Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加 IPv4 防火墙过滤器

您的位置: 网络 > 防火墙过滤器 > IPV4

要添加 IPV4 防火墙过滤器:

  1. 按照 表 1 和表 2 中提供的准则完成配置。
  2. 单击 添加新 IPv4 过滤器部分的 Add 可用。

    创建了一个新的 IPv4 防火墙过滤器。

  3. 单击 OK 保存更改。如果要丢弃更改,请单击 取消
表 1:添加 IPv4 防火墙过滤器页面上的字段

领域

行动

IPv4 过滤器摘要

操作列

选择一个选项。

提供的选项包括:

  • 向上移动项目 — 找到相应项目,然后单击同一行中的向上箭头。

  • 要向下移动项目 — 找到该项目,然后单击同一行中的向下箭头。

  • 要删除项目 — 找到该项目,然后单击同一行中的 X

过滤器名称

显示过滤器的名称,展开后列出连接到过滤器的术语。

显示为每个术语设置的匹配条件和操作。

允许您向过滤器添加更多术语或修改过滤条件。

提供的选项包括:

  • 要显示添加到过滤器的术语— 请单击过滤器名称旁边的加号。这还显示为术语设置的匹配条件和操作。

  • 要编辑过滤器 — 单击过滤器名称。要编辑术语,请单击术语的名称。

搜索

IPv4 过滤器名称

输入现有过滤器名称。

提供的选项包括:

  • 要查找特定过滤器 — 请在“过滤器名称”框中输入过滤器的名称。

  • 要使用通用前缀或后缀列出所有过滤器 — 输入过滤器的名称时,请使用通配符 (*)。例如, te* 列出了所有过滤器,名称以字符 te 开始。

IPv4 术语名称

按术语名称输入现有术语。

提供的选项包括:

  • 要查找特定术语,请在“术语名称”框中输入术语的名称。

  • 要使用通用前缀或后缀列出所有术语 — 键入术语名称时,请使用通配符 (*)。例如, ra* 列出了名称以字符 ra 开始的所有术语。

要显示的项目数

输入要显示在一个页面上的过滤器或术语数量。选择要在一页面上显示的项目数量。

添加新 IPv4 过滤器

过滤器名称

输入现有过滤器名称。

提供的选项包括:

  • 要查找特定过滤器 — 请在“过滤器名称”框中输入过滤器的名称。

  • 要使用通用前缀或后缀列出所有过滤器 — 输入过滤器的名称时,请使用通配符 (*)。例如, te* 列出了所有过滤器,名称以字符 te 开始。

术语名称

按术语名称输入现有术语。

提供的选项包括:

  • 要查找特定术语,请在“术语名称”框中输入术语的名称。

  • 要使用通用前缀或后缀列出所有术语 — 键入术语名称时,请使用通配符 (*)。例如, ra* 列出了名称以字符 ra 开始的所有术语。

位置

将新过滤器定位在以下位置之一:

  • 在最终 IPv4 过滤器之后 — 在所有过滤器的末尾。

  • 在 IPv4 过滤器之后 — 在指定的过滤器之后。

    前置 IPv4 过滤器 — 在指定过滤器之前。

添加

添加新过滤器名称。打开此过滤器的术语摘要页面,以便向此过滤器添加新术语。

添加新 IPv4 术语

位置

将新术语定位在以下位置之一:

  • 在最后一个 IPv4 过滤器之后 — 所有学期结束时。

  • 后 IPv4 过滤器 — 在指定术语之后。

    在 IPv4 过滤器之前 — 在指定术语之前。

添加

打开“过滤器术语”页面,以便定义此术语的匹配条件和操作。

表 2:IPv4 防火墙过滤器匹配标准的字段

领域

行动

匹配源

源地址

输入要包含在匹配条件中或从匹配条件中排除的 IP 源地址。允许您从匹配条件中移除源 IP 地址。

如果您有超过 25 个地址,则此字段将显示一个链接,方便您轻松滚动浏览页面、更改地址顺序并搜索地址。

提供的选项包括:

  • 添加 — 将地址包含在匹配条件中。

  • 例外 — 要从匹配条件中排除地址,然后选择 Add -To 将地址包含在匹配条件中。

  • 删除 — 从匹配条件中移除 IP 源地址。

输入 IP 源地址和前缀长度,然后选择一个选项。

源前缀列表

输入已定义的源前缀列表,以包含在匹配条件中。允许您从匹配条件中移除前缀列表。

选择一个选项:

  • Add — 要使预定义的源前缀列表包含在匹配条件中,请键入前缀列表名称。

  • 例外 — 从匹配条件中排除前缀列表,然后选择 Add — 将前缀列表包含在匹配条件中。

  • 删除 — 从匹配条件中移除前缀列表。

源端口

输入要包含在匹配条件中或从匹配条件中排除的源端口类型。允许您从匹配条件中移除源端口类型。

注意:

此匹配条件不会检查端口上使用的协议类型。请确保指定同一术语中的协议类型(TCP 或 UDP) 匹配条件。

提供的选项包括:

  • 添加 — 将端口包含在匹配条件中。

  • 例外 — 要从匹配条件中排除端口,然后选择 Add — 将端口包含在匹配条件中。

  • 删除 — 从匹配条件中移除端口。

从端口名称列表中选择端口;输入端口名称、编号或范围,然后选择一个选项。

匹配目标

目标地址

输入要包含在匹配条件中或从匹配条件中排除的目标地址。允许您从匹配条件中移除目标 IP 地址。

如果您有超过 25 个地址,则此字段将显示一个链接,方便您轻松滚动浏览页面、更改地址顺序并搜索地址。

提供的选项包括:

  • 添加 — 将地址包含在匹配条件中。

  • 例外 — 从匹配条件中排除地址,然后选择 Add — 将地址包含在匹配条件中。

  • 删除 — 从匹配条件中移除 IP 地址。

输入 IP 目标地址和前缀长度,然后选择一个选项。

目标前缀列表

输入已定义的目标前缀列表,以包含在匹配条件中。允许您从匹配条件中移除前缀列表。

选择一个选项:

  • 添加 — 要包含预定义的目标前缀列表,请输入前缀列表名称。

  • 例外 — 从匹配条件中排除前缀列表,然后选择 Add — 将前缀列表包含在匹配条件中。

  • 删除 — 从匹配条件中移除前缀列表。

目标端口

输入要包含在匹配条件中或从匹配条件中排除的目标端口类型。允许您从匹配条件中移除目标端口类型。

注意:

此匹配条件不会检查端口上使用的协议类型。请确保指定同一术语中的协议类型(TCP 或 UDP) 匹配条件。

提供的选项包括:

  • 添加 — 将端口包含在匹配条件中。

  • 例外 — 要从匹配条件中排除端口,然后选择 Add — 将端口包含在匹配条件中。

  • 删除 — 从匹配条件中移除端口类型。

从端口名称列表中选择端口;输入端口名称、编号或范围;然后选择一个选项

匹配源或目标

地址

输入要包含在源或目标的匹配条件中或从中排除的 IP 地址。允许您从匹配条件中移除 IP 地址。

如果您有超过 25 个地址,则此字段会显示一个链接,方便您轻松滚动浏览页面、更改地址顺序并搜索地址。

注意:

此地址匹配条件不能与同一术语中的源地址或目标地址匹配条件一起指定。

提供的选项包括:

  • 添加 — 将地址包含在匹配条件中。

  • 例外 — 从匹配条件中排除地址,然后选择 Add — 将地址包含在匹配条件中。

  • 删除 — 从匹配条件中移除 IP 地址。

输入 IP 目标地址和前缀长度,然后选择一个选项。

前缀列表

输入已定义的前缀列表,以包含在源或目标的匹配条件中。允许您从匹配条件中移除前缀列表。

注意:

此前缀列表匹配条件不能与同一术语中的源前缀列表或目标前缀列表匹配条件一起指定。

选择一个选项:

  • Add — 要包含预定义的目标前缀列表,请键入前缀列表名称。

  • 删除 — 从匹配条件中移除前缀列表。

港口

输入要包含在源或目标的匹配条件中或从中排除的端口类型。允许您从匹配条件中移除目标端口类型。

注意:

此匹配条件不会检查端口上使用的协议类型。请确保指定同一术语中的协议类型(TCP 或 UDP) 匹配条件。

此外,此端口匹配条件不能与同一术语中的源端口或目标端口匹配条件一起指定。

提供的选项包括:

  • 添加 — 将端口包含在匹配条件中。

  • 例外 — 要从匹配条件中排除端口,然后选择 Add — 将端口包含在匹配条件中。

  • 删除 — 从匹配条件中移除端口类型。

从端口名称列表中选择端口;输入端口名称、编号或范围;然后选择一个选项

匹配接口

接口

输入要包含在匹配条件中的接口。允许您从匹配条件中移除接口。

提供的选项包括:

  • Add — 将接口包含在匹配条件下。

  • 删除 — 从匹配条件中移除接口。

从接口名称列表中选择一个名称,或者输入接口名称并选择一个选项。

接口集

输入已定义的接口集,以包含在匹配条件中。允许您从匹配条件中移除设置的接口。

提供的选项包括:

  • 添加 — 将组包含在匹配条件中。

  • 删除 — 从匹配条件中移除接口组。

输入接口集名称并选择一个选项。

接口组

输入已定义的接口组,以包含在匹配条件中或从匹配条件中排除。允许您从匹配条件中移除接口组。

提供的选项包括:

  • 添加 — 将端口包含在匹配条件中。

  • 例外 — 要从匹配条件中排除端口,然后选择 Add — 将端口包含在匹配条件中。

  • 删除 — 从匹配条件中移除端口类型。

输入组名称并选择一个选项。

匹配数据包和网络

第一个分片

选中复选框。

匹配分片数据包的第一个分片。

是碎片

选中复选框。

匹配分片数据包的尾随分片(但第一个分片全部)。

分片标志

输入要包含在匹配条件中的分片标志。

输入定义标志的文本或数字字符串。

已建立 TCP

选中复选框。

匹配连接的第一个数据包以外的所有传输控制协议数据包。

注意:

此匹配条件不会验证是否已在端口上使用 TCP。请确保将 TCP 指定为同一术语中的匹配条件。

TCP 初始

选中复选框。

匹配连接的首个传输控制协议数据包。

注意:

此匹配条件不会验证是否已在端口上使用 TCP。请确保将 TCP 指定为同一术语中的匹配条件。

TCP 标志

输入要包含在匹配条件中的传输控制协议标志。

注意:

此匹配条件不会验证是否已在端口上使用 TCP。请确保将 TCP 指定为同一术语中的匹配条件。

协议

输入要包含在匹配条件中或从匹配条件中排除的 IPv4 协议类型。允许您从匹配条件中移除 IPv4 协议类型。

提供的选项包括:

  • Add - 将协议包含在匹配条件中。

  • 例外 — 要从匹配条件中排除协议,然后选择 Add — 将协议包含在匹配条件中。

  • 删除 - 从匹配条件中移除 IPv4 协议类型。

从列表中选择协议名称,或者输入协议名称或编号,然后选择一个选项。

ICMP 类型

从列表中选择一个数据包类型,或者输入数据包类型名称或编号,然后选择一个选项。

注意:

此协议不会验证端口上是否使用了 ICMP。请确保在同一术语中指定 ICMP 类型匹配条件。

提供的选项包括:

  • Add — 将数据包类型包含在匹配条件中。

  • 例外 — 要从匹配条件中排除数据包类型,然后选择。

    Add — 将数据包类型包含在匹配条件中。

  • 删除 — 从匹配条件中移除 ICMP 数据包类型。

ICMP 代码

从列表中选择数据包代码,或者以文本或数字方式输入数据包代码并选择一个选项。

注意:

ICMP 代码取决于 ICMP 类型。请确保在同一术语中指定 ICMP 类型匹配条件。

提供的选项包括:

  • Add — 将数据包类型包含在匹配条件中。

  • 例外 — 要从匹配条件中排除数据包类型,然后选择

    Add — 将数据包类型包含在匹配条件中。

  • 删除 — 从匹配条件中移除 ICMP 数据包类型。

分片偏移

输入分片偏移量编号或范围,然后选择一个选项。

提供的选项包括:

  • 添加 — 将偏移包含在匹配条件中。

  • 例外 — 要从匹配条件中排除偏移量,然后选择 Add — 将偏移量包含在匹配条件中。

  • 删除 — 从匹配条件中移除分片偏移值。

优先

输入要包含在匹配条件中或从匹配条件中排除的 IP 优先级。允许您从匹配条件中移除 IP 优先级条目。

提供的选项包括:

  • 添加 — 将优先级包含在匹配条件中。

  • 排除 — 要从匹配条件中排除优先级,然后选择

    添加 — 将优先级包含在匹配条件中。

  • 删除 - 从匹配条件中移除 IP 优先级。

DSCP

从列表中选择 DSCP;或以关键字形式输入 DSCP 值、0 到 7 的十进制整数或二进制字符串;然后选择一个选项

提供的选项包括:

  • 添加 — 将 DSCP 包含在匹配条件中。

  • 例外 — 要从匹配条件中排除 DSCP,然后选择 Add — 将 DSCP 包含在匹配条件中。

  • 删除 — 从匹配条件中移除 DSCP。

Ttl

输入 1 到 255 的数字,输入 IPv4 TTL 值,然后选择一个选项。

注意:

SRX5600 设备中不提供此选项。

提供的选项包括:

  • 添加 — 将 TTL 包含在匹配条件中。

  • 例外 — 从匹配条件中排除 TTL,然后选择 Add — 将 TTL 包含在匹配条件中。

  • 删除 — 从匹配条件中移除 IPv4 TTL 类型。

数据包长度

指定数据包长度,输入值或范围。

选择一个选项。

提供的选项包括:

  • 添加 — 将数据包长度包含在匹配条件中。

  • 例外 — 要从匹配条件中排除数据包长度,然后选择

    添加 — 将数据包长度包含在匹配条件中。

  • 删除 — 从匹配条件中移除数据包长度值。

转发类

通过从列表中选择转发类或输入转发类,然后选择一个选项,指定转发类。

提供的选项包括:

  • Add - 将转发类包含在匹配条件中。

  • 例外 — 要从匹配条件中排除转发类,然后选择

    Add - 将转发类包含在匹配条件中。

  • 删除 — 从匹配条件中移除转发类。

IP 选项

输入选项,从列表中选择 IP 选项,或者输入一个标识该选项的文本或数字字符串,然后选择一个选项。

提供的选项包括:

  • 添加 — 将 IP 选项包含在匹配条件中。

  • 例外 — 要从匹配条件中排除 IP 选项,然后选择 Add — 将 IP 选项包含在匹配条件中。

  • 删除 — 从匹配条件中移除 IP 选项。

IPsec ESP SPI

输入二进制、十六进制或十进制 SPI 值或范围,输入 ESP SPI 值,然后选择一个选项。

提供的选项包括:

  • Add - 将值包含在匹配条件中。

  • 例外 — 从匹配条件中排除值,然后选择 Add — 将值包含在匹配条件中。

  • 删除 - 从匹配条件中移除 ESP SPI 值。

行动

什么

什么都不选。

指定不执行任何操作。默认情况下,如果数据包满足术语的匹配条件,则接受该数据包,并且将丢弃与防火墙过滤器中任何条件不匹配的数据包。

接受

选择 接受

接受满足术语匹配条件的数据包。

丢弃

选择 丢弃

丢弃满足术语匹配条件的数据包。命名数据包的丢弃收集器。

拒绝

选择 拒绝 ,然后从原因列表中选择消息类型。

拒绝满足术语匹配条件的数据包并返回拒绝消息。允许您指定表示数据包被拒绝原因的消息类型。

注意:

要记录并取样拒绝的数据包,请指定日志和示例操作修改符,并同时执行此操作。

下一学期

选择 下一个学期

如果数据包满足此术语中的匹配条件,将评估过滤器中具有下一个术语的数据包。此操作可确保下一个术语用于评估,即使数据包与某个术语的条件匹配也是如此。未指定此操作时,过滤器在数据包与术语条件匹配后,将停止评估数据包,并采取相关操作。

路由实例

接受满足匹配条件的数据包,并将其转发至指定的路由实例。

选择 路由实例 并在路由实例旁边的框中输入 路由实例名称。

操作修改器

转发类

将数据包分类为特定的转发类。

从列表中选择 转发类

计数

对传递此术语的数据包进行计数。允许您命名特定于此过滤器的计数器。这意味着,每次数据包通过使用此过滤器的任何接口时,都会递增指定的计数器。

选择 Count 并输入包含字母、数字或连字符的 24 个字符字符串,以指定计数器名称。

虚拟通道

输入一个字符串,用于识别虚拟通道。

注意:

此选项在 SRX345 设备中不可用。

前缀操作

输入前缀操作。

注意:

此选项在 SRX4100 和 SRX345 设备中不可用。

日志

选择 日志

记录路由引擎中的数据包标头信息。

Syslog

选择 系统日志

在系统日志中记录数据包信息。

端口镜像

选择 端口镜像

端口反映数据包。

注意:

此选项在 SRX5600 和 SRX345 设备中不可用。

丢失优先级

设置数据包的丢失优先级。这是在发送数据包之前丢弃数据包的优先级,会影响数据包的计划优先级。

从列表中选择优先级范围。