Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zustandslose Firewall-Filterkomponenten

In diesem Thema werden die folgenden Informationen behandelt:

Protokoll-Familie

Unter der Anweisung können Sie die Protokollfamilie angeben, nach der Sie den Datenverkehr filtern möchten.firewall

Beschreibt die Firewallfilter-Protokollfamilien .Tabelle 1

Tabelle 1: Firewall-Filterprotokollfamilien

Art des zu filternden Datenverkehrs

Konfigurationsanweisung

Kommentare

Protokollunabhängig

family any

Alle Protokollfamilien, die auf einer logischen Schnittstelle konfiguriert sind.

Internet Protokoll Version 4 (IPv4)

family inet

Die Anweisung ist für IPv4 optional.family inet

Internet Protokoll Version 6 (IPv6)

family inet6

 

MPLS

family mpls

 

IPv4 mit MPLS-Tags

family mpls

Unterstützt den Abgleich von IP-Adressen und Ports mit bis zu fünf gestapelten MPLS-Labels.

IPv6 mit MPLS-Tags

family mpls

Unterstützt den Abgleich von IP-Adressen und Ports mit bis zu fünf gestapelten MPLS-Labels.

Virtual Private LAN Service (VPLS)

family vpls

Layer-2-Schaltkreis-Querverbindung

family ccc

Layer 2 Bridging

(für Router der MX-Serie) und (für Switches der EX-Serie)family bridgefamily ethernet-switching

Nur Router der MX-Serie und Switches der EX-Serie.

Filtertyp

Unter der Anweisung können Sie den Typ und den Namen des Filters angeben, den Sie konfigurieren möchten.family family-name

Tabelle 2 Beschreibt die Firewallfiltertypen.

Tabelle 2: Filtertypen

Filtertyp

Konfigurationsanweisung

Beschreibung

Standard-Firewall-Filter

filter filter-name

Filtert die folgenden Datenverkehrstypen:

  • Protokollunabhängig

  • IPv4

  • IPv6

  • MPLS

  • IPv4 mit MPLS-Tags

  • IPv6 mit MPLS-Tags

  • VPLS

  • Layer 2 CCC

  • Layer-2-Bridging (nur Router der MX-Serie und Switches der EX-Serie)

Service-Filter

service-filter service-filter-name

Definiert die Paketfilterung, die auf den ein- oder ausgehenden Datenverkehr angewendet werden soll, bevor sie für die Dienstverarbeitung akzeptiert wird, oder für den zurückgegebenen Dienstdatenverkehr, nachdem die Dienstverarbeitung abgeschlossen ist.

Filtert die folgenden Datenverkehrstypen:

  • IPv4

  • IPv6

Wird nur für logische Schnittstellen unterstützt, die auf der folgenden Hardware konfiguriert sind:

  • Adaptive Services (AS) PICs auf Routern der M- und T-Serie

  • Multiservices (MS) PICs auf Routern der M- und T-Serie

  • Multiservices (MS) DPCs auf Routern der MX-Serie (und Switches der EX-Serie)

Einfacher Filter

simple-filter simple-filter-name

Definiert die Paketfilterung, die nur auf eingehenden Datenverkehr angewendet werden soll.

Filtert den folgenden Datenverkehrstyp:

  • IPv4

Wird nur für logische Schnittstellen unterstützt, die auf der folgenden Hardware konfiguriert sind:

  • Gigabit Ethernet Intelligent Queuing (IQ2) PICs, die auf Routern der M120-, M320- oder T-Serie installiert sind

  • Verbesserte Warteschlangen-Dense Port Concentrators (EQ DPCs), die auf Routern der MX-Serie (und Switches der EX-Serie) installiert sind

Bedingungen

Unter der Anweisung , oder müssen Sie mindestens einen Firewallfilterbegriff konfigurieren.filterservice-filtersimple-filter Ein Begriff ist eine benannte Struktur, in der Übereinstimmungsbedingungen und -aktionen definiert sind. Innerhalb eines Firewallfilters müssen Sie für jeden Begriff einen eindeutigen Namen konfigurieren.

Tipp:

Für jede Protokollfamilie auf einer Schnittstelle können Sie nicht mehr als einen Filter in jede Richtung anwenden. Wenn Sie versuchen, zusätzliche Filter für dieselbe Protokollfamilie in derselben Richtung anzuwenden, überschreibt der letzte Filter den vorherigen Filter. Sie können jedoch Filter aus derselben Protokollfamilie auf die Ein- und Ausgangsrichtung derselben Schnittstelle anwenden.

Alle zustandslosen Firewallfilter enthalten einen oder mehrere Begriffe, und jeder Begriff besteht aus zwei Komponenten: Übereinstimmungsbedingungen und Aktionen. Die Übereinstimmungsbedingungen definieren die Werte oder Felder, die das Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Wenn ein Paket übereinstimmt, wird die entsprechende Aktion ausgeführt. Standardmäßig wird ein Paket, das nicht mit einem Firewallfilter übereinstimmt, verworfen.

Wenn ein Paket auf einer Schnittstelle eintrifft, für die kein Firewallfilter für den eingehenden Datenverkehr auf dieser Schnittstelle angewendet wird, wird das Paket standardmäßig akzeptiert.

HINWEIS:

Ein Firewallfilter mit einer großen Anzahl von Begriffen kann sich sowohl auf die Konfigurations-Commit-Zeit als auch auf die Leistung der Routing-Engine negativ auswirken.

Darüber hinaus können Sie einen zustandslosen Firewallfilter innerhalb der Laufzeit eines anderen Filters konfigurieren. Mit dieser Methode können Sie mehreren Filtern allgemeine Begriffe hinzufügen, ohne alle Filterdefinitionen ändern zu müssen. Sie können einen Filter mit den gewünschten allgemeinen Begriffen konfigurieren und diesen Filter als Begriff in anderen Filtern konfigurieren. Wenn Sie also eine Änderung an diesen allgemeinen Ausdrücken vornehmen möchten, müssen Sie nur einen Filter ändern, der die allgemeinen Ausdrücke enthält, anstatt mehrere Filter.

Spielbedingungen

Ein Firewallfilterbegriff muss mindestens ein Paketfilterkriterium enthalten, das als Übereinstimmungsbedingung bezeichnet wird, um das Feld oder den Wert anzugeben, den ein Paket enthalten muss, um als Übereinstimmung mit dem Firewallfilterbegriff betrachtet zu werden. Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in der Laufzeit erfüllen. Wenn ein Paket mit einem Firewall-Filterbegriff übereinstimmt, führt der Router (oder Switch) die konfigurierte Aktion für das Paket aus.

Wenn ein Firewallfilterbegriff mehrere Übereinstimmungsbedingungen enthält, muss ein Paket alle Übereinstimmungsbedingungen erfüllen, um als Übereinstimmung mit dem Firewallfilterbegriff betrachtet zu werden.

Wenn eine einzelne Übereinstimmungsbedingung mit mehreren Werten konfiguriert ist, z. B. einem Wertebereich, darf ein Paket nur mit einem der Werte übereinstimmen, um als Übereinstimmung mit dem Firewallfilterbegriff betrachtet zu werden.

Der Umfang der Übereinstimmungsbedingungen, die Sie in einem Firewallfilterbegriff angeben können, hängt von der Protokollfamilie ab, unter der der Firewallfilter konfiguriert ist. Sie können verschiedene Übereinstimmungsbedingungen definieren, z. B. das Feld für die IP-Quelladresse, das Feld für die IP-Zieladresse, das Feld für den TCP- oder UDP-Quellport, das Feld für das IP-Protokoll, den ICMP-Pakettyp (Internet Control Message Protocol), IP-Optionen, TCP-Flags, die eingehende logische oder physische Schnittstelle und die ausgehende logische oder physische Schnittstelle. Dabei handelt es sich um vordefinierte oder feste Übereinstimmungsbedingungen.

Auf Universal Edge Routern der MX 3D-Serie mit MPCs oder MICs ist es möglich, flexible Übereinstimmungsbedingungen für IPv4-, IPv6-, Layer-2-Bridge-, CCC- und VPLS-Protokollfamilien zu erstellen. Diese flexiblen Übereinstimmungsbedingungen ermöglichen es einem Benutzer, den Startort, den Byte-Offset, die Übereinstimmungslänge und andere Parameter innerhalb des Pakets anzugeben.

Jede Protokollfamilie unterstützt einen anderen Satz von Übereinstimmungsbedingungen, und einige Übereinstimmungsbedingungen werden nur auf bestimmten Routing-Geräten unterstützt. Beispielsweise werden eine Reihe von Übereinstimmungsbedingungen für VPLS-Datenverkehr nur auf den Universal Edge Routern der MX 3D-Serie unterstützt.

In der Anweisung in einem Firewallfilterbegriff geben Sie Merkmale an, die das Paket aufweisen muss, damit die Aktion in der nachfolgenden Anweisung ausgeführt werden kann.fromthen Die Merkmale werden als Übereinstimmungsbedingungen bezeichnet. Das Paket muss alle Bedingungen in der Anweisung erfüllen, damit die Aktion ausgeführt werden kann, was auch bedeutet, dass die Reihenfolge der Bedingungen in der Anweisung nicht wichtig ist.fromfrom

Wenn eine einzelne Übereinstimmungsbedingung eine Liste von Werten (z. B. mehrere Quell- und Zieladressen) oder einen Bereich numerischer Werte angeben kann, tritt eine Übereinstimmung auf, wenn einer der Werte mit dem Paket übereinstimmt.

Wenn ein Filterbegriff keine Übereinstimmungsbedingungen angibt, akzeptiert der Begriff alle Pakete, und die in der Anweisung des Begriffs angegebenen Aktionen sind optional.then

HINWEIS:

Bei einigen der Übereinstimmungsbedingungen für numerische Bereiche und Bitfelder können Sie ein Textsynonym angeben. Eine vollständige Liste der Synonyme finden Sie unter:

  • Wenn Sie die J-Web-Schnittstelle verwenden, wählen Sie das Synonym aus der entsprechenden Liste aus.

  • Wenn Sie die CLI verwenden, geben Sie nach der Anweisung ein Fragezeichen () ein.?from

Aktionen

Die Aktionen, die in einem Firewallfilterbegriff angegeben sind, definieren die Aktionen, die für jedes Paket ausgeführt werden sollen, das den im Begriff angegebenen Bedingungen entspricht.

Aktionen, die innerhalb eines einzelnen Begriffs konfiguriert werden, werden alle für Datenverkehr ausgeführt, der den konfigurierten Bedingungen entspricht.

Bewährte Verfahren:

Es wird dringend empfohlen, explizit eine oder mehrere Aktionen pro Firewallfilterbegriff zu konfigurieren. Jedes Paket, das alle Bedingungen des Begriffs erfüllt, wird automatisch akzeptiert, es sei denn, der Begriff gibt andere oder zusätzliche Aktionen an.

Firewallfilteraktionen lassen sich in die folgenden Kategorien einteilen:

Aktionen zum Beenden von Filtern

Eine filterbeendende Aktion stoppt die gesamte Auswertung eines Firewall-Filters für ein bestimmtes Paket. Der Router (oder Switch) führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe untersucht.

Nicht beendende Aktionen

Nicht beendende Aktionen werden verwendet, um andere Funktionen für ein Paket auszuführen, z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion.

Das Vorhandensein einer nicht beendenden Aktion, z. B. , oder , ohne eine explizite beendende Aktion, z. B. , , oder , führt zu einer standardmäßigen beendenden Aktion von .countlogsyslogacceptdiscardrejectaccept Wenn Sie nicht möchten, dass die Firewallfilteraktion beendet wird, verwenden Sie die Aktion nach der nicht beendenden Aktion.next term

HINWEIS:

Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden .next term Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term

In diesem Beispiel wird Ausdruck 2 nie ausgewertet, da Ausdruck 1 die implizite standardmäßige Beendigungsaktion aufweist.accept

In diesem Beispiel wird Begriff 2 ausgewertet, da Begriff 1 über die explizite Flusssteuerungsaktion verfügt.next term

Aktion zur Flusssteuerung

Nur bei standardmäßigen zustandslosen Firewall-Filtern ermöglicht die Aktion dem Router (oder Switch), konfigurierte Aktionen für das Paket auszuführen und dann den folgenden Begriff im Filter auszuwerten, anstatt den Filter zu beenden.next term

Pro standardmäßiger zustandsloser Firewall-Filterkonfiguration werden maximal 1024 Aktionen unterstützt.next term Wenn Sie einen Standardfilter konfigurieren, der diesen Grenzwert überschreitet, führt Ihre Kandidatenkonfiguration zu einem Commit-Fehler.