示例:嵌套对多个防火墙过滤器的引用
此示例说明如何配置对多个防火墙过滤器的嵌套引用。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将为可在多个防火墙过滤器之间共享的匹配条件和操作组合配置防火墙过滤器。然后配置引用第一个防火墙过滤器的两个防火墙过滤器。稍后,如果需要更改通用过滤条件,则只需修改一个共享防火墙过滤器配置。
拓扑学
防火墙过滤器会 common_filter 丢弃 UDP 源或目标端口字段编号 69为 的数据包。两个附加防火墙过滤器 filter1filter2和 都引用 common_filter。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
CLI 快速配置
要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common_filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common_filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
配置嵌套防火墙过滤器
分步过程
要配置两个共享一个公共过滤器的嵌套防火墙过滤器,请执行以下操作:
将 CLI 导航到配置 IPv4 防火墙过滤器的层次结构级别。
[edit] user@host# edit firewall family inet
配置将由多个其他筛选器引用的通用筛选器。
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
配置引用通用筛选器的筛选器。
[edit firewall family inet] user@host# set filter filter1 term term1 filter common_filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
配置引用通用筛选器的第二个筛选器。
[edit firewall family inet] user@host# set filter filter2 term term1 filter common_filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
将两个嵌套防火墙过滤器应用于接口
分步过程
要将两个嵌套防火墙过滤器应用于逻辑接口,请执行以下操作:
将第一个嵌套过滤器应用于逻辑接口输入。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
将第二个嵌套过滤器应用于逻辑接口输入。
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入
show firewall配置模式命令确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common_filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common_filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }通过输入
show interfaces配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }如果完成设备配置,请提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常, show firewall filter filter1 请输入和 show firewall filter filter2 操作模式命令。