配置防火墙过滤器的准则
本主题介绍以下信息:
用于配置防火墙过滤器的语句层次结构
要配置标准防火墙过滤器,可以包含以下语句。对于 IPv4 标准防火墙过滤器,语句 family inet 是可选的。对于 IPv6 标准防火墙过滤器,语句 family inet6 为必需语句。
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
您可以在以下某个层级包括防火墙配置:
-
[edit] -
[edit logical-systems logical-system-name]
对于无状态防火墙过滤,您必须允许输出隧道流量通过防火墙过滤器应用于接口上的下一跃点接口上的输入流量,以指向隧道目标。防火墙过滤器仅影响通过隧道从路由器(或交换机)出口的数据包。
在 ACX7100 平台上,VPLS 防火墙过滤器配置在下方 family ethernet-switching ,而非下 family VPLS。管理过滤器按系列 inet 配置,或者 inet6 语法采用以下形式:
set interfaces re0:mgmt-0 unit logical-unit-number family family-name filter input filter-name.防火墙过滤器协议家族
防火墙过滤器配置特定于特定协议系列。在此语句下 firewall ,包括以下语句之一,以指定要过滤流量的协议家族:
family any-过滤与协议无关的流量。family inet-过滤互联网协议版本 4 (IPv4) 流量。family inet6-过滤互联网协议版本 6 (IPv6) 流量。family mpls-过滤 MPLS 流量。family vpls-过滤虚拟专用 LAN 服务 (VPLS) 流量。family ccc-过滤第 2 层电路交叉连接 (CCC) 流量。family bridge- 仅过滤 MX 系列 3D 通用边缘路由器的第 2 层桥接流量。family ethernet-switching-过滤第 2 层(以太网)流量。
语句 family family-name 仅在指定 IPv4 以外的协议家族时是必需的。要配置 IPv4 防火墙过滤器,可以在层次结构级别上配置过滤器 [edit firewall] ,而不包括 family inet 语句,因为 [edit firewall] 层级和 [edit firewall family inet] 层次结构级别是等效的。
对于网桥系列过滤器, ip-protocol 匹配标准仅适用于 IPv4,IPv6 不支持。这适用于支持 Junos Trio 芯片组的线卡,例如 MX 3D MPC 线卡。
防火墙过滤器名称和选项
该语句下 family family-name ,您可以包括 filter filter-name 用于创建和命名防火墙过滤器的语句。过滤器名称可以包含字母、数字和连字符 (-),最长为 64 个字符。要让名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
在 [edit firewall family family-name filter filter-name] 层次结构级别,以下语句是可选的:
accounting-profileinstance-shared(仅限带模块化端口集中器 (MPCS) 的 MX 系列路由器)interface-specificphysical-interface-filter
防火墙过滤器条款
该语句下 filter filter-name ,您可以包括 term term-name 要创建和命名过滤术语的语句。
您必须在防火墙过滤器中至少配置一个术语。
您必须为防火墙过滤器中的每个术语指定唯一的名称。术语名称可包含字母、数字和连字符 (-),最长可包含 64 个字符。要让名称中包含空格,请用引号 (“ ”) 将整个名称括起来。
在防火墙过滤器配置中指定术语的顺序非常重要。将按配置顺序评估防火墙过滤器术语。默认情况下,新术语始终添加到现有过滤器的末尾。您可以使用
insert配置模式命令对防火墙过滤器的条款进行重新排列。
在[edit firewall family family-name filter filter-name term term-name]层次结构级别,语句filter filter-name在与或then语句相同的术语from中无效。当包含在此层次结构级别时,该 filter filter-name 语句用于 嵌套 防火墙过滤器。
防火墙过滤器匹配条件
防火墙过滤器匹配条件特定于要过滤的流量类型。
除 MPLS 标记的 IPv4 或 IPv6 流量外,您可以在语句中 from 指定术语的匹配条件。对于 MPLS 标记的 IPv4 流量,您可以在语句下 ip-version ipv4 指定术语的 IPv4 特定于地址的匹配条件,并在语句中 protocol (tcp | udp) 指定术语的 IPv4 端口特定匹配条件。
对于 MPLS 标记的 IPv6 流量,您可以在语句下 ip-version ipv6 指定术语的 IPv6 特定于地址的匹配条件,并在语句中 protocol (tcp | udp) 指定术语的 IPv6 特定于端口的匹配条件。
表 1 介绍了您可以为其配置防火墙过滤器的流量类型。
流量类型 |
指定匹配条件的层次结构级别 |
|---|---|
与协议无关 |
有关匹配条件的完整列表,请参阅 与协议无关的流量的防火墙过滤器匹配条件。 |
IPv4 |
有关匹配条件的完整列表,请参阅 IPv4 流量的防火墙过滤器匹配条件。 |
IPv6 |
有关匹配条件的完整列表,请参阅 IPv6 流量的防火墙过滤器匹配条件。 |
MPLS |
有关匹配条件的完整列表,请参阅 MPLS 流量的防火墙过滤器匹配条件。 |
MPLS 流中的 IPv4 地址 |
有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。 |
MPLS 流中的 IPv4 端口 |
有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。 |
MPLS 流中的 IPv6 地址 |
有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。 |
MPLS 流中的 IPv6 端口 |
有关匹配条件的完整列表,请参阅 MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件。 |
VPLS |
有关匹配条件的完整列表,请参阅 VPLS 流量的防火墙过滤器匹配条件。 |
2 层 CCC |
有关匹配条件的完整列表,请参阅 第 2 层 CCC 流量的防火墙过滤器匹配条件。 |
2 层桥接 (仅限 MX 系列路由器和 EX 系列交换机) |
有关匹配条件的完整列表,请参阅 第 2 层桥接流量的防火墙过滤器匹配条件。 |
如果指定匹配条件(、 addressdestination-address或source-address匹配条件)中的 IPv6 地址,请使用语法用于 RFC 4291,IP 版本 6 寻址架构中描述的文本表示。有关 IPv6 地址的更多信息,请参阅 IPv6 概述 和支持 的 IPv6 标准。
防火墙过滤器操作
在 then 防火墙过滤器术语的语句下,您可以指定要对与术语匹配的数据包执行的操作。
表 2 总结了可以在防火墙过滤器术语中指定的操作类型。
操作类型 |
说明 |
评论 |
|---|---|---|
终止 |
停止对特定数据包的防火墙过滤器的所有评估。路由器(或交换机)会执行指定的操作,不会使用其他术语来检查数据包。 在防火墙过滤器术语中,您只能指定一个 终止操作 。如果尝试在过滤器术语中指定多个 终止操作 ,则最新的 终止操作 将替换现有的 终止操作。但是,您可以在单个术语中指定一个或多个 非终止操作 的终止操作。例如,在一个术语中,您可以指定 |
请参阅 防火墙过滤器终止操作。 |
非确定性 |
对数据包执行其他功能(例如递增计数器、记录有关数据包标头的信息、对数据包数据进行采样,或使用系统日志功能向远程主机发送信息),但会使用任何其他术语来检查数据包。 |
所有非确定操作都包括隐式接受操作。如果同一术语中未配置其他终止操作,将执行此接受操作。 请参阅 防火墙过滤器非确定操作。 |
流控制 |
仅对于标准防火墙过滤器,该 例如,当您使用非确定操作 |
您不能在同 每个标准防火墙过滤器配置最多支持 1024 注:
在 Junos OS Evolved 上, |