Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

路由策略与防火墙过滤器的比较

虽然路由策略和防火墙过滤器共享一个架构,但其用途、实施和配置都是不同的。 表 1 介绍了它们的目的。 表 2 比较了路由策略和防火墙过滤器的实施详细信息,并突出了其配置上的相似性和差异。

表 1: 路由策略和防火墙过滤器的目的

策略

资料来源

策略目的

路由策略

路由信息由内部网络对等方生成。

控制路由表的大小和内容,播发哪些路由,哪些路由被认为是到达各种目标的最佳路径。

防火墙过滤器

数据包由内部和外部设备生成,可能会通过这些设备实施恶意攻击。

保护您的路由器和网络免受可能中断网络服务的过多传入流量或恶意攻击,并控制从哪个路由器接口转发哪些数据包。
表 2: 路由策略与防火墙过滤器之间的实施差异

策略架构

路由策略实施

防火墙过滤器实施

控制点

控制路由信息,使用导入路由策略放置在路由表中,并通过导出路由策略从路由表播发。

控制带有输入防火墙过滤器的路由器接口上接受且从带有输出防火墙过滤器的接口转发的数据包。

配置任务:

  • 定义策略

  • 应用策略

定义一个策略,其中包含条款、匹配条件和操作。

将一个或多个导出或导入策略应用于路由协议。您还可以应用 策略表达式,该表达式使用具有多个导入或导出策略的布尔逻辑运算符。

您还可以对转发表应用一个或多个导出策略。

定义一个策略,其中包含条款、匹配条件和操作。

将一个输入或输出防火墙过滤器应用于物理接口或物理接口组,以过滤由物理接口接收或转发到物理接口的数据包(仅在具有互联网处理器 II 应用专用集成电路 [ASIC] 的路由平台上)。

您还可以将一个输入或输出防火墙过滤器应用于路由平台的环路接口,该接口是路由引擎的接口(在所有路由平台上)。这样,您就可以过滤路由引擎接收或转发的本地数据包。

条款

根据需要配置多个术语。为每个术语定义一个名称。

按指定顺序评估术语。

在数据包与术语中的标准匹配并采取接受或拒绝的已定义或默认策略操作之后,策略评估将结束。路由不会根据相同策略或后续策略中的后续术语进行评估。

根据需要配置多个术语。为每个术语定义一个名称。

按指定顺序评估术语。

在数据包与术语中的标准匹配并采取已定义或默认操作之后,将结束对防火墙过滤器的评估。不会根据防火墙过滤器中的后续条件评估数据包。

匹配条件

指定路由必须匹配的零个或多个标准。您可以根据路由的源、目标或属性来指定标准。您还可以指定以下需要更多配置的匹配条件:

  • 自治系统 (AS) 路径表达式 — AS 编号和正则表达式运算符的组合。

  • 社区 — 一组共享公共财产的目的地。

  • 前缀列表 — 已命名的前缀列表。

  • 路由列表 — 目标前缀列表。

  • 子路由 — 从其他路由策略重复调用的路由策略。

指定数据包必须匹配的零个或多个标准。您必须匹配数据包标头中的各个字段。这些字段分为以下类别:

  • 数值,例如端口和协议编号。

  • 前缀值,例如 IP 源和目标前缀。

  • 位字段值 — 是否设置了字段中的特定位,例如 IP 选项、传输控制协议 (TCP) 标志和 IP 分片字段。您可以使用布尔逻辑运算符指定字段。

行动

指定如果路由匹配所有条件时要采取的零个或一个操作。您可以指定以下操作:

  • 接受 — 将路由接受到路由表中,并传播。执行此操作后,后续条款和政策的评估将结束。

  • 拒绝 — 不接受路由到路由表中,且不传播。执行此操作后,后续条款和政策的评估将结束。

除了上述操作外,您还可以指定以下操作类型的零个或多个:

  • 下一个学期 — 评估路由策略中的下一个术语。

  • 下一个策略 — 评估下一个路由策略。

  • 当路由协议将路由置于路由表中或从路由表中播发路由时,对与路由相关的特征进行操作的操作。

  • 追踪操作,记录路由匹配项。

指定如果数据包符合所有条件时要采取的零个或一个操作。(建议始终显式配置操作。)您可以指定以下操作:

  • 接受 — 接受数据包。

  • 丢弃 — 以静默方式丢弃数据包,不发送 ICMP 消息。

  • 拒绝 — 丢弃数据包,然后发送 ICMP 目标无法访问的消息。

  • 路由实例 — 指定数据包转发至的路由表。

  • 下一个学期 — 评估防火墙过滤器的下一个学期。

    注:

    在 Junos OS Evolved 上, next term 不能显示为操作的最后期限。不支持指定为操作但未配置任何匹配条件的过滤器术语 next term

除了零个或之前的操作,您还可以指定零个或多个操作修改符。您可以指定以下操作修改符:

  • 计数 — 将数据包添加到计数总数中。

  • 转发类 — 将数据包转发类设置为 0 到 3 的指定值。

  • IPsec 安全关联 — 与源和目标地址匹配条件一起使用时,为数据包指定 IP 安全 (IPsec) 安全关联 (SA)。

  • 日志 — 将数据包的标头信息存储在路由引擎上。

  • 丢失优先级 — 将数据包丢失优先级 (PLP) 位设置为指定值 0 或 1。

  • 监管器 — 对流量应用速率限制程序。

  • 示例 — 对数据包流量进行抽样。

  • 系统日志 — 记录数据包的警报。

默认策略和操作

如果传入或传出路由到达,并且未显式配置与路由相关的策略,将执行由相关路由协议的默认策略指定的操作。

路由策略存在以下默认操作:

  • 如果策略未指定匹配条件,则根据策略匹配评估所有路由。

  • 如果发生匹配,但策略未指定接受、拒绝、下一期限或下一策略操作,将发生以下任一情况:

    • 如果存在,则评估下一个学期。

    • 如果没有其他条款,则评估下一个策略。

    • 如果没有其他策略,将执行默认策略指定的操作。

  • 如果与策略中的某个术语和同一策略中的后续条款未发生匹配,则评估下一个术语。

  • 如果策略中的任何条款未发生匹配,且存在后续策略,则评估下一个策略。

  • 如果在策略结束时未发生匹配,并且不存在其他策略,将采取默认策略指定的接受或拒绝操作。

如果传入或传出数据包到达接口上,并且未为该接口配置防火墙过滤器,则采用默认策略(接受数据包)。

防火墙过滤器存在以下默认操作:

  • 如果防火墙过滤器未指定匹配条件,则所有数据包均被视为匹配。

  • 如果发生匹配,但防火墙过滤器未指定操作,则数据包被接受。

  • 如果发生匹配,将采取定义的或默认操作并结束评估。除非指定操作,否则 next term 不会评估防火墙过滤器中的后续术语。

    注:

    在 Junos OS Evolved 上, next term 不能显示为操作的最后期限。不支持指定为操作但未配置任何匹配条件的过滤器术语 next term

  • 如果防火墙过滤器中的某个术语未发生匹配,而同一过滤器中的后续术语不存在匹配,则评估下一个术语。

  • 如果在防火墙过滤器结束时未发生匹配,则数据包将被丢弃。

相关主题