Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

路由策略和防火墙过滤器的比较

尽管路由策略和防火墙过滤器共享一个架构,但它们的用途、实施和配置是不同的。 表 1 描述了它们的目的。 表 2 比较路由策略和防火墙过滤器的实施详细信息,突出显示其配置的异同。

表 1: 路由策略和防火墙过滤器的用途

策略

原文

策略目的

路由策略

路由信息由内部网络对等方生成。

控制路由表的大小和内容、播发哪些路由以及哪些路由被认为是到达各个目标的最佳选择。

防火墙过滤器

数据包由内部和外部设备生成,通过这些设备可以进行恶意攻击。

保护您的路由器和网络免受过多的传入流量或可能中断网络服务的恶意攻击,并控制从哪些路由器接口转发哪些数据包。
表 2: 路由策略和防火墙过滤器之间的实施差异

策略架构

路由策略实施

防火墙过滤器实施

控制点

使用导入路由策略控制放置在路由表中并使用导出路由策略从路由表播发的路由信息。

控制在具有输入防火墙过滤器的路由器接口上接受的数据包,以及从具有输出防火墙过滤器的接口转发的数据包。

配置任务:

  • 定义策略

  • 应用策略

定义包含术语、匹配条件和操作的策略。

将一个或多个导出或导入策略应用于路由协议。您还可以应用策略表达式,该表达式将布尔逻辑运算符与多个导入或导出 策略配合使用。

您还可以将一个或多个导出策略应用于转发表。

定义包含术语、匹配条件和操作的策略。

将一个输入或输出防火墙过滤器应用于物理接口或物理接口组,以过滤由物理接口接收或转发到物理接口的数据包(仅在具有互联网处理器 II 应用专用集成电路 [ASIC] 的路由平台上)。

您还可以将一个输入或输出防火墙过滤器应用于路由平台的环路接口,即路由引擎的接口(在所有路由平台上)。这允许您过滤路由引擎接收或转发的本地数据包。

条款

根据需要配置任意数量的术语。为每个术语定义一个名称。

术语将按照您指定的顺序进行评估。

在数据包与术语中的条件匹配并执行定义或默认策略操作(接受或拒绝)后,策略评估结束。不会根据同一策略或后续策略中的后续术语评估路由。

根据需要配置任意数量的术语。为每个术语定义一个名称。

术语将按照您指定的顺序进行评估。

在数据包与术语中的条件匹配并执行定义的或默认操作后,防火墙过滤器的评估结束。不会根据防火墙过滤器中的后续术语评估数据包。

匹配条件

指定路由必须匹配的零个或多个条件。您可以根据路由的源、目标或属性指定条件。您还可以指定以下需要更多配置的匹配条件:

  • 自治系统 (AS) 路径表达式 — AS 编号和正则表达式运算符的组合。

  • 社区 - 共享公共属性的一组目标。

  • 前缀列表 - 前缀的命名列表。

  • 路由列表 - 目标前缀列表。

  • 子例程 — 从其他路由策略重复调用的路由策略。

指定数据包必须匹配的零个或多个条件。您必须匹配数据包标头中的各个字段。这些字段分为以下类别:

  • 数值,例如端口号和协议号。

  • 前缀值,例如 IP 源和目标前缀。

  • 位字段值 — 是否设置字段中的特定位,例如 IP 选项、传输控制协议 (TCP) 标志和 IP 分段字段。您可以使用布尔逻辑运算符指定字段。

操作

指定在路由符合所有条件时要执行的零个或一个操作。您可以指定以下操作:

  • 接受 — 接受路由进入路由表并传播它。采取此操作后,对后续条款和策略的评估将结束。

  • 拒绝 - 不接受路由进入路由表,也不传播它。采取此操作后,对后续条款和策略的评估将结束。

除了上述操作外,您还可以指定以下零种或多种类型的操作:

  • 下一个术语 — 评估路由策略中的下一个术语。

  • 下一个策略 — 评估下一个路由策略。

  • 操作与路由关联的特征的操作,因为路由协议将其放置在路由表中或从路由表中播发它。

  • 跟踪操作,用于记录路由匹配项。

指定在数据包符合所有条件时要执行的零个或一个操作。(我们建议您始终显式配置操作。您可以指定以下操作:

  • 接受 — 接受数据包。

  • 丢弃 — 以静默方式丢弃数据包,而不发送 ICMP 消息。

  • 拒绝 — 丢弃数据包,并发送 ICMP 目标无法访问消息。

  • 路由实例 — 指定数据包转发到的路由表。

  • 下一个术语 — 在防火墙过滤器中评估下一个术语。

    注:

    在 Junos OS 演化版上, 不能显示为操作的最后一个术语。next term 不支持指定为操作但未配置任何匹配条件的筛选词 。next term

除了零个或前面的操作之外,还可以指定零个或多个操作修饰符。您可以指定以下动作修饰符:

  • 计数 — 将数据包添加到计数总数。

  • 转发类 — 将数据包转发类设置为 0 到 3 之间的指定值。

  • IPsec 安全关联 — 与源地址和目标地址匹配条件配合使用时,为数据包指定 IP 安全 (IPsec) 安全关联 (SA)。

  • 日志 — 将数据包的标头信息存储在路由引擎上。

  • 丢包优先级 — 将丢包优先级 (PLP) 位设置为指定值 0 或 1。

  • 监管器 — 对流量应用速率限制程序。

  • 采样 — 对数据包流量进行采样。

  • 系统日志 — 记录数据包的警报。

默认策略和操作

如果传入或传出路由到达,并且未显式配置与路由相关的策略,则会为关联的路由协议执行默认策略指定的操作。

路由策略存在以下默认操作:

  • 如果策略未指定匹配条件,则根据策略评估的所有路由都匹配。

  • 如果发生匹配,但策略未指定接受、拒绝、下一期限或下一个策略操作,则会发生以下情况之一:

    • 评估下一个术语(如果存在)。

    • 如果不存在其他术语,则评估下一个策略。

    • 如果不存在其他策略,则执行默认策略指定的操作。

  • 如果策略中的术语未发生匹配,并且存在同一策略中的后续术语,则会评估下一个术语。

  • 如果未与策略中的任何术语发生匹配,并且存在后续策略,则会评估下一个策略。

  • 如果在策略结束时未发生匹配,并且不存在其他策略,则会执行默认策略指定的接受或拒绝操作。

如果传入或传出数据包到达接口,并且未为接口配置防火墙过滤器,则采用默认策略(接受数据包)。

防火墙过滤器存在以下默认操作:

  • 如果防火墙过滤器未指定匹配条件,则所有数据包都被视为匹配。

  • 如果发生匹配,但防火墙过滤器未指定操作,则接受数据包。

  • 如果发生匹配,则会执行定义或默认操作,评估结束。除非指定了 操作,否则不会评估防火墙过滤器中的后续术语。next term

    注:

    在 Junos OS 演化版上, 不能显示为操作的最后一个术语。next term 不支持指定为操作但未配置任何匹配条件的筛选词 。next term

  • 如果防火墙过滤器中的术语不匹配,并且同一过滤器中的后续术语存在匹配,则评估下一个术语。

  • 如果在防火墙过滤器结束时未发生匹配,则数据包将被丢弃。

相关主题