Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

路由策略与防火墙过滤器的比较

尽管路由策略和防火墙过滤器共用一个架构,但它们的用途、实施和配置却有所不同。 表 1 描述了它们的用途。 表 2 比较了路由策略和防火墙过滤器的实施细节,重点介绍了它们配置中的异同。

表 1:路由策略和防火墙过滤器的用途

政策

原文

策略目的

路由策略

路由信息由内部网络对等方生成。

控制路由表的大小和内容,播发哪些路由,以及哪些路由被认为是到达各个目标的最佳选择。

防火墙过滤器

内部和外部设备会生成数据包,通过这些设备可以实施恶意攻击。

保护您的路由器和网络免受可能中断网络服务的过多传入流量或恶意攻击,并控制从哪些路由器接口转发哪些数据包。
表 2:路由策略和防火墙过滤器之间的实施差异

策略架构

路由策略实施

防火墙过滤器实施

控制点

控制使用导入路由策略放置在路由表中并使用导出路由策略从路由表播发的路由信息。

控制使用输入防火墙过滤器在路由器接口上接受的数据包,以及从具有输出防火墙过滤器的接口转发的数据包。

配置任务:

  • 定义策略

  • 应用策略

定义包含条款、匹配条件和操作的策略。

将一个或多个导出或导入策略应用于路由协议。您还可以应用 策略表达式,该表达式使用具有多个导入或导出策略的布尔逻辑运算符。

您还可以将一个或多个导出策略应用于转发表。

定义包含条款、匹配条件和操作的策略。

将一个输入或输出防火墙过滤器应用于物理接口或物理接口组,以过滤物理接口接收或转发到物理接口的数据包(仅限在具有互联网处理器 II 应用特定集成电路 [ASIC] 的路由平台上)。

您还可以将一个输入或输出防火墙过滤器应用于路由平台的环路接口,该接口是路由引擎的接口(在所有路由平台上)。这样可以过滤路由引擎接收或转发的本地数据包。

条款

根据需要配置任意数量的术语。为每个术语定义一个名称。

按您指定的顺序评估术语。

当数据包与术语中的条件匹配,并且执行定义或默认策略操作(接受或拒绝)后,策略评估将结束。不会根据同一或后续策略中的后续条款对路由进行评估。

根据需要配置任意数量的术语。为每个术语定义一个名称。

按您指定的顺序评估术语。

当数据包与术语中的条件匹配并执行定义或默认操作后,防火墙过滤器的评估将结束。不会根据防火墙过滤器中的后续条款评估数据包。

匹配条件

指定路由必须匹配的零个或多个条件。您可以根据路由的源、目标或属性指定条件。您还可以指定以下匹配条件,这些条件需要进行更多配置:

  • 自治系统 (AS) 路径表达式 — AS 编号和正则表达式运算符的组合。

  • 社区 - 共享公共属性的一组目标。

  • 前缀列表 - 前缀的命名列表。

  • 路由列表 — 目标前缀列表。

  • 子例程 — 从其他路由策略重复调用的路由策略。

指定数据包必须匹配的零个或多个条件。您必须匹配数据包标头中的各个字段。这些字段分为以下几类:

  • 数值,例如端口号和协议号。

  • 前缀值,例如 IP 源和目标前缀。

  • 位字段值 — 是否设置了字段中的特定位,例如 IP 选项、传输控制协议 (TCP) 标志和 IP 分段字段。您可以使用布尔逻辑运算符指定字段。

操作

指定如果路由符合所有条件要执行的零个或一个操作。您可以指定以下操作:

  • 接受 (Accept) - 接受路由到路由表中,并将其传播。采取此操作后,对后续条款和策略的评估结束。

  • 拒绝 (Reject) - 不接受路由进入路由表,也不要将其传播。采取此操作后,对后续条款和策略的评估结束。

除了上述操作外,您还可以指定以下零个或多个类型的操作:

  • Next term — 评估路由策略中的下一个术语。

  • 下一个策略 — 评估下一个路由策略。

  • 在路由协议中操作与路由关联的特征的操作会将路由放置在路由表中或从路由表中通告。

  • 跟踪操作,记录路由匹配。

指定如果数据包符合所有条件,要执行的零个或一个操作。(建议始终显式配置操作。您可以指定以下操作:

  • Accept — 接受数据包。

  • 丢弃 — 以静默方式丢弃数据包,而不发送 ICMP 消息。

  • 拒绝 — 丢弃数据包,并发送 ICMP 目标不可达消息。

  • 路由实例 — 指定数据包转发到的路由表。

  • Next term — 评估防火墙过滤器中的下一个术语。

    注意:

    在 Junos OS 演化版上, next term 不能显示为操作的最后一个术语。不支持指定为操作但未配置任何匹配条件的 next term 过滤器术语。

除了零个或前面的操作外,还可以指定零个或多个操作修饰符。您可以指定以下操作修饰符:

  • 计数 — 将数据包添加到计数总数中。

  • 转发类 — 将数据包转发类设置为 0 到 3 之间的 指定值。

  • IPsec 安全关联 — 与源地址和目标地址匹配条件配合使用,为数据包指定 IP 安全性 (IPsec) 安全关联 (SA)。

  • 日志 — 将数据包的标头信息存储在路由引擎上。

  • 丢包优先级 — 将丢包优先级 (PLP) 位设置为指定值 0 或 1。

  • 监管器 — 对流量应用速率限制过程。

  • 示例 — 对数据包流量进行采样。

  • 系统日志 — 记录数据包的告警。

默认策略和操作

如果传入或传出路由到达,且未显式配置与路由相关的策略,则将执行由关联路由协议的默认策略指定的操作。

路由策略存在以下默认操作:

  • 如果策略未指定匹配条件,则根据该策略评估的所有路由都匹配。

  • 如果发生匹配,但策略未指定接受、拒绝、下一个术语或下一个策略操作,则会发生以下情况之一:

    • 评估下一个术语(如果存在)。

    • 如果不存在其他术语,则评估下一个策略。

    • 如果不存在其他策略,则执行默认策略指定的操作。

  • 如果策略中的某个术语未匹配,并且同一策略中的后续术语存在,则评估下一个术语。

  • 如果策略中的任何术语未匹配,并且存在后续策略,则评估下一个策略。

  • 如果在策略结束时未发生匹配且不存在其他策略,则执行默认策略指定的接受或拒绝操作。

如果传入或传出数据包到达某个接口,且未为该接口配置防火墙过滤器,则采用默认策略(接受数据包)。

防火墙过滤器存在以下默认操作:

  • 如果防火墙过滤器未指定匹配条件,则所有数据包都被视为匹配。

  • 如果发生匹配,但防火墙过滤器未指定操作,则接受数据包。

  • 如果发生匹配,将执行定义的或默认操作,并结束评估。除非指定了操作,否则 next term 不会评估防火墙过滤器中的后续术语。

    注意:

    在 Junos OS 演化版上, next term 不能显示为操作的最后一个术语。不支持指定为操作但未配置任何匹配条件的 next term 过滤器术语。

  • 如果防火墙过滤器中的某个术语未匹配,并且同一过滤器中的后续术语存在,则评估下一个术语。

  • 如果在防火墙过滤器结束时未发生匹配,则丢弃数据包。

相关文档