经典过滤器概述

经典过滤器类型

支持以下经典过滤器类型：

• 端口（第 2 层） 防火墙过滤器 — 端口防火墙过滤器适用于第 2 层交换机端口。您只能在物理端口上的入口方向应用端口防火墙过滤器。

• VLAN 防火墙过滤器 — VLAN 防火墙过滤器为进入 VLAN、在 VLAN 内桥接并离开 VLAN 的数据包提供访问控制。您可以在 VLAN 的入口和出口方向上应用 VLAN 防火墙过滤器。VLAN 防火墙过滤器适用于转发至 VLAN 或从 VLAN 转发的所有数据包。

• 路由器（第 3 层）防火墙过滤器 — 您可以在第 3 层（路由）接口上的入口和出口方向应用路由器防火墙过滤器。

经典过滤器组件

创建经典过滤器时，首先定义家族地址类型 （inet 或 inet6），然后定义一个或多个术语，用于指定过滤标准和发生匹配时采取的操作。

每个术语或规则都包含以下组件：

• 匹配条件 — 指定数据包必须包含的值或字段。您可以定义各种匹配条件，包括：

  • IP 源地址字段

  • IP 目标地址字段

  • 传输控制协议 （TCP） 或用户数据报协议 （UDP） 源端口字段

  • IP 协议字段

  • 互联网控制消息协议 （ICMP） 数据包类型

  • TCP 标志

  • 接口

• 操作 — 指定发生匹配条件时的操作。可能采取的措施是接受或丢弃数据包。此外，数据包可以计数以收集统计信息。如果未为某个术语指定任何操作，则默认操作是接受数据包。

经典过滤器处理

经典过滤器中的术语顺序很重要。将根据每个术语在防火墙过滤器配置中列出顺序测试数据包。当防火墙过滤器包含多个术语时，路由器会采用自上而下的方法，并将数据包与防火墙过滤器中的第一个术语进行比较。如果数据包与第一个术语匹配，路由器将执行该术语定义的操作以接受或拒绝数据包，并且不会评估其他术语。如果路由器未在数据包和第一个术语之间找到匹配项，则会使用相同的匹配进程将数据包与防火墙过滤器中的下一个术语进行比较。如果数据包和第二个术语之间未发生匹配，路由器会继续将数据包与防火墙过滤器中定义的每个连续术语进行比较，直到找到匹配项。如果数据包与防火墙过滤器中的任何条款不匹配，则默认操作是丢弃数据包。

您还可以在动态配置文件中为输入和输出过滤器指定优先级（从 0 到 255），以强制按特定顺序处理过滤器。为过滤器设置较低的优先级值会使其在动态配置文件中具有较高的优先级。优先级值较低的过滤器先于优先级值较高的过滤器应用于接口。零的优先级（默认）赋予过滤器最高优先级。如果未指定优先级，则过滤器接收的优先级为零（最高优先级）。具有匹配优先级（零或其他）的过滤器将按随机顺序应用。

为用户接口创建和应用经典过滤器的准则

支持防火墙过滤器的动态配置。但是，您也可以像往常一样继续为接口创建静态防火墙过滤器，然后使用动态配置文件将这些过滤器动态应用于静态创建的接口。您还可以使用动态配置文件通过 RADIUS 连接输入和输出过滤器。

创建和应用过滤器时，请记住以下几点：

• 仅支持动态应用输入和输出过滤器。

• 过滤器必须是特定于接口的。

• 您可以创建特定于 inet 家族的过滤器和 inet6 过滤器。

• 您可以在适用于接口上配置的任何家族类型（inet或inet6）的unit级别创建特定于接口的过滤器。

• 您可以使用相同的服务激活或停用来添加或删除 IPv4 和 IPv6 过滤器。

• 您可以移除一种过滤器类型，而不会影响另一种类型的过滤器。例如，您可以移除 IPv6 过滤器，使当前 IPv4 过滤器保持活动状态。

• 最多可将五个输入过滤器和四个输出过滤器链接在一起。

• 如果未配置和应用过滤器，接口将使用默认组过滤器配置。

• 当绑定同一逻辑接口上的订阅者时，您不能修改或删除防火墙过滤器。