Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Stateless Firewall Filter-Komponenten

In diesem Thema finden Sie die folgenden Informationen:

Protokollfamilie

In der Anweisung können Sie die Protokollfamilie angeben, für die der firewall Datenverkehr gefiltert werden soll.

Tabelle 1 beschreibt die Protokollfamilien der Firewall-Filter.

Tabelle 1: Firewall-Filterprotokollfamilien

Typ des zu filternden Datenverkehrs

Konfigurationserklärung

Kommentare

Protokollunabhängig

family any

Alle auf einer logischen Schnittstelle konfigurierten Protokollfamilien.

Internet Protocol Version 4 (IPv4)

family inet

Die family inet Aussage ist für IPv4 optional.

Internet Protocol Version 6 (IPv6)

family inet6

 

MPLS

family mpls

 

MPLS tagged IPv4

family mpls

Unterstützt die Abgleich von IP-Adressen und Ports, bis zu fünf MPLS mit Stacks.

MPLS tagged IPv6

family mpls

Unterstützt die Abgleich von IP-Adressen und Ports, bis zu fünf MPLS mit Stacks.

Virtueller privater LAN-Service (VPLS)

family vpls

Layer 2 Circuit Cross Connection (Verbindungsübergreifender Layer 2-Verbindungsschutz)

family ccc

Layer 2-Bridging

family bridge (für Router der MX-Serie) und family ethernet-switching (für Switches der EX-Serie)

Nur Router der MX-Serie und Switches der EX-Serie.

Filtertyp

In der Anweisung können Sie den Typ und Namen des zu konfigurierenden Filters family family-name angeben.

Tabelle 2 beschreibt die Firewall-Filtertypen.

Tabelle 2: Filtertypen

Filtertyp

Konfigurationserklärung

Beschreibung

Standard-Firewallfilter

filter filter-name

Filtert die folgenden Datenverkehrstypen:

  • Protokollunabhängig

  • IPv4

  • IPv6

  • MPLS

  • MPLS tagged IPv4

  • MPLS tagged IPv6

  • VPLS

  • Layer 2 CCC

  • Layer 2-Bridging (nur Router der MX-Serie und Switches der EX-Serie)

Dienstfilter

service-filter service-filter-name

Definiert die Paketfilterung, die auf Ingress oder Egress angewendet werden soll, bevor sie zur Dienstverarbeitung akzeptiert oder auf den rückkehrenden Servicedatenverkehr angewendet wird, nachdem die Serviceverarbeitung abgeschlossen ist.

Filtert die folgenden Datenverkehrstypen:

  • IPv4

  • IPv6

Wird an logischen Schnittstellen unterstützt, die nur auf der folgenden Hardware konfiguriert sind:

  • PiCs für adaptive Dienste (AS) auf Routern M Series Routern T-Serie Routern

  • Multiservices-PICs (MS) auf Routern M Series T-Serie Routern

  • Multiservices (MS) DPCs auf Routern der MX-Serie (und Switches der EX-Serie)

Einfacher Filter

simple-filter simple-filter-name

Definition der Paketfilterung, die nur auf eingehenden Datenverkehr angewendet werden soll.

Filtert den folgenden Datenverkehrstyp:

  • IPv4

Wird an logischen Schnittstellen unterstützt, die nur auf der folgenden Hardware konfiguriert sind:

  • Gigabit Ethernet Intelligent Queuing (IQ2)-PICs, die auf Routern M120, M320 bzw. T-Serie installiert sind

  • Enhanced Queuing Dense Port Concentrators (DPCs) auf Routern der MX-Serie (und Switches der EX-Serie)

Bedingungen

Unter dem Begriff bzw. der Anweisung müssen Sie filterservice-filter mindestens einen simple-filter Firewall-Filterbegriff konfigurieren. Ein Begriff ist eine benannte Struktur, in der Bedingungen und Aktionen definiert werden. In einem Firewall-Filter müssen Sie einen eindeutigen Namen für jeden Begriff konfigurieren.

Tipp:

Für jede Protokollfamilie auf einer Schnittstelle kann in jeder Richtung nicht mehr als ein Filter angewendet werden. Wenn Sie versuchen, zusätzliche Filter für die gleiche Protokollfamilie in derselben Richtung anzuwenden, überschreibt der letzte Filter den vorherigen Filter. Sie können jedoch Filter von der gleichen Protokollfamilie auf die Ein- und Ausgaberichtung der gleichen Schnittstelle anwenden.

Alle Stateless-Firewall-Filter enthalten mindestens einen Begriff, und jeder Begriff besteht aus zwei Komponenten: Bedingungen und Aktionen. In den Übereinstimmungsbedingungen werden die Werte oder Felder definiert, die das Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Wenn es sich bei einem Paket um eine Übereinstimmung handelt, wird die entsprechende Aktion ergriffen. Standardmäßig wird ein Paket verworfen, das nicht einem Firewall-Filter passt.

Wenn ein Paket an einer Schnittstelle ankommt, für die kein Firewall-Filter für den eingehenden Datenverkehr an dieser Schnittstelle angewendet wird, wird das Paket standardmäßig akzeptiert.

Anmerkung:

Ein Firewall-Filter mit einer großen Anzahl von Bedingungen kann sowohl die Commit-Zeit der Konfiguration als auch die Leistung des Firewall-Routing-Engine.

Darüber hinaus können Sie einen zustandslosen Firewall-Filter innerhalb des Begriffs eines anderen Filters konfigurieren. Mit dieser Methode können Sie allgemeine Begriffe mehreren Filtern hinzufügen, ohne alle Filterdefinitionen ändern zu müssen. Sie können einen Filter mit den gewünschten allgemeinen Begriffen konfigurieren und diesen Filter als Begriff in anderen Filtern konfigurieren. Daher müssen Sie für die Änderung dieser Begriffe nur einen Filter, der die allgemeinen Bedingungen enthält, anstelle von mehreren Filtern, ändern.

Bedingungen erfüllen

Ein Begriff für den Firewall-Filter muss mindestens ein Paketfilterkriterien enthalten, das als Übereinstimmungsbedingung bezeichnet wird, um das Feld oder den Wert anzugeben, den ein Paket enthalten muss, um als Übereinstimmung mit dem Begriff des Firewall-Filters betrachtet zu werden. Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in dem Begriff erfüllen. Wenn ein Paket mit einem Begriff für den Firewall-Filter entspricht, führt der Router (oder Switch) die konfigurierte Aktion auf dem Paket durch.

Wenn ein Firewall-Filter mehrere Bedingungen enthält, muss ein Paket alle Bedingungen erfüllen, um als Übereinstimmung mit dem Begriff der Firewall-Filter gelten zu können.

Wenn eine einzige Übereinstimmungsbedingung mit mehreren Werten wie einem Bereich von Werten konfiguriert ist, muss ein Paket nur einem der Werte übereinstimmen, die als Übereinstimmung mit dem Begriff des Firewall-Filters betrachtet werden.

Der Umfang der Übereinstimmungsbedingungen, die Sie in einem Begriff für Firewall-Filter angeben können, hängt von der Protokollfamilie ab, unter der der Firewall-Filter konfiguriert ist. Sie können verschiedene Übereinstimmungsbedingungen definieren, einschließlich IP-Quelladressenfeld, IP-Zieladressenfeld, TCP- oder UDP-Quell-Portfeld, IP-Protokollfeld, ICMP-Pakettyp (Internet Control Message Protocol), IP-Optionen, TCP-Flags, eingehende logische oder physische Schnittstelle und ausgehende logische bzw. physische Schnittstelle. Hierbei handelt es sich um vordefinierte oder feste Übereinstimmungsbedingungen.

Bei Universal Edge Routern der MX 3D-Serie mit MPCs oder MICs ist es möglich, flexible Übereinstimmungsbedingungen für die Protokollfamilien IPv4, IPv6, Layer 2 Bridge, CCC und VPLS zu erstellen. Diese flexiblen Bedingungen ermöglichen einem Benutzer die Angabe von Startposition, Byte-Versatz, Übereinstimmungslänge und anderen Parametern innerhalb des Pakets.

Jede Protokollfamilie unterstützt unterschiedliche Bedingungen, und einige Übereinstimmungsbedingungen werden nur auf bestimmten Routinggeräten unterstützt. So werden beispielsweise nur auf den Universal Edge Routern der MX 3D-Serie eine Reihe von Übereinstimmungsbedingungen für VPLS-Datenverkehr unterstützt.

In der Anweisung in einem Begriff für Firewall-Filter geben Sie die Eigenschaften an, die das Paket aufweisen muss, damit die Aktion in der nachfolgenden fromthen Anweisung ausgeführt wird. Die Eigenschaften werden als Übereinstimmungsbedingungen bezeichnet. Das Paket muss allen Bedingungen in der Anweisung für die durchzuführende Aktion übereinstimmen. Dies bedeutet auch, dass die Reihenfolge der Bedingungen in der Aussage fromfrom nicht wichtig ist.

Wenn eine individuelle Übereinstimmungsbedingung eine Liste von Werten (z. B. mehrere Quell- und Zieladressen) oder einen Bereich numerischer Werte angeben kann, tritt eine Übereinstimmung auf, wenn einer der Werte dem Paket entspricht.

Wenn für einen Filterbegriff keine Übereinstimmungsbedingungen angegeben sind, akzeptiert der Begriff alle Pakete und die in der Term-Anweisung angegebenen Aktionen then sind optional.

Anmerkung:

Mit einigen der numerischen Bereichs- und Bitfeld-Übereinstimmungsbedingungen können Sie ein Text synonym für ein Synonym angeben. Eine vollständige Liste von Synonymen:

  • Wenn Sie die J-Web-Schnittstelle verwenden, wählen Sie das Synonym in der entsprechenden Liste aus.

  • Wenn Sie das CLI verwenden, geben Sie nach der Erklärung ein Fragezeichen ( ? ) from ein.

Aktionen

Die im Begriff eines Firewall-Filters angegebenen Aktionen definieren die Aktionen für jedes Paket, das den im Begriff angegebenen Bedingungen entspricht.

Bei Aktionen, die innerhalb eines Begriffs konfiguriert sind, werden alle bei Datenverkehr durchgeführt, der den konfigurierten Bedingungen entspricht.

Best Practice:

Wir empfehlen Dringend, dass Sie eine oder mehrere Aktionen pro Begriff für Firewall-Filter explizit konfigurieren. Alle Pakete, die allen Bedingungen des Begriffs entspricht, werden automatisch akzeptiert, es sei denn, der Begriff gibt andere oder zusätzliche Aktionen an.

Firewall-Filter-Aktionen fallen in die folgenden Kategorien:

Aktionen zum Beenden von Filtern

Eine Aktion, die den Filter beendet, stoppt alle Evaluierungen eines Firewall-Filters für ein bestimmtes Paket. Der Router (oder Switch) führt die angegebene Aktion aus, und es werden keine weiteren Begriffe untersucht.

Nichtterminierende Aktionen

Nichtterminierende Aktionen werden verwendet, um andere Funktionen auf einem Paket auszuführen, z. B. das Erhöhen eines Zählers, Protokollierung von Informationen zum Paket-Header, Sampling der Paketdaten oder Senden von Informationen über die Systemprotokollfunktion an einen Remote-Host.

Das Vorhandensein einer nicht endenden Aktion wie , oder , ohne eine explizite Terminierungsaktion wie , oder , führt zu einer Standard-Terminierungsaktion countlog von syslogacceptdiscardrejectaccept . Wenn die Aktion zum Beenden des Firewallfilters nicht beendet werden soll, verwenden Sie die Aktion next term nach der nicht endenden Aktion.

Anmerkung:

Auf Junos OS Weiterentwickelt, next term kann nicht als letzter Ausdruck der Aktion erscheinen. Ein Filterbegriff, der als Aktion festgelegt wird, aber ohne die Konfiguration von Übereinstimmungsbedingungen next term wird nicht unterstützt.

In diesem Beispiel wird Begriff 2 niemals ausgewertet, da Begriff 1 die implizite accept Standardterminierungsaktion aufträgt.

In diesem Beispiel wird Begriff 2 bewertet, da Begriff 1 die explizite next term Flusssteuerungsaktion auf sich hat.

Datenstromsteuerungs-Maßnahme

Nur für Zustandsfreie Standard-Firewallfilter ermöglicht die Aktion dem Router (oder Switch), konfigurierte Aktionen auf dem Paket durchzuführen und dann den folgenden Begriff im Filter zu evaluieren, anstatt den Filter zu next term beenden.

Pro Standardkonfiguration von zustandslosen Firewallfiltern werden maximal 1024 next term Aktionen unterstützt. Wenn Sie einen Standardfilter konfigurieren, der diese Begrenzung überschreitet, führt die Konfiguration Ihres Kandidaten zu einem Commit-Fehler.