Anwendungspunkte für zustandslose Firewallfilter
Nachdem Sie den Firewallfilter definiert haben, müssen Sie ihn auf einen Anwendungspunkt anwenden. Zu diesen Anwendungspunkten gehören logische Schnittstellen, physische Schnittstellen, Routingschnittstellen und Routinginstanzen.
In den meisten Fällen können Sie einen Firewallfilter als Eingabefilter oder Ausgabefilter oder beides gleichzeitig anwenden. Eingabefilter ergreifen Aktionen für Pakete, die auf der angegebenen Schnittstelle empfangen werden, während Ausgabefilter Aktionen für Pakete ausführen, die über die angegebene Schnittstelle übertragen werden.
In der Regel wenden Sie einen Filter mit mehreren Begriffen auf eine einzelne logische Schnittstelle, auf eingehenden Datenverkehr, ausgehenden Datenverkehr oder beides an. Es kann jedoch vorkommen, dass Sie mehrere Firewallfilter (mit einem oder mehreren Begriffen) verketten und auf eine Schnittstelle anwenden möchten. Sie verwenden eine Eingabeliste , um mehrere Firewallfilter auf den eingehenden Datenverkehr auf einer Schnittstelle anzuwenden. Sie verwenden eine Ausgabeliste , um mehrere Firewallfilter auf den ausgehenden Datenverkehr auf einer Schnittstelle anzuwenden. Sie können bis zu 16 Filter in eine Eingabe- oder Ausgabeliste aufnehmen.
Es gibt keine Begrenzung für die Anzahl der Filter und Indikatoren, die Sie festlegen können, aber es gibt einige praktische Überlegungen. Mehr Leistungsindikatoren erfordern mehr Begriffe, und die Verarbeitung einer großen Anzahl von Begriffen während eines Commitvorgangs kann sehr lange dauern. Filter mit mehr als 4000 Begriffen und Zählern wurden jedoch erfolgreich implementiert.
Tabelle 1 Beschreibt jeden Punkt, auf den Sie einen Firewallfilter anwenden können. Für jeden Anwendungspunkt beschreibt die Tabelle die Typen von Firewallfiltern, die zu diesem Zeitpunkt unterstützt werden, die Router- (oder Switch-) Hierarchieebene, auf der der Filter angewendet werden kann, sowie alle plattformspezifischen Einschränkungen.
Filtertyp |
Anwendungspunkt |
Einschränkungen |
---|---|---|
Zustandsloser Firewall-Filter Konfigurieren Sie durch Einbinden der Anweisung die Hierarchieebene: filter filter-name; HINWEIS:
Wenn Sie die Anweisung nicht angeben, verarbeitet der Firewallfilter standardmäßig IPv4-Datenverkehr. |
Logische Schnittstelle Anwenden auf Hierarchieebene , indem Sie die oder-Anweisungen einschließen: filter { input filter-name; output filter-name; } HINWEIS:
Ein Filter, der mit der impliziten Protokollfamilie konfiguriert ist, kann nicht in eine Eingabefilterliste oder eine Ausgabefilterliste aufgenommen werden. HINWEIS:
Bei T4000-FPCs vom Typ 5 kann ein Filter, der am Layer-2-Anwendungspunkt (d. h. auf der Ebene der logischen Schnittstelle) angebracht ist, nicht mit der Weiterleitungsklasse eines Pakets übereinstimmen, das von einem Layer-3-Klassifizierer wie DSCP, DSCP V6 und festgelegt wird. |
Wird auf den folgenden Routern unterstützt:
Wird auch von den folgenden modularen Portkonzentratoren (MPCs) auf Routern der MX-Serie unterstützt:
|
Zustandsloser Firewall-Filter Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen: filter filter-name; Dabei kann es sich um eine der folgenden Protokollfamilien handeln:
|
Protokollfamilie auf einer logischen Schnittstelle Anwenden auf Hierarchieebene durch, einschließlich der Anweisungen , , oder : filter { input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } |
Die Protokollfamilie wird nur von Routern der MX-Serie unterstützt. |
Zustandsloser Firewall-Filter |
Routing-Engine-Loopback-Schnittstelle |
|
Service-Filter Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen: service-filter service-filter-name; |
Familie oder auf einer logischen Schnittstelle Auf Hierarchieebene anwenden, indem Sie die Anweisung verwenden, um einen Dienstfilter als Eingabe- oder Ausgabefilter auf eine Dienstmenge anzuwenden: service { input { service-set service-set-name service-filter filter-name; } output { service-set service-set-name service-filter filter-name; } } Konfigurieren Sie einen Servicesatz auf Hierarchieebene , indem Sie die folgende Anweisung einfügen:
|
Wird nur für Adaptive Services (AS)- und Multiservices (MS) PICs unterstützt. |
Postservice-Filter Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen: service-filter service-filter-name; |
Familie oder auf einer logischen Schnittstelle Auf Hierarchieebene anwenden, indem Sie die Anweisung zum Anwenden eines Dienstfilters als Eingabefilter einfügen: service { input { post-service-filter filter-name; } } |
Ein Post-Service-Filter wird auf Datenverkehr angewendet, der nach der Service-Verarbeitung zur Services-Schnittstelle zurückkehrt. Der Filter wird nur angewendet, wenn ein Service-Set konfiguriert und ausgewählt ist. |
Einfacher Filter Konfigurieren Sie auf Hierarchieebene , indem Sie die folgende Anweisung einfügen: simple-filter filter-name |
Familie auf einer logischen Schnittstelle Bewerben Sie sich auf Hierarchieebene , indem Sie die folgende Anweisung einfügen: simple-filter simple-filter-name; |
Einfache Filter können nur als Eingabefilter angewendet werden. Wird nur auf den folgenden Plattformen unterstützt:
|
Prüffilter für Reverse Packet Forwarding (RPF) Wird auf Hierarchieebene durch Einschließen der folgenden Anweisung konfiguriert: filter filter-name; |
Familie oder auf einer logischen Schnittstelle Bewerben Sie sich auf Hierarchieebene , indem Sie die folgende Anweisung einfügen: rpf-check fail-filter filter-name , um den zustandslosen Firewallfilter als RPF-Prüffilter anzuwenden. rpf-check { fail-filter filter-name; mode loose; } |
Wird nur auf Routern der MX-Serie und Switches der EX-Serie unterstützt. |