Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

配置防火墙过滤器的准则

本主题涵盖以下信息:

用于配置防火墙过滤器的语句层次结构

要配置标准防火墙过滤器,可以包含以下语句。对于 IPv4 标准防火墙过滤器,该 语句是可选的。family inet 对于 IPv6 标准防火墙过滤器,该 语句是必需的。family inet6

您可以在以下层次结构级别之一包括防火墙配置:

  • [edit]

  • [edit logical-systems logical-system-name]

注:

对于无状态防火墙过滤,您必须允许输出隧道流量通过防火墙过滤器,该防火墙过滤器应用于作为下一跃点接口的接口上的输入流量,朝向隧道目标。防火墙过滤器仅影响通过隧道离开路由器(或交换机)的数据包。
注:

在 ACX7100 平台上,VPLS 防火墙过滤器配置在 下,而不是在 下配置。familyethernet-switchingfamilyVPLS 管理筛选器在 family or 中配置,语法采用以下形式:inetinet6

防火墙过滤器协议家族

防火墙过滤器配置特定于特定协议家族。在该 语句下,包含以下语句之一,以指定要为其过滤流量的协议家族:firewall

  • family any—过滤与协议无关的流量。

  • family inet—过滤互联网协议版本 4 (IPv4) 流量。

  • family inet6—过滤互联网协议版本 6 (IPv6) 流量。

  • family mpls—过滤 MPLS 流量。

  • family vpls—过滤虚拟专用 LAN 服务 (VPLS) 流量。

  • family ccc— 过滤第 2 层电路交叉连接 (CCC) 流量。

  • family bridge— 仅过滤 MX 系列 3D 通用边缘路由器的第 2 层桥接流量。

  • family ethernet-switching—过滤第 2 层(以太网)流量。

只有在指定 IPv4 以外的协议家族时才需要该 语句。family family-name 要配置 IPv4 防火墙过滤器,可以在层次结构级别配置 过滤器,而不包含 语句,因为 和 层次结构级别是等效的。[edit firewall]family inet[edit firewall][edit firewall family inet]

注:

对于网桥系列过滤器, 仅 IPv4 支持匹配标准,IPv6 不支持匹配标准。ip-protocol 这适用于支持 Junos Trio 芯片组(如 MX 3D MPC 线卡)的线卡。

防火墙过滤器名称和选项

在该 语句下,可以包含 用于创建和命名防火墙过滤器的语句。family family-namefilter filter-name 筛选器名称可以包含字母、数字和连字符 (-),长度最多为 64 个字符。要在名称中包含空格,请用引号 (“ ”) 将整个名称括起来。

在 层次结构级别,以下语句是可选的:[edit firewall family family-name filter filter-name]

  • accounting-profile

  • instance-shared (仅限配备模块化端口集中器 (MPCS) 的 MX 系列路由器)

  • interface-specific

  • physical-interface-filter

防火墙过滤器术语

在 语句下,可以包含 用于创建和命名筛选器术语的语句。filter filter-nameterm term-name

  • 您必须在防火墙过滤器中至少配置一个术语。

  • 您必须为防火墙过滤器中的每个术语指定唯一的名称。术语名称可以包含字母、数字和连字符 (-),最长可达 64 个字符。要在名称中包含空格,请用引号 (“ ”) 将整个名称括起来。

  • 在防火墙过滤器配置中指定术语的顺序非常重要。防火墙过滤器术语按其配置顺序进行评估。默认情况下,新术语始终添加到现有筛选器的末尾。您可以使用配置模式命令对 防火墙过滤器的条款重新排序。insert

在层次结构级别,语句在与 或 语句相同的术语中无效。[edit firewall family family-name filter filter-name term term-name]filter filter-namefromthen 当包含在此层次结构级别时,该 语句用于 嵌套 防火墙过滤器。filter filter-name

防火墙过滤器匹配条件

防火墙过滤器匹配条件特定于要过滤的流量类型。

除 MPLS 标记的 IPv4 或 IPv6 流量外,您可以在语句下 指定术语的匹配条件。from 对于 MPLS 标记的 IPv4 流量,您可以在语句下指定术语的 IPv4 地址特定匹配条件,并在语句下指定术语的 IPv4 端口特定匹配条件。ip-version ipv4protocol (tcp | udp)

对于 MPLS 标记的 IPv6 流量,您可以在语句下指定术语的 IPv6 地址特定匹配条件,并在语句下指定术语的 IPv6 端口特定匹配条件。ip-version ipv6protocol (tcp | udp)

表 1 介绍了可以为其配置防火墙过滤器的流量类型。

表 1: 按协议家族划分的防火墙过滤器匹配条件

流量类型

指定匹配条件的层次结构级别

与协议无关

[edit firewall family any filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 与协议无关的流量的防火墙过滤器匹配条件。与协议无关的流量的防火墙过滤器匹配条件

IPv4

[edit firewall family inet filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 IPv4 流量的防火墙过滤器匹配条件。IPv4 流量的防火墙过滤器匹配条件

IPv6

[edit firewall family inet6 filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 IPv6 流量的防火墙过滤器匹配条件。IPv6 流量的防火墙过滤器匹配条件

MPLS

[edit firewall family mpls filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 MPLS 流量的防火墙过滤器匹配条件。MPLS 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv4 地址

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv4 端口

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv6 地址

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

MPLS 流中的 IPv6 端口

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件

VPLS

[edit firewall family vpls filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 VPLS 流量的防火墙过滤器匹配条件。VPLS 流量的防火墙过滤器匹配条件

第 2 层 CCC

[edit firewall family ccc filter filter-name term term-name]

有关匹配条件的完整列表,请参阅 第 2 层 CCC 流量的防火墙过滤器匹配条件。第 2 层 CCC 流量的防火墙过滤器匹配条件

第 2 层桥接

(仅限 MX 系列路由器和 EX 系列交换机)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (仅适用于 EX 系列交换机)

有关匹配条件的完整列表,请参阅 第 2 层桥接流量的防火墙过滤器匹配条件。第 2 层桥接流量的防火墙过滤器匹配条件

如果在匹配条件(、 或匹配条件)中指定 IPv6 地址,请使用 RFC 4291 IP 版本 6 寻址体系结构中所述的文本表示语法。addressdestination-addresssource-address 有关 IPv6 地址的详细信息,请参阅 IPv6 概述和支持的 IPv6 标准。https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html

防火墙过滤器操作

在 防火墙过滤器术语的语句下,您可以指定要对与术语匹配的数据包执行的操作。then

表 2 总结了可以在防火墙过滤器术语中指定的操作类型。

表 2: 防火墙过滤器操作类别

操作类型

Description

评论

终止

停止对特定数据包的防火墙过滤器的所有评估。路由器(或交换机)执行指定的操作,不会使用其他术语来检查数据包。

在防火墙过滤器术语中只能指定一个 终止操作 。如果尝试在筛选器术语中指定多个终止操作,则最新的终止操作将替换现有的终止操作。但是,您可以在单个术语中指定一个或多个 非终止操作的终止 操作。例如,在术语中,可以使用 和 进行指定。acceptcountsyslog 无论包含终止操作的术语数量如何,一旦系统处理了某个术语内的终止操作,整个防火墙过滤器的处理就会停止。

请参阅 防火墙过滤器终止操作。防火墙过滤器终止操作

非终止

对数据包执行其他功能(如递增计数器、记录有关数据包标头的信息、对数据包数据进行采样或使用系统日志功能向远程主机发送信息),但任何其他术语都用于检查数据包。

所有非终止操作都包括隐式接受操作。如果同一术语中未配置其他终止操作,则执行此接受操作。

请参阅 防火墙过滤器非终止操作。防火墙过滤器非终止操作

流控制

仅对于标准防火墙过滤器,该 操作会指示路由器(或交换机)对数据包执行配置的操作,然后使用过滤器中的下一个术语来评估数据包,而不是终止过滤器。next term 如果包含该操作,则会根据防火墙过滤器中的下一个术语评估匹配的数据包。next term 否则,不会根据防火墙过滤器中的后续术语评估匹配的数据包。

例如,当您使用非终止操作 配置术语时,该术语的操作将从隐式变为隐式 。countdiscardaccept 该 操作会强制继续评估防火墙过滤器。next term

不能在同一筛选器术语中使用终止操作配置操作。next term 但是,您可以使用同一筛选术语中的另一个非终止操作配置下一个术语操作。

每个标准防火墙过滤器配置最多支持 1024 个操作。next term 如果配置的标准防火墙过滤器超过此限制,则候选配置会导致提交错误。

注:

在 Junos OS 演化版上, 不能显示为操作的最后一个术语。next term 不支持指定为操作但未配置任何匹配条件的筛选词 。next term

相关主题