经典过滤器概述

经典过滤器类型

支持以下经典筛选器类型：

• 端口（第 2 层） 防火墙过滤器 — 端口防火墙过滤器应用于第 2 层交换机端口。您只能在物理端口上的入口方向上应用端口防火墙过滤器。

• VLAN 防火墙过滤器 — VLAN 防火墙过滤器为进入 VLAN、在 VLAN 内桥接和离开 VLAN 的数据包提供访问控制。您可以在 VLAN 上的入口和出口方向上应用 VLAN 防火墙过滤器。VLAN 防火墙过滤器应用于转发至 VLAN 或从 VLAN 转发的所有数据包。

• 路由器（第 3 层）防火墙过滤器 — 您可以在第 3 层（路由）接口上的入口和出口方向上应用路由器防火墙过滤器。

经典滤波器组件

创建经典筛选器时，首先定义族地址类型（inetinet6或 ），然后定义一个或多个术语，用于指定筛选条件以及发生匹配时要执行的作。

每个术语或规则都由以下组件组成：

• 匹配条件 — 指定数据包必须包含的值或字段。您可以定义各种匹配条件，包括：

  • IP 源地址字段

  • IP 目标地址字段

  • 传输控制协议 （TCP） 或用户数据报协议 （UDP） 源端口字段

  • IP 协议字段

  • 互联网控制信息协议 （ICMP） 数据包类型

  • TCP 标志

  • 接口

  匹配条件 （Junos OS 演化版） — 指定数据包必须包含的值或字段。您可以定义各种匹配条件，包括：

  • 目标前缀列表

  • 源前缀列表

  • 转发类-except

  • 目标地址

  • 目标端口

  • 源端口

  • 协议

• 作 — 指定发生匹配条件时要执行的作。可能的作是接受或丢弃数据包。此外，还可以对数据包进行计数以收集统计信息。如果未为某个术语指定任何作，则默认作是接受数据包。

  作 （Junos OS 演化版） - accept、count、discard、enhanced-hierarchical-policer、forwarding-class、sample、skip（仅用于丢弃数据包的服务过滤器）、service（仅用于服务过滤器）。

• 订阅者管理防火墙过滤器 – 指定动态应用于订阅者接口的静态过滤器（从 Junos OS 演化版 24.2R1 开始，支持 ACX7100-48L、ACX7332 和 ACX7348 设备的其他过滤器）

• 转发类
• 丢失优先级
• 数据包长度
• DSCP
• 信息流类

经典滤波器处理

经典筛选器中术语的顺序很重要。按照防火墙过滤器配置中列出的顺序，根据每个术语测试数据包。当防火墙过滤器包含多个术语时，路由器会采用自上而下的方法，将数据包与防火墙过滤器中的第一个术语进行比较。如果数据包与第一个术语匹配，路由器将执行该术语定义的作来接受或拒绝数据包，并且不会评估其他术语。如果路由器在数据包和第一个术语之间找不到匹配项，则会使用相同的匹配过程将数据包与防火墙过滤器中的下一个术语进行比较。如果数据包与第二个术语之间没有匹配，路由器将继续将数据包与防火墙过滤器中定义的每个连续术语进行比较，直到找到匹配项。如果数据包与防火墙过滤器中的任何术语都不匹配，则默认作是丢弃该数据包。

您还可以为动态配置文件中的输入和输出过滤器指定优先级（从 0 到 255），以强制按特定顺序进行过滤器处理。为过滤器设置较低的优先级值可使其在动态配置文件中具有更高的优先级。优先级值较低的过滤器将应用于优先级值较高的过滤器之前的接口。优先级为零（默认值）为过滤器提供最高优先级。如果未指定优先级，则筛选器接收的优先级为零（最高优先级）。具有匹配优先级（零或其他）的过滤器将以随机顺序应用。

为用户接口创建和应用经典过滤器的准则

支持动态配置防火墙过滤器。但是，您也可以像往常一样继续为接口创建静态防火墙过滤器，然后使用动态配置文件将这些过滤器动态应用到静态创建的接口。您还可以使用动态配置文件通过 RADIUS 附加输入和输出过滤器。

创建和应用筛选器时，请记住以下几点：

• 仅支持动态应用输入和输出过滤器。

• 过滤器必须特定于接口。

• 您可以创建特定于家族的 inet 过滤器 inet6 。

• 您可以在应用于接口上配置的任何族类型（inet或 inet6）的级别上unit创建特定于接口的过滤器。

• 您可以使用相同的服务激活或停用来添加或删除 IPv4 和 IPv6 过滤器。

• 您可以移除一种过滤器类型，而不会影响另一种类型的过滤器。例如，您可以移除 IPv6 过滤器，让当前的 IPv4 过滤器保持活动状态。

• 您最多可以将五个输入滤波器和四个输出滤波器链接在一起。

• 如果未配置和应用过滤器，则接口将使用默认的组过滤器配置。

• 同一逻辑接口上的订阅者受到绑定时，您无法修改或删除防火墙过滤器。