Auf dieser Seite
Zustandslose Firewall-Filterkomponenten
In diesem Thema werden die folgenden Informationen behandelt:
Protokoll-Familie
Unter der Anweisung können Sie die Protokollfamilie angeben, nach der Sie den Datenverkehr filtern möchten.firewall
Beschreibt die Firewallfilter-Protokollfamilien .Tabelle 1
Art des zu filternden Datenverkehrs |
Konfigurationsanweisung |
Kommentare |
---|---|---|
Protokollunabhängig |
|
Alle Protokollfamilien, die auf einer logischen Schnittstelle konfiguriert sind. |
Internet Protokoll Version 4 (IPv4) |
|
Die Anweisung ist für IPv4 optional. |
Internet Protokoll Version 6 (IPv6) |
|
|
MPLS |
|
|
IPv4 mit MPLS-Tags |
|
Unterstützt den Abgleich von IP-Adressen und Ports mit bis zu fünf gestapelten MPLS-Labels. |
IPv6 mit MPLS-Tags |
|
Unterstützt den Abgleich von IP-Adressen und Ports mit bis zu fünf gestapelten MPLS-Labels. |
Virtual Private LAN Service (VPLS) |
|
|
Layer-2-Schaltkreis-Querverbindung |
|
|
Layer 2 Bridging |
(für Router der MX-Serie) und (für Switches der EX-Serie) |
Nur Router der MX-Serie und Switches der EX-Serie. |
Filtertyp
Unter der Anweisung können Sie den Typ und den Namen des Filters angeben, den Sie konfigurieren möchten.family family-name
Tabelle 2 Beschreibt die Firewallfiltertypen.
Filtertyp |
Konfigurationsanweisung |
Beschreibung |
---|---|---|
Standard-Firewall-Filter |
|
Filtert die folgenden Datenverkehrstypen:
|
Service-Filter |
|
Definiert die Paketfilterung, die auf den ein- oder ausgehenden Datenverkehr angewendet werden soll, bevor sie für die Dienstverarbeitung akzeptiert wird, oder für den zurückgegebenen Dienstdatenverkehr, nachdem die Dienstverarbeitung abgeschlossen ist. Filtert die folgenden Datenverkehrstypen:
Wird nur für logische Schnittstellen unterstützt, die auf der folgenden Hardware konfiguriert sind:
|
Einfacher Filter |
|
Definiert die Paketfilterung, die nur auf eingehenden Datenverkehr angewendet werden soll. Filtert den folgenden Datenverkehrstyp:
Wird nur für logische Schnittstellen unterstützt, die auf der folgenden Hardware konfiguriert sind:
|
Bedingungen
Unter der Anweisung , oder müssen Sie mindestens einen Firewallfilterbegriff konfigurieren.filter
service-filter
simple-filter
Ein Begriff ist eine benannte Struktur, in der Übereinstimmungsbedingungen und -aktionen definiert sind. Innerhalb eines Firewallfilters müssen Sie für jeden Begriff einen eindeutigen Namen konfigurieren.
Für jede Protokollfamilie auf einer Schnittstelle können Sie nicht mehr als einen Filter in jede Richtung anwenden. Wenn Sie versuchen, zusätzliche Filter für dieselbe Protokollfamilie in derselben Richtung anzuwenden, überschreibt der letzte Filter den vorherigen Filter. Sie können jedoch Filter aus derselben Protokollfamilie auf die Ein- und Ausgangsrichtung derselben Schnittstelle anwenden.
Alle zustandslosen Firewallfilter enthalten einen oder mehrere Begriffe, und jeder Begriff besteht aus zwei Komponenten: Übereinstimmungsbedingungen und Aktionen. Die Übereinstimmungsbedingungen definieren die Werte oder Felder, die das Paket enthalten muss, um als Übereinstimmung betrachtet zu werden. Wenn ein Paket übereinstimmt, wird die entsprechende Aktion ausgeführt. Standardmäßig wird ein Paket, das nicht mit einem Firewallfilter übereinstimmt, verworfen.
Wenn ein Paket auf einer Schnittstelle eintrifft, für die kein Firewallfilter für den eingehenden Datenverkehr auf dieser Schnittstelle angewendet wird, wird das Paket standardmäßig akzeptiert.
Ein Firewallfilter mit einer großen Anzahl von Begriffen kann sich sowohl auf die Konfigurations-Commit-Zeit als auch auf die Leistung der Routing-Engine negativ auswirken.
Darüber hinaus können Sie einen zustandslosen Firewallfilter innerhalb der Laufzeit eines anderen Filters konfigurieren. Mit dieser Methode können Sie mehreren Filtern allgemeine Begriffe hinzufügen, ohne alle Filterdefinitionen ändern zu müssen. Sie können einen Filter mit den gewünschten allgemeinen Begriffen konfigurieren und diesen Filter als Begriff in anderen Filtern konfigurieren. Wenn Sie also eine Änderung an diesen allgemeinen Ausdrücken vornehmen möchten, müssen Sie nur einen Filter ändern, der die allgemeinen Ausdrücke enthält, anstatt mehrere Filter.
Spielbedingungen
Ein Firewallfilterbegriff muss mindestens ein Paketfilterkriterium enthalten, das als Übereinstimmungsbedingung bezeichnet wird, um das Feld oder den Wert anzugeben, den ein Paket enthalten muss, um als Übereinstimmung mit dem Firewallfilterbegriff betrachtet zu werden. Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in der Laufzeit erfüllen. Wenn ein Paket mit einem Firewall-Filterbegriff übereinstimmt, führt der Router (oder Switch) die konfigurierte Aktion für das Paket aus.
Wenn ein Firewallfilterbegriff mehrere Übereinstimmungsbedingungen enthält, muss ein Paket alle Übereinstimmungsbedingungen erfüllen, um als Übereinstimmung mit dem Firewallfilterbegriff betrachtet zu werden.
Wenn eine einzelne Übereinstimmungsbedingung mit mehreren Werten konfiguriert ist, z. B. einem Wertebereich, darf ein Paket nur mit einem der Werte übereinstimmen, um als Übereinstimmung mit dem Firewallfilterbegriff betrachtet zu werden.
Der Umfang der Übereinstimmungsbedingungen, die Sie in einem Firewallfilterbegriff angeben können, hängt von der Protokollfamilie ab, unter der der Firewallfilter konfiguriert ist. Sie können verschiedene Übereinstimmungsbedingungen definieren, z. B. das Feld für die IP-Quelladresse, das Feld für die IP-Zieladresse, das Feld für den TCP- oder UDP-Quellport, das Feld für das IP-Protokoll, den ICMP-Pakettyp (Internet Control Message Protocol), IP-Optionen, TCP-Flags, die eingehende logische oder physische Schnittstelle und die ausgehende logische oder physische Schnittstelle. Dabei handelt es sich um vordefinierte oder feste Übereinstimmungsbedingungen.
Auf Universal Edge Routern der MX 3D-Serie mit MPCs oder MICs ist es möglich, flexible Übereinstimmungsbedingungen für IPv4-, IPv6-, Layer-2-Bridge-, CCC- und VPLS-Protokollfamilien zu erstellen. Diese flexiblen Übereinstimmungsbedingungen ermöglichen es einem Benutzer, den Startort, den Byte-Offset, die Übereinstimmungslänge und andere Parameter innerhalb des Pakets anzugeben.
Jede Protokollfamilie unterstützt einen anderen Satz von Übereinstimmungsbedingungen, und einige Übereinstimmungsbedingungen werden nur auf bestimmten Routing-Geräten unterstützt. Beispielsweise werden eine Reihe von Übereinstimmungsbedingungen für VPLS-Datenverkehr nur auf den Universal Edge Routern der MX 3D-Serie unterstützt.
In der Anweisung in einem Firewallfilterbegriff geben Sie Merkmale an, die das Paket aufweisen muss, damit die Aktion in der nachfolgenden Anweisung ausgeführt werden kann.from
then
Die Merkmale werden als Übereinstimmungsbedingungen bezeichnet. Das Paket muss alle Bedingungen in der Anweisung erfüllen, damit die Aktion ausgeführt werden kann, was auch bedeutet, dass die Reihenfolge der Bedingungen in der Anweisung nicht wichtig ist.from
from
Wenn eine einzelne Übereinstimmungsbedingung eine Liste von Werten (z. B. mehrere Quell- und Zieladressen) oder einen Bereich numerischer Werte angeben kann, tritt eine Übereinstimmung auf, wenn einer der Werte mit dem Paket übereinstimmt.
Wenn ein Filterbegriff keine Übereinstimmungsbedingungen angibt, akzeptiert der Begriff alle Pakete, und die in der Anweisung des Begriffs angegebenen Aktionen sind optional.then
Bei einigen der Übereinstimmungsbedingungen für numerische Bereiche und Bitfelder können Sie ein Textsynonym angeben. Eine vollständige Liste der Synonyme finden Sie unter:
Wenn Sie die J-Web-Schnittstelle verwenden, wählen Sie das Synonym aus der entsprechenden Liste aus.
Wenn Sie die CLI verwenden, geben Sie nach der Anweisung ein Fragezeichen () ein.
?
from
Aktionen
Die Aktionen, die in einem Firewallfilterbegriff angegeben sind, definieren die Aktionen, die für jedes Paket ausgeführt werden sollen, das den im Begriff angegebenen Bedingungen entspricht.
Aktionen, die innerhalb eines einzelnen Begriffs konfiguriert werden, werden alle für Datenverkehr ausgeführt, der den konfigurierten Bedingungen entspricht.
Es wird dringend empfohlen, explizit eine oder mehrere Aktionen pro Firewallfilterbegriff zu konfigurieren. Jedes Paket, das alle Bedingungen des Begriffs erfüllt, wird automatisch akzeptiert, es sei denn, der Begriff gibt andere oder zusätzliche Aktionen an.
Firewallfilteraktionen lassen sich in die folgenden Kategorien einteilen:
Aktionen zum Beenden von Filtern
Eine filterbeendende Aktion stoppt die gesamte Auswertung eines Firewall-Filters für ein bestimmtes Paket. Der Router (oder Switch) führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe untersucht.
Nicht beendende Aktionen
Nicht beendende Aktionen werden verwendet, um andere Funktionen für ein Paket auszuführen, z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion.
Das Vorhandensein einer nicht beendenden Aktion, z. B. , oder , ohne eine explizite beendende Aktion, z. B. , , oder , führt zu einer standardmäßigen beendenden Aktion von .count
log
syslog
accept
discard
reject
accept
Wenn Sie nicht möchten, dass die Firewallfilteraktion beendet wird, verwenden Sie die Aktion nach der nicht beendenden Aktion.next term
Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden .next term
Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term
In diesem Beispiel wird Ausdruck 2 nie ausgewertet, da Ausdruck 1 die implizite standardmäßige Beendigungsaktion aufweist.accept
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; <accept> #By default if not specified } } term 2 { then { reject; } }
In diesem Beispiel wird Begriff 2 ausgewertet, da Begriff 1 über die explizite Flusssteuerungsaktion verfügt.next term
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; next term; } } term 2 { then { reject; } }
Aktion zur Flusssteuerung
Nur bei standardmäßigen zustandslosen Firewall-Filtern ermöglicht die Aktion dem Router (oder Switch), konfigurierte Aktionen für das Paket auszuführen und dann den folgenden Begriff im Filter auszuwerten, anstatt den Filter zu beenden.next term
Pro standardmäßiger zustandsloser Firewall-Filterkonfiguration werden maximal 1024 Aktionen unterstützt.next term
Wenn Sie einen Standardfilter konfigurieren, der diesen Grenzwert überschreitet, führt Ihre Kandidatenkonfiguration zu einem Commit-Fehler.