Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

路由策略和防火墙过滤器的比较

尽管路由策略和防火墙过滤器共享架构,但其用途、实施和配置也各不相同。表 1介绍了它们的用途。表 2比较路由策略和防火墙过滤器的实施详细信息,突出显示其配置中的相似性和差异。

表 1: 路由策略和防火墙过滤器的用途

策略

资料来源

策略用途

路由策略

路由信息由内部网络对等方生成。

控制路由表的大小和内容、通告哪些路由,以及哪些路由被认为最适合到达不同目标。

防火墙过滤器

数据包由内部和外部设备生成,恶意攻击可防范。

为了防止您的路由器和网络遭受过多的传入流量或恶意攻击,从而中断网络服务,以及控制从哪个路由器接口转发哪些数据包。

表 2: 路由策略和防火墙过滤器之间的实施差异

策略架构

路由策略实施

防火墙过滤器实施

控制点

使用导出路由策略,控制放置在路由表中的路由信息,并从路由表中通告。

使用输入防火墙过滤器控制在路由器接口上接受的数据包,并通过输出防火墙过滤器从接口转发。

配置任务:

  • 定义策略

  • 应用策略

定义包含术语、匹配条件和操作的策略。

将一个或多个导出或导入策略应用于路由协议。您也可以应用策略表达式,将布尔逻辑运算符用于多个导入或导出策略。

您也可将一个或多个出口策略应用于转发表。

定义包含术语、匹配条件和操作的策略。

将一个输入或输出防火墙过滤器应用于物理接口或物理接口组,以过滤由或转发至物理接口的数据包(在带有互联网处理器 II 的特定于应用程序的集成电路的路由平台上) [ASIC]。

您还可以将一个输入或输出防火墙过滤器应用于路由平台的环路接口,即路由平台的路由引擎(在所有路由平台上)。这允许您过滤从路由引擎接收或转发的本地数据包。

搜索

根据需要配置多个术语。定义每个术语的名称。

术语按您指定的顺序进行评估。

策略的评估将在数据包符合某一术语中的标准之后结束,并且接受或拒绝的定义或默认策略操作将被采用。该路由不会根据相同策略或后续策略中的后续术语进行评估。

根据需要配置多个术语。定义每个术语的名称。

术语按您指定的顺序进行评估。

对防火墙过滤器的评估将在数据包符合某个术语中的标准之后结束,并采取了定义的或默认的操作。数据包不会根据防火墙过滤器中的后续术语进行评估。

匹配条件

指定路由必须匹配的零个或多个条件。您可根据路由的来源、目标或属性指定标准。您还可以指定以下需要更多配置的匹配条件:

  • 自治系统 (AS) 路径表达式 — 组AS和正则表达式运算符的组合。

  • 公共组 — 共享公共属性的一组目标。

  • 前缀列表 — 前缀命名列表。

  • 路由列表 — 目标前缀列表。

  • 子路由 - 从其他路由策略反复调用的路由策略。

指定数据包必须匹配的零个或多个条件。您必须匹配数据包标头中各个字段。这些字段分为以下类别:

  • 数字值,例如端口和协议号。

  • 前缀值,例如 IP 源和目标前缀。

  • 位字段值 - 无论字段中的特定位设置,如 IP 选项、传输控制协议 (TCP) 标记和 IP 分片字段。您可以使用布尔逻辑运算符指定字段。

操作

指定在路由符合所有标准时要执行的零个或一项操作。您可以指定以下操作:

  • 接受 — 接受路由并传播到路由表中。采取此行动后,对后续条款和策略的评估将终止。

  • 拒绝 - 不接受路由到路由表中,也不传播。采取此行动后,对后续条款和策略的评估将终止。

除了上述操作之外,您还可以指定以下零个或多个操作类型:

  • 下一个术语 — 评估路由策略中的下一个术语。

  • 下一个策略 — 评估下一个路由策略。

  • 在路由协议中操作与路由相关的特征的操作会将其放在路由表中或从路由表中通告。

  • 跟踪操作,用于记录路由匹配。

指定在数据包符合所有标准时要执行的零个或一项操作。(我们建议您始终显式配置一个操作。)您可以指定以下操作:

  • 接受 — 接受数据包。

  • 丢弃 — 无提示丢弃数据包,而不发送 ICMP 消息。

  • 拒绝 — 丢弃数据包,并发送一条无法到达的 ICMP 目标消息。

  • 路由实例 — 指定将数据包转发至哪个路由表。

  • 下一个术语 — 评估防火墙过滤器中的下一个术语。

    注:

    在 Junos OS 演变时next term ,不能显示为操作的最后一项。指定为操作但next term不支持任何未配置任何匹配条件的过滤器术语。

除了零或上述操作之外,您还可以指定零个或更多个操作修饰符。您可以指定以下操作修饰符:

  • 计数 — 将数据包添加至计数总和。

  • 转发类 — 将数据包转发类设置为从 0 到 3 的指定值。

  • IPsec 安全关联 — 与源地址和目标地址匹配条件一起使用,为数据包指定 IP 安全 (IPsec) 安全关联 (SA)。

  • 日志 — 将数据包的标头信息存储在 路由引擎。

  • 丢失优先级 — 将数据包丢失优先级 (PLP) 位设置为指定值 0 或 1。

  • 策略程序 - 对信息流应用速率限制程序。

  • 示例 - 对数据包信息流进行采样。

  • 系统日志 — 记录数据包警报。

默认策略和操作

如果传入或传出路由到达,并且未显式配置与路由相关的策略,则会采取由关联路由协议的默认策略指定的操作。

路由策略存在以下默认操作:

  • 如果策略未指定匹配条件,则根据策略匹配评估所有路由。

  • 如果发生匹配但策略未指定 "接受"、"拒绝"、"下一术语" 或 "下一策略" 操作,则会发生以下情况之一:

    • 下一期(如果存在)将被计算。

    • 如果不存在其他术语,则评估下一个策略。

    • 如果不存在其他策略,则采用默认策略指定的操作。

  • 如果在策略中未出现匹配项,并且存在相同策略中的后续条款,则将评估下一术语。

  • 如果策略中的任何条款未发生匹配,并且后续策略存在,则会评估下一个策略。

  • 如果策略结束时未出现匹配项,并且不存在其他策略,则采用默认策略指定的接受或拒绝操作。

如果传入或传出数据包到达接口,并且没有为接口配置防火墙过滤器,将采用默认策略(接受数据包)。

防火墙过滤器存在以下默认操作:

  • 如果防火墙过滤器未指定匹配条件,则所有数据包都将被视为匹配。

  • 如果出现匹配项但防火墙过滤器未指定操作,则接受数据包。

  • 如果发生匹配,则执行已定义或默认操作,并且评估结束。除非指定了该next term操作,否则不会评估防火墙过滤器中的后续术语。

    注:

    在 Junos OS 演变时next term ,不能显示为操作的最后一项。指定为操作但next term不支持任何未配置任何匹配条件的过滤器术语。

  • 如果在防火墙过滤器中未出现匹配项,并且存在相同筛选器中的后续术语,则将评估下一术语。

  • 如果防火墙过滤器结束时未发生匹配,则数据包将被丢弃。