Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Anwendungspunkte für Zustandslose Firewall-Filter

Nachdem Sie den Firewall-Filter definiert haben,müssen Sie ihn auf einen Anwendungspunkt anwenden. Zu diesen Anwendungpunkten gehören logische Schnittstellen, physische Schnittstellen, Routing-Schnittstellen und Routing-Instanzen.

In den meisten Fällen können Sie einen Firewall-Filter als Eingangs- oder Ausgabefilter anwenden (oder beides gleichzeitig). Eingangsfilter ergreifen Aktionen für empfangene Pakete an der angegebenen Schnittstelle, während Ausgabefilter Maßnahmen für Pakete ergreifen, die über die angegebene Schnittstelle übertragen werden.

Sie wenden in der Regel einen Filter mit mehreren Begriffen auf eine einzelne logische Schnittstelle,auf eingehenden, ausgehenden Datenverkehr oder beides an. Es kann jedoch auch Zeiten geben, in denen Sie mehrere Firewall-Filter (mit einzelnen oder mehreren Bedingungen) miteinander verbinden und auf eine Schnittstelle anwenden möchten. Sie verwenden eine Eingabeliste, um den eingehenden Datenverkehr an einer Schnittstelle durch mehrere Firewall-Filter zu filtern. Sie verwenden eine Ausgabeliste, um mehrere Firewall-Filter auf den ausgehenden Datenverkehr an einer Schnittstelle anzuwenden. Sie können bis zu 16 Filter in eine Eingangs- oder Ausgangsliste umfassen.

Die Anzahl der Filter und Zähler, die Sie einrichten können, ist nicht limitiert, aber es gibt einige praktische Überlegungen. Mehr Zähler erfordern mehr Bedingungen und eine große Anzahl von Begriffen kann während eines Commit-Betriebs sehr viel Zeit in Dauern dauern. Doch Filter mit mehr als 4.000 Nutzungsbedingungen und Gegenmaßnahmen wurden erfolgreich implementiert.

Tabelle 1 beschreibt jeden Punkt, auf den Sie einen Firewall-Filter anwenden können. In der Tabelle werden die Typen der an diesem Punkt unterstützten Firewall-Filter, die Router- (oder Switch-) Hierarchieebene, auf der der Filter angewendet werden kann, sowie plattformspezifische Beschränkungen beschrieben.

Tabelle 1: Stateless Firewall-Filterkonfiguration und Anwendungszusammenfassung

Filtertyp

Anwendungs-Point

Einschränkungen

Stateless Firewall-Filter

Konfigurieren Sie mit der filter filter-name Anweisung [edit firewall] die Hierarchieebene:

filter filter-name;
Anmerkung:

Wenn Sie diese Anweisung nicht enthalten, verarbeitet family der Firewall-Filter standardmäßig IPv4-Datenverkehr.

Logische Schnittstelle

Wenden Sie auf [edit interfaces interface-name unit unit-number family inet] der Hierarchieebene an, indem Sie die input filter-nameoutput filter-name Anweisungen oder

filter {
    input filter-name;
    output filter-name;
}
Anmerkung:

Ein mit impliziter Protokollfamilie konfigurierter Filter kann nicht in einer Eingangs- oder inet Ausgabefilterliste enthalten sein.

Anmerkung:

Bei Typ 5 FPCs T4000 kann ein an dem Layer-2-Anwendungspunkt angeschlossener Filter (d. h. auf logischer Schnittstellenebene) nicht mit der Weiterleitungsklasse eines Pakets übereinstimmen, das durch einen Layer 3-Klassifizierer wie DSCP, DSCP V6 und inet-precedencempls-exp .

Wird von den folgenden Routern unterstützt:

  • T-Serie Router

  • M320 Router

  • M7i mit erweitertem CFEB (CFEB-e)

  • M10i mit erweitertem CFEB-e

Wird auch von den folgenden Modular Port Concentrators (MPCs) auf Routern der MX-Serie unterstützt:

  • 10-Gigabit Ethernet-MPC

  • 60-Gigabit Ethernet-Queuing MPC

  • 60-Gigabit Ethernet-Enhanced Queuing MPC (Erweitertes Queuing mit MPC)

  • 100-Gigabit Ethernet-MPC

  • Wird auch auf Switches der EX-Serie unterstützt

Stateless Firewall-Filter

Konfigurieren Sie auf [edit firewall family family-name] Hierarchieebene mit folgender Anweisung:

filter filter-name;

Bei den Protokollfamilien kann es sich um family-name folgende Protokollfamilien machen:

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Protokollfamilie auf einer logischen Schnittstelle

Wenden Sie auf [edit interfaces interface-name unit unit-number family family-name] der Hierarchieebene an, einschließlich input der , oder input-listoutputoutput-list Anweisungen:

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

Die Protokollfamilie bridge wird nur von Routern der MX-Serie unterstützt.

Stateless Firewall-Filter

Routing-Engine Loopback-Schnittstelle

 

Dienstfilter

Konfigurieren Sie auf [edit firewall family (inet | inet6)] Hierarchieebene mit folgender Anweisung:

service-filter service-filter-name;

Familie inet oder in einer inet6 logischen Schnittstelle

Wenden Sie auf der Hierarchieebene mithilfe der Anweisung einen Dienstfilter als Ein- oder Ausgabefilter auf [edit interfaces interface-name unit unit-number family (inet | inet6)]service-set eine Service-Gruppe an:

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
} 

Konfigurieren Sie eine Service-Gruppe auf [edit services] Hierarchieebene durch Angabe der folgenden Anweisung:

 service-set service-set-name;

Nur auf adaptiven Services (AS) und Multiservices (MS)-PICs unterstützt.

Postservice-Filter

Konfigurieren Sie auf [edit firewall family (inet | inet6)] Hierarchieebene mit folgender Anweisung:

service-filter service-filter-name;

Familie inet oder in einer inet6 logischen Schnittstelle

Wenden Sie auf der Hierarchieebene eine Anweisung [edit interfaces interface-name unit unit-number family (inet | inet6)] an, post-service-filter um einen Dienstfilter als Eingangsfilter anzuwenden:

service {
    input {
        post-service-filter filter-name;
    }
}

Ein Postservice-Filter wird auf Datenverkehr angewendet, der nach der Serviceverarbeitung an die Dienstschnittstelle zurückkehren. Der Filter wird nur angewandt, wenn ein Service-Set konfiguriert und ausgewählt wurde.

Einfacher Filter

Konfigurieren Sie auf [edit firewall family inet] Hierarchieebene mit folgender Anweisung:

simple-filter filter-name

Familie inet auf einer logischen Schnittstelle

Wenden Sie auf [edit interfaces interface-name unit unit-number family inet] der Hierarchieebene an, indem Sie folgende Aussage enthalten:

simple-filter simple-filter-name;

Einfache Filter können nur als Eingangsfilter angewendet werden.

Wird nur auf den folgenden Plattformen unterstützt:

  • Iq2-PICs (Gigabit Ethernet Intelligent Queuing) auf den Routern M120, M320 und T-Serie Routern.

  • Enhanced Queuing Dense Port Concentrators (EQ DPC) auf Routern der MX-Serie (und Switches der EX-Serie).

RPF-Überprüfungsfilter (Reverse Packet Forwarding)

Konfiguration auf [edit firewall family (inet | inet6)] Hierarchieebene durch Angabe der folgenden Anweisung:

filter filter-name; 

Familie inet oder in einer inet6 logischen Schnittstelle

Wenden Sie auf [edit interfaces interface-name unit unit-number family (inet | inet6)] der Hierarchieebene an, indem Sie folgende Aussage enthalten:

rpf-check fail-filter filter-name

um den zustandslosen Firewall-Filter als RPF-Check-Filter anzuwenden.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Wird nur auf Routern der MX-Serie und Switches der EX-Serie unterstützt.