经典过滤器概述

经典过滤器类型

支持以下经典筛选器类型：

• 端口（第 2 层） 防火墙过滤器 — 端口防火墙过滤器适用于第 2 层交换机端口。您只能在物理端口上的入口方向应用端口防火墙过滤器。

• VLAN 防火墙过滤器 — VLAN 防火墙过滤器为进入 VLAN、在 VLAN 内桥接和离开 VLAN 的数据包提供访问控制。您可以在 VLAN 的入口和出口方向应用 VLAN 防火墙过滤器。VLAN 防火墙过滤器适用于转发到 VLAN 或从 VLAN 转发的所有数据包。

• 路由器（第 3 层）防火墙过滤器 — 您可以在第 3 层（路由）接口上的入口和出口方向应用路由器防火墙过滤器。

经典过滤器组件

创建经典过滤器时，首先定义家族地址类型 （inet 或 inet6），然后定义一个或多个术语，用于指定过滤条件和发生匹配时要执行的操作。

每个术语或规则都由以下组件组成：

• 匹配条件 — 指定数据包必须包含的值或字段。您可以定义各种匹配条件，包括：

  • IP 源地址字段

  • IP 目标地址字段

  • 传输控制协议 （TCP） 或用户数据报协议 （UDP） 源端口字段

  • IP 协议字段

  • 互联网控制消息协议 （ICMP） 数据包类型

  • TCP 标志

  • 接口

• 操作 - 指定发生匹配条件时要执行的操作。可能的操作是接受或丢弃数据包。此外，可以对数据包进行计数以收集统计信息。如果未为术语指定操作，则默认操作是接受数据包。

• 订阅者管理防火墙过滤器 – 指定动态应用于订阅者接口的静态过滤器（从 Junos OS 演化版 24.2R1 开始，附加过滤器，支持 ACX7100-48L、ACX7332 和 ACX7348 设备）

• 转发类，
• 损失优先级，
• 数据包长度，
• DSCP，
• 流量类

经典过滤器处理

经典筛选器中术语的顺序很重要。按照术语在防火墙过滤器配置中列出的顺序，针对每个术语测试数据包。当防火墙过滤器包含多个术语时，路由器将采用自上而下的方法，并将数据包与防火墙过滤器中的第一个术语进行比较。如果数据包与第一个术语匹配，路由器将执行该术语定义的操作以接受或拒绝数据包，并且不会评估其他术语。如果路由器在数据包和第一个术语之间找不到匹配项，则会使用相同的匹配过程在防火墙过滤器中将数据包与下一个术语进行比较。如果数据包与第二个术语之间没有匹配项，路由器将继续将数据包与防火墙过滤器中定义的每个连续术语进行比较，直到找到匹配项。如果数据包与防火墙过滤器中的任何术语都不匹配，则默认操作是丢弃该数据包。

您还可以为动态配置文件中的输入和输出筛选器指定优先级（从 0 到 255），以强制按特定顺序处理筛选器。为过滤器设置较低的优先级值可使其在动态配置文件中的优先级较高。优先级值较低的过滤器先于优先级值较高的过滤器应用于接口。优先级为零（默认值）将为筛选器提供最高优先级。如果未指定优先级，筛选器的优先级为零（最高优先级）。具有匹配优先级（零或其他）的筛选器按随机顺序应用。

为订阅者接口创建和应用经典过滤器的准则

支持动态配置防火墙过滤器。但是，您也可以像往常一样继续为接口创建静态防火墙过滤器，然后使用动态配置文件将这些过滤器动态应用于静态创建的接口。您还可以使用动态配置文件通过 RADIUS 附加输入和输出过滤器。

创建和应用筛选器时，请记住以下几点：

• 仅支持动态应用输入和输出筛选器。

• 筛选器必须是特定于接口的。

• 您可以创建特定于系列的 inet 筛选器 inet6 。

• 您可以在适用于接口上配置的任何系列类型（inet 或 inet6）的级别创建unit特定于接口的过滤器。

• 您可以添加或删除具有相同服务激活或停用的 IPv4 和 IPv6 筛选器。

• 您可以删除一种筛选器类型，而不会影响另一种类型的筛选器。例如，您可以删除 IPv6 过滤器并使当前 IPv4 过滤器保持活动状态。

• 您最多可以将五个输入过滤器和四个输出过滤器链接在一起。

• 如果未配置和应用过滤器，接口将使用默认的组过滤器配置。

• 当绑定同一逻辑接口上的订阅者时，您无法修改或删除防火墙过滤器。