Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:绕过防火墙过滤器

此示例介绍如何使用 match/action 组合配置多个过滤器 service-filter-hit ,并包含以下部分:

开始之前

使用 service-filter-hit 匹配/操作组合时,请注意以下事项:

  • 过滤器的应用顺序非常重要。您可通过为接口指定过滤器优先级值,确保过滤器的处理顺序。有关 动态过滤器处理以及如何 使用语句的信息,请参阅 定义动态过滤器处理 precedence 顺序 。

过滤器旁路概述

数据包必须通过链的每个过滤器。但是,如果您创建过滤器链来处理不同类型的数据包(例如语音、视频和数据包),就可以精简过滤流程,减少链中每个过滤器的数据包处理量,从而有效绕过不必要的过滤器,在层次结构级别使用匹配/操作组合。 service-filter-hit [edit firewall family family-name filter filter-name term term-name]

图 1 显示了通过三个过滤器(语音、视频和数据)链的逻辑处理流,其中仅需要特定数据类型的处理。此配置示例显示入口过滤器流。虽然链中的后续入口过滤器可以检测是否设置操作, service-filter-hit 但出口过滤器不会。要绕过出口过滤器,还必须在这些过滤器上配置 service-filter-hit 匹配/操作组合。

图 1:过滤器旁路处理的逻辑流示例 Logical Flow Example for Filter Bypass Processing

配置过滤器旁路

CLI快速配置

要快速配置此示例:

配置语音过滤器

逐步过程

要配置图 1中逻辑流的语音过滤器:

  1. 配置过滤器以应用确定转发类,并设置来自特定地址和端口范围(希望通过该语音信息流)的流量 service-filter-hit 的操作。

  2. 配置过滤器默认操作,以从任何其他地址或端口范围传递(接受)数据包信息流。

配置视频过滤器

逐步过程

要配置图 1中逻辑流的视频过滤器:

  1. 将过滤器配置为通过(接受)由操作标记的传入 service-filter-hit 数据包。

  2. 配置过滤器以应用视频策略程序,并设置来自特定地址(预期通过该视频流量)的流量 service-filter-hit 的操作。

  3. 配置过滤器默认操作,以从任何其他地址或端口范围传递(接受)数据包信息流。

配置数据过滤器

逐步过程

要配置图 1中逻辑流的数据过滤器:

  1. 将过滤器配置为通过(接受)由操作标记的传入 service-filter-hit 数据包。

  2. 配置过滤器以应用数据策略程序,并设置来自特定地址(预期通过哪个视频流量)的流量 service-filter-hit 的操作。

结果

显示配置结果: