Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置防火墙过滤器绕过

您可以简化过滤器流程,减少链中每个过滤器的数据包处理量,并通过在层次结构级别使用service-filter-hit[edit firewall family family-name filter filter-name term term-name]匹配/操作组合有效地绕过不必要的过滤器。

要使用匹配/操作组合绕过 service-filter-hit 防火墙过滤器,请在链中的至少一个过滤器中配置 service-filter-hit 操作,并在要绕过的任何后续过滤器中配置 service-filter-hit 匹配条件。所有数据包都必须通过链中的每个过滤器。但是,在数据包中设置标志后 service-filter-hit ,数据包会“绕过”包含 service-filter-hit 匹配条件的任何后续过滤器,并更有效地传递(接受)标记的数据包并加速过滤器过程。

注意:

使用 service-filter-hit 匹配/操作组合时,应用筛选器的顺序很重要。您可以通过为接口指定过滤器优先级值来确保过滤器的处理顺序。有关动态过滤器处理的详细信息,请参阅 定义动态过滤器处理顺序

要绕过过滤器处理:

  1. service-filter-hit为筛选器链中的任何筛选器指定操作。

    当满足筛选器的匹配条件时, service-filter-hit 该操作将设置为向后续筛选器指示不需要进一步处理。

  2. service-filter-hit在优先级较低(即语句值较高precedence)的任何筛选器中指定匹配条件,以便检测service-filter-hit从链中的先前筛选器应用的操作。
  3. 将过滤器配置为传递(接受)从任何先前过滤器应用了操作的任何数据包 service-filter-hit

相关文档