Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen, wie Firewallfilter ausgewertet werden

Ein Firewallfilter besteht aus einem oder mehreren Begriffen, und die Reihenfolge der Begriffe innerhalb eines Firewallfilters ist wichtig. Bevor Sie Firewall-Filter konfigurieren, sollten Sie sich darüber im Klaren sein, wie die Ethernet-Switches der EX-Serie von Juniper Networks die Begriffe innerhalb eines Firewall-Filters auswerten und wie Pakete anhand der Begriffe ausgewertet werden.

Wenn ein Firewallfilter aus einem einzelnen Begriff besteht, wird der Filter wie folgt ausgewertet:

  • Wenn das Paket alle Bedingungen erfüllt, wird die Aktion in der Anweisung ausgeführt.then

  • Wenn das Paket alle Bedingungen erfüllt und in der Anweisung keine Aktion angegeben ist, wird die Standardaktion ausgeführt.thenaccept

Wenn ein Firewallfilter aus mehr als einem Begriff besteht, wird der Firewallfilter sequenziell ausgewertet:

  1. Das Paket wird im ersten Term anhand der Bedingungen in der Anweisung ausgewertet.from

  2. Wenn das Paket alle Bedingungen im Begriff erfüllt, wird die Aktion in der Anweisung ausgeführt, und die Auswertung wird beendet.then Nachfolgende Terme im Filter werden nicht ausgewertet.

  3. Wenn das Paket nicht alle Bedingungen in der Laufzeit erfüllt, wird das Paket anhand der Bedingungen in der Anweisung in der zweiten Laufzeit ausgewertet.from

    Dieser Vorgang wird fortgesetzt, bis entweder das Paket mit den Bedingungen in der Anweisung in einem der nachfolgenden Begriffe übereinstimmt oder der Filter keine weiteren Begriffe enthält.from

  4. Wenn ein Paket alle Begriffe im Filter ohne Übereinstimmung durchläuft, wird das Paket verworfen.

Abbildung 1 zeigt, wie ein Switch der EX-Serie die Begriffe innerhalb eines Firewall-Filters auswertet.

Abbildung 1: Auswertung von Begriffen innerhalb eines Firewall-FiltersAuswertung von Begriffen innerhalb eines Firewall-Filters

Wenn ein Begriff keine Anweisung enthält, wird das Paket als übereinstimmend betrachtet und die Aktion in der Anweisung des Begriffs wird ausgeführt.fromthen

Wenn ein Begriff keine Anweisung enthält oder wenn in der Anweisung keine Aktion konfiguriert wurde und das Paket den Bedingungen in der Anweisung des Begriffs entspricht, wird das Paket akzeptiert.thenthenfrom

Jeder Firewallfilter enthält am Ende des Filters eine implizite Anweisung, die dem folgenden expliziten Filterbegriff entspricht:deny

Wenn also ein Paket alle Terme in einem Filter durchläuft, ohne Bedingungen zu erfüllen, wird das Paket verworfen. Wenn Sie einen Firewallfilter konfigurieren, der keine Begriffe hat, werden alle Pakete, die den Filter passieren, verworfen.

Verwandte Themen