防火墙过滤器和配置文件
了解 ACX7000 系列路由器上的防火墙过滤器和配置文件。ACX7000 系列路由器包括 ACX7020、ACX7024、ACX7024X、ACX7100、ACX7332、ACX7348 和 ACX7509 路由器。
ACX7000 系列路由器支持两个用于入口 IPv6 防火墙过滤器的预定义配置文件 -profile-one 和 profile-two。每个配置文件都支持 IPv6 防火墙过滤器匹配条件的子集。这些配置文件与不同的配置文件类别相关联。可以将 或 profile-two 应用到组合的配置文件类别,也可以分别应用profile-one到每个配置文件类别。下面列出的配置文件类别根据方向和接口类型区分防火墙过滤器。
-
ingress-inet6-user-acl— 用于在第 3 层路由接口或路由实例上的入口处应用的防火墙过滤器。 -
ingress-inet6-lo0-acl— 用于在环路接口上的入口处应用的防火墙过滤器。 -
egress-inet6-user-acl— 用于在第 3 层路由接口上的出口处应用的防火墙过滤器。
入口和出口 IPv6 防火墙过滤器匹配条件
对防火墙过滤器匹配条件的支持因配置文件而异,如下表所示。表未列出这两个配置文件支持的匹配条件。
| 防火墙过滤器匹配条件 |
简介二 |
个人资料一 |
|---|---|---|
|
|
是 |
是 |
|
|
是 |
是 |
|
|
是 |
是 |
|
|
否 |
是 |
|
|
否 |
是 |
|
|
否 |
是 |
|
|
是 |
否 |
|
|
是 |
否 |
|
|
是 |
否 |
|
|
是 |
否 |
|
|
是 |
否 |
| 防火墙过滤器匹配条件 |
简介二 |
个人资料一 |
|---|---|---|
|
|
是 |
是 |
|
|
是 |
是 |
|
|
是 |
是 |
|
|
否 |
是 |
|
|
否 |
是 |
|
|
否 |
是 |
|
|
是 |
否 |
|
|
是 |
否 |
|
|
是 |
否 |
|
|
是 |
否 |
|
|
是 |
否 |
| 绑定点 |
配置文件二(入口) |
配置文件二(入口环路) |
配置文件 1(入口) |
配置文件 1(入口环路) |
|---|---|---|---|---|
| 转发表过滤器 (FTF) |
是 |
不适用 |
否 |
不适用 |
| BGP 流规格过滤器 |
是 |
不适用 |
否 |
不适用 |
| 非默认路由实例(lo0.1、lo0.2 和其他逻辑单元) |
不适用 |
是 |
不适用 |
否 |
有关更多信息,请参阅 ACX 系列路由器上的防火墙过滤器配置文件概述 (Junos OS 演化版)。
定义和应用防火墙过滤器
ACX7000 系列路由器上的防火墙过滤器根据特定于流量类型(如 IPv4、IPv6 或网桥家族)的匹配条件控制数据包过滤和操作。
在 [edit firewall family family-name] 层级下配置防火墙过滤器,其中 family-name ( inet IPv4)、 inet6 (IPv6)、 ethernet-switching (第 2 层)或其他协议家族,例如 ccc (电路交叉连接)。
定义防火墙过滤器
使用包含 (匹配条件) 和 then (actions) 语句的from术语定义防火墙过滤器。
set firewall family inet filter filter-name term term-name from source-address 192.168.1.0/24 set firewall family inet filter filter-name term term-name then accept set firewall family inet filter filter-name term term-name then discard set firewall family inet filter filter-name term default-term then accept
匹配条件包括源或目标 IP 地址、端口、MAC 地址、前缀列表等。例如,网桥家族的匹配条件包括 destination-mac-address、destination-port 和 source-prefix-list。操作包括接受、丢弃、计数(计数器)、采样(用于监控)或应用监管器。
有关更多信息,请参阅 ACX 系列路由器(Junos OS 演化版)中的防火墙过滤器匹配条件和操作。
应用防火墙过滤器
在 [edit interfaces interface-name unit logical-unit family family-name] 层级下应用防火墙过滤器。
set interfaces et-0/0/0 unit 0 family inet filter inputfilter-nameset interfaces et-0/0/0 unit 0 family inet filter outputfilter-name
对于 VLAN,将防火墙过滤器应用于 [edit vlans vlan-name filter input filter-name] 层级下的 VLAN。
应用防火墙过滤器配置文件
ACX7000 系列路由器支持接口的lo0预定义 IPv6 入口配置文件(profile-one 和 profile-two),可限制匹配条件。以下是应用防火墙过滤器配置文件的配置示例:
set system packet-forwarding-options firewall-profile ingress lo0-inet6 profile-one
有关防火墙过滤器的详细信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南。