Verstehen, wie Firewallfilter ausgewertet werden
Ein Firewallfilter besteht aus einem oder mehreren Begriffen, und die Reihenfolge der Begriffe innerhalb eines Firewallfilters ist wichtig. Bevor Sie Firewall-Filter konfigurieren, sollten Sie sich darüber im Klaren sein, wie die Ethernet-Switches der EX-Serie von Juniper Networks die Begriffe innerhalb eines Firewall-Filters auswerten und wie Pakete anhand der Begriffe ausgewertet werden.
Wenn ein Firewallfilter aus einem einzelnen Begriff besteht, wird der Filter wie folgt ausgewertet:
Wenn das Paket alle Bedingungen erfüllt, wird die Aktion in der Anweisung ausgeführt.
then
Wenn das Paket alle Bedingungen erfüllt und in der Anweisung keine Aktion angegeben ist, wird die Standardaktion ausgeführt.
then
accept
Wenn ein Firewallfilter aus mehr als einem Begriff besteht, wird der Firewallfilter sequenziell ausgewertet:
Das Paket wird im ersten Term anhand der Bedingungen in der Anweisung ausgewertet.
from
Wenn das Paket alle Bedingungen im Begriff erfüllt, wird die Aktion in der Anweisung ausgeführt, und die Auswertung wird beendet.
then
Nachfolgende Terme im Filter werden nicht ausgewertet.Wenn das Paket nicht alle Bedingungen in der Laufzeit erfüllt, wird das Paket anhand der Bedingungen in der Anweisung in der zweiten Laufzeit ausgewertet.
from
Dieser Vorgang wird fortgesetzt, bis entweder das Paket mit den Bedingungen in der Anweisung in einem der nachfolgenden Begriffe übereinstimmt oder der Filter keine weiteren Begriffe enthält.
from
Wenn ein Paket alle Begriffe im Filter ohne Übereinstimmung durchläuft, wird das Paket verworfen.
Abbildung 1 zeigt, wie ein Switch der EX-Serie die Begriffe innerhalb eines Firewall-Filters auswertet.
Wenn ein Begriff keine Anweisung enthält, wird das Paket als übereinstimmend betrachtet und die Aktion in der Anweisung des Begriffs wird ausgeführt.from
then
Wenn ein Begriff keine Anweisung enthält oder wenn in der Anweisung keine Aktion konfiguriert wurde und das Paket den Bedingungen in der Anweisung des Begriffs entspricht, wird das Paket akzeptiert.then
then
from
Jeder Firewallfilter enthält am Ende des Filters eine implizite Anweisung, die dem folgenden expliziten Filterbegriff entspricht:deny
term implicit-rule { then discard; }
Wenn also ein Paket alle Terme in einem Filter durchläuft, ohne Bedingungen zu erfüllen, wird das Paket verworfen. Wenn Sie einen Firewallfilter konfigurieren, der keine Begriffe hat, werden alle Pakete, die den Filter passieren, verworfen.