20C 路由器上,不能将 IPv6 防火墙过滤器应用于:

  • 隧道接口

  • IRB 接口

  • 出口接口

  • 特定于接口的过滤器,在 层次结构级别配置。[edit firewall family inet6 filter filter-name]

  • 交通监管器

  • Junos 遥测接口

相关主题