示例:绕过防火墙过滤器
此示例介绍如何使用 service-filter-hit
匹配/操作组合配置多个过滤器,并包含以下部分:
开始之前
使用 service-filter-hit
匹配/操作组合时,请记住以下几点:
过滤器的应用顺序很重要。您可以通过为接口指定过滤器优先级值来确保处理过滤器的顺序。有关 动态过滤器处理 和语句使用
precedence
的详细信息,请参阅定义动态过滤器处理顺序。
过滤器旁路概述
数据包必须通过链中的每个过滤器。但是,如果创建过滤器链来处理不同类型的数据包(例如,语音、视频和数据包),则可以在层次结构级别上使用 service-filter-hit
匹配/操作组合 [edit firewall family family-name filter filter-name term term-name]
,简化过滤器进程,减少链中每个过滤器的数据包处理量,从而有效地绕过不必要的过滤器。
图 1 显示了通过由三个过滤器(语音、视频和数据)组成(语音、视频和数据)的逻辑处理流程,这些过滤器仅需要对特定数据类型进行处理。此配置示例显示了入口过滤器流。虽然链中的后续入口过滤器可以检测是否 service-filter-hit
设置了操作,但出口过滤器则不会。要绕过出口过滤器,还必须在这些过滤器上配置 service-filter-hit
匹配/操作组合。
配置过滤器旁路
CLI 快速配置
要快速配置此示例:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
配置语音过滤器
逐步过程
要为 图 1 中的逻辑流配置语音过滤器,
配置过滤器以应用有保证的转发类,并设置
service-filter-hit
来自特定地址和端口范围(预期语音流量)的流量的操作。[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
配置过滤器默认操作,以从任何其他地址或端口范围传递(接受)数据包流量。
[edit] set firewall filter voice term default then accept
配置视频过滤器
逐步过程
要为 图 1 中的逻辑流配置视频过滤器:
配置过滤器以传递(接受)由操作标记的
service-filter-hit
传入数据包。[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
配置过滤器以应用视频监管器,并针对来自特定地址(预期通过哪些视频流量)的流量设置
service-filter-hit
操作。[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
配置过滤器默认操作,以从任何其他地址或端口范围传递(接受)数据包流量。
[edit] set firewall filter video term default then accept
配置数据过滤器
逐步过程
要为 图 1 中的逻辑流配置数据过滤器:
配置过滤器以传递(接受)由操作标记的
service-filter-hit
传入数据包。[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
配置过滤器以应用数据监管器,并设置
service-filter-hit
来自特定地址(预期视频流量)的流量的操作。[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
结果
显示配置结果:
[edit firewall] user@host# show filter voice { term T1 { from { address { 203.0.113.11/32; } source-port 5004-5005; } then { forwarding-class assured-forwarding; service-filter-hit; accept; } } term default { then accept; } } filter video { term T1 { from { service-filter-hit; } then accept; } term T2 { from { source-address { 203.0.113.100/32; } } then { policer video_policer; service-filter-hit; accept; } } term default { then accept; } } filter data { term T1 { from { service-filter-hit; } then accept; } term T2 { then { policer data_policer; service-filter-hit; accept; } } }