Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器的准则

本主题涵盖以下信息:

用于配置防火墙过滤器的语句层次结构

要配置标准防火墙过滤器,可以包含以下语句。对于 IPv4 标准防火墙过滤器,语 family inet 句是可选的。对于 IPv6 标准防火墙过滤器, family inet6 语句是必填项。

您可以将防火墙配置包括在以下层次结构级别之一:

  • [edit]

  • [edit logical-systems logical-system-name]

注:

对于无状态防火墙过滤,必须允许输出通道信息流通过应用于下一跳跃接口到隧道目标的接口上的输入流量的防火墙过滤器。防火墙过滤器仅影响通过隧道退出路由器(或交换机)的数据包。

防火墙过滤器协议系列

防火墙过滤器配置特定于特定协议系列。在该 firewall 语句下,包括以下语句之一,用于指定要过滤流量的协议家族:

  • family any—过滤与协议无关的流量。

  • family inet—过滤互联网协议版本 4 (IPv4) 流量。

  • family inet6—过滤互联网协议版本 6 (IPv6) 流量。

  • family mpls-要过滤 MPLS 流量。

  • family vpls—过滤虚拟专用 LAN 服务 (VPLS) 流量。

  • family ccc—要过滤第 2 层电路交叉连接 (CCC) 信息流。

  • family bridge— 要过滤仅适用于 MX 系列 3D 通用边缘路由器的 2 层桥接流量。

  • family ethernet-switching—过滤第 2 层(以太网)流量。

family family-name 句只需指定 IPv4 以外的协议家族。要配置 IPv4 防火墙过滤器,您可以在 [edit firewall] 层次结构级别配置过滤器,而无需包含 family inet 语句,因为 [edit firewall][edit firewall family inet] 层次结构级别等同。

注:

对于桥接家族过滤器, IP 协议 匹配标准仅支持用于 IPv4,而非 IPv6。适用于支持 Junos Trio 芯片组的线卡,例如 MX 3D MPC 线卡。

防火墙过滤器名称和选项

在该 family family-name 语句下,您可以包含 filter filter-name 用于创建和命名防火墙过滤器的语句。过滤器名称可包含字母、数字和连字符 (-),最多 64 个字符长。要将空格包含在名称中,请用引号 (“ ”) 将整个名称括起来。

[edit firewall family family-name filter filter-name] 层次结构级别,以下语句可选:

  • accounting-profile

  • instance-shared (仅限带模块化端口集中器 (MPC) 的 MX 系列路由器)

  • interface-specific

  • physical-interface-filter

防火墙过滤器条款

在语 filter filter-name 句下,您可以包含 term term-name 用于创建语句和命名过滤器术语。

  • 您必须在防火墙过滤器中至少配置一个术语。

  • 防火墙过滤器中每个术语都必须指定唯一名称。术语名称可以包含字母、数字和连字符 (-),长可达 64 个字符。要将空格包含在名称中,请用引号 (“ ”) 将整个名称括起来。

  • 在防火墙过滤器配置中指定条款的顺序很重要。防火墙过滤器条款的评估顺序为其配置顺序。默认情况下,新术语始终添加到现有过滤器的末端。您可以使用 insert 配置模式命令重新排列防火墙过滤器的条款。

[edit firewall family family-name filter filter-name term term-name]层次结构级别,filter filter-name语句与或then语句在同一术语from中无效。当包含在此层级时,语 filter filter-name 句用于 嵌套 防火墙过滤器。

防火墙过滤器匹配条件

防火墙过滤器匹配条件特定于要过滤的信息流类型。

除了 MPLS 标记的 IPv4 或 IPv6 流量之外,您可在语句下 from 指定该术语的匹配条件。对于 MPLS 标记的 IPv4 流量,请在语句下指定术语的 IPv4 地址特定匹配条件以及语句下ip-version ipv4protocol (tcp | udp)术语的 IPv4 端口特定匹配条件。

对于 MPLS 标记的 IPv6 流量,请在语句下指定术语的 IPv6 地址特定匹配条件以及语句下ip-version ipv6protocol (tcp | udp)术语的 IPv6 端口特定匹配条件。

表 1 介绍了您可以为其配置防火墙过滤器的流量类型。

表 1: 按协议系列分组的防火墙过滤器匹配条件

信息流类型

指定匹配条件的层次结构级别

协议无关

[edit firewall family any filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 与协议无关流量的防火墙过滤器匹配条件

IPv4

[edit firewall family inet filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 IPv4 流量的防火墙过滤器匹配条件

IPv6

[edit firewall family inet6 filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 IPv6 流量的防火墙过滤器匹配条件

MPLS 的比较

[edit firewall family mpls filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 MPLS 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv4 地址

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

有关匹配条件的完整列表,请参阅 MPLS 标记 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv4 端口

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

有关匹配条件的完整列表,请参阅 MPLS 标记 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv6 地址

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

有关匹配条件的完整列表,请参阅 MPLS 标记 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv6 端口

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

有关匹配条件的完整列表,请参阅 MPLS 标记 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

VPLS

[edit firewall family vpls filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 VPLS 流量的防火墙过滤器匹配条件

第 2 层 CCC

[edit firewall family ccc filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 2 层 CCC 流量的防火墙过滤器匹配条件

2 层桥接

(仅限 MX 系列路由器和 EX 系列交换机)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (仅适用于 EX 系列交换机)

有关匹配条件的完整列表,请参阅 2 层桥接流量的防火墙过滤器匹配条件

如果在匹配条件( addressdestination-address匹配条件)中指定 IPv6 地址, source-address 请使用语法表示 RFC 4291 、IP 版本 6 寻址架构中所述的文本表示。有关 IPv6 地址的详细信息,请参阅 IPv6 概述 和支持 的 IPv6 标准

防火墙过滤器操作

在防火墙过滤器术语的 then 语句下,您可以指定要对匹配该术语的数据包采取的操作。

表 2 汇总了您可以在防火墙过滤器术语中指定的操作类型。

表 2: 防火墙过滤器操作类别

操作类型

说明

评论

终止

停止对特定数据包的防火墙过滤器的所有评估。路由器(或交换机)执行指定的操作,并且不使用其他术语来检查数据包。

在防火墙过滤器术语中,您只能指定一个 终止操作 。但是,您可以在单个术语中使用一个或多个 非端点操作 指定一个终止操作。例如,在一个期限内,您可以使用 acceptcountsyslog。无论包含终止操作的条款数量如何,一旦系统在一个期限内处理终止操作,对整个防火墙过滤器的处理都将停止。

请参阅 防火墙过滤器终止操作

非统治

在数据包上执行其他功能(例如增量计数器、记录有关数据包标头的信息、对数据包数据进行采样或使用系统日志功能向远程主机发送信息),但使用任何附加术语来检查数据包。

所有非端点操作都包含隐式接受操作。如果在同一术语中未配置其他终止操作,则会执行此接受操作。

请参阅 防火墙过滤器非端点操作

流控制

仅对于标准防火墙过滤器, next term 该操作会指示路由器(或交换机)对数据包执行配置的操作,然后,而不是终止过滤器,使用过滤器中的下一个术语来评估数据包。如果包含操作 next term ,则根据防火墙过滤器中的下一个术语评估匹配数据包。否则,不根据防火墙过滤器中的后续条款评估匹配数据包。

例如,当使用非端点操作 count配置一个术语时,该术语的操作将从隐式 discard 更改为隐式 accept。这些 next term 行动迫使对防火墙过滤器进行持续评估。

不能在同一过滤器术语中使用终止操作来next term配置操作。但是,您可以在同一过滤器术语中使用另一个非端点操作配置下一个术语操作。

每个标准防火墙过滤器配置最多支持 1024 个next term操作。如果配置超出此限制的标准防火墙过滤器,则候选配置会导致提交错误。

注:

在 Junos OS Evolved 上, next term 不能显示为操作的最后一个术语。不支持过滤器术语,其中 next term 指定为操作,但不配置任何匹配条件。