Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器绕过

您可以通过在层次结构级别使用[edit firewall family family-name filter filter-name term term-name]匹配/作组合来service-filter-hit简化过滤器过程,减少链中每个过滤器的数据包处理量,并有效地绕过不必要的过滤器。

要使用匹配/作组合绕 service-filter-hit 过防火墙过滤器,请在链中的至少一个过滤器中配置该 service-filter-hit 作,并在要绕过的任何后续过滤器中配置 service-filter-hit 匹配条件。所有数据包都必须通过链中的每个过滤器。但是,在数据包中设置标志后 service-filter-hit ,数据包会“绕过”包含匹配条件的任何 service-filter-hit 后续过滤器,更有效地传递(接受)标记的数据包并加速过滤器过程。

注意:

使用 service-filter-hit 匹配/作组合时,应用筛选器的顺序很重要。您可以通过为接口指定过滤器优先级值来确保过滤器的处理顺序。有关动态过滤器处理的详细信息,请参阅 定义动态过滤器处理顺序

要绕过过滤器处理:

  1. 指定 service-filter-hit 过滤器链中任何过滤器的作。

    当满足过滤器的匹配条件时,将设置该 service-filter-hit 作以向后续过滤器指示无需进一步处理。

  2. 在优先级较低(即语句值较高precedence)的任何筛选器中指定service-filter-hit要检测service-filter-hit从链中先前过滤器应用的作的匹配条件。
  3. 过滤器配置为传递(接受)从任何先前过滤器应用了service-filter-hit作的任何数据包。

相关文档