示例:绕过防火墙过滤器
此示例介绍如何使用 service-filter-hit 匹配/操作组合配置多个过滤器,并包含以下部分:
开始之前
使用 service-filter-hit 匹配/操作组合时,请记住以下几点:
过滤器的应用顺序很重要。您可以通过为接口指定过滤器优先级值来确保处理过滤器的顺序。有关 动态过滤器处理 和语句使用
precedence的详细信息,请参阅定义动态过滤器处理顺序。
过滤器旁路概述
数据包必须通过链中的每个过滤器。但是,如果创建过滤器链来处理不同类型的数据包(例如,语音、视频和数据包),则可以在层次结构级别上使用 service-filter-hit 匹配/操作组合 [edit firewall family family-name filter filter-name term term-name] ,简化过滤器进程,减少链中每个过滤器的数据包处理量,从而有效地绕过不必要的过滤器。
图 1 显示了通过由三个过滤器(语音、视频和数据)组成(语音、视频和数据)的逻辑处理流程,这些过滤器仅需要对特定数据类型进行处理。此配置示例显示了入口过滤器流。虽然链中的后续入口过滤器可以检测是否 service-filter-hit 设置了操作,但出口过滤器则不会。要绕过出口过滤器,还必须在这些过滤器上配置 service-filter-hit 匹配/操作组合。
逻辑流示例
配置过滤器旁路
CLI 快速配置
要快速配置此示例:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
配置语音过滤器
逐步过程
要为 图 1 中的逻辑流配置语音过滤器,
配置过滤器以应用有保证的转发类,并设置
service-filter-hit来自特定地址和端口范围(预期语音流量)的流量的操作。[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
配置过滤器默认操作,以从任何其他地址或端口范围传递(接受)数据包流量。
[edit] set firewall filter voice term default then accept
配置视频过滤器
逐步过程
要为 图 1 中的逻辑流配置视频过滤器:
配置过滤器以传递(接受)由操作标记的
service-filter-hit传入数据包。[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
配置过滤器以应用视频监管器,并针对来自特定地址(预期通过哪些视频流量)的流量设置
service-filter-hit操作。[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
配置过滤器默认操作,以从任何其他地址或端口范围传递(接受)数据包流量。
[edit] set firewall filter video term default then accept
配置数据过滤器
逐步过程
要为 图 1 中的逻辑流配置数据过滤器:
配置过滤器以传递(接受)由操作标记的
service-filter-hit传入数据包。[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
配置过滤器以应用数据监管器,并设置
service-filter-hit来自特定地址(预期视频流量)的流量的操作。[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
结果
显示配置结果:
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}