Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen, wie Firewallfilter ausgewertet werden

Ein Firewallfilter besteht aus einem oder mehreren Begriffen, und die Reihenfolge der Begriffe innerhalb eines Firewallfilters ist wichtig. Bevor Sie Firewall-Filter konfigurieren, sollten Sie sich darüber im Klaren sein, wie die Ethernet-Switches der EX-Serie von Juniper Networks die Begriffe innerhalb eines Firewall-Filters auswerten und wie Pakete anhand der Begriffe ausgewertet werden.

Wenn ein Firewallfilter aus einem einzelnen Begriff besteht, wird der Filter wie folgt ausgewertet:

  • Wenn das Paket alle Bedingungen erfüllt, wird die Aktion in der then Anweisung ausgeführt.

  • Wenn das Paket alle Bedingungen erfüllt und in der then Anweisung keine Aktion angegeben ist, wird die Standardaktion accept ausgeführt.

Wenn ein Firewallfilter aus mehr als einem Begriff besteht, wird der Firewallfilter sequenziell ausgewertet:

  1. Das Paket wird im ersten Term anhand der Bedingungen in der from Anweisung ausgewertet.

  2. Wenn das Paket alle Bedingungen im Begriff erfüllt, wird die Aktion in der then Anweisung ausgeführt, und die Auswertung wird beendet. Nachfolgende Terme im Filter werden nicht ausgewertet.

  3. Wenn das Paket nicht alle Bedingungen in der Laufzeit erfüllt, wird das Paket anhand der Bedingungen in der from Anweisung in der zweiten Laufzeit ausgewertet.

    Dieser Vorgang wird fortgesetzt, bis entweder das Paket mit den Bedingungen in der from Anweisung in einem der nachfolgenden Begriffe übereinstimmt oder der Filter keine weiteren Begriffe enthält.

  4. Wenn ein Paket alle Begriffe im Filter ohne Übereinstimmung durchläuft, wird das Paket verworfen.

Abbildung 1 zeigt, wie ein Switch der EX-Serie die Begriffe innerhalb eines Firewall-Filters auswertet.

Abbildung 1: Auswertung von Begriffen innerhalb eines Firewall-FiltersAuswertung von Begriffen innerhalb eines Firewall-Filters

Wenn ein Begriff keine from Anweisung enthält, wird das Paket als übereinstimmend betrachtet und die Aktion in der then Anweisung des Begriffs wird ausgeführt.

Wenn ein Begriff keine then Anweisung enthält oder wenn in der then Anweisung keine Aktion konfiguriert wurde und das Paket den Bedingungen in der from Anweisung des Begriffs entspricht, wird das Paket akzeptiert.

Jeder Firewallfilter enthält am Ende des Filters eine implizite deny Anweisung, die dem folgenden expliziten Filterbegriff entspricht:

Wenn also ein Paket alle Terme in einem Filter durchläuft, ohne Bedingungen zu erfüllen, wird das Paket verworfen. Wenn Sie einen Firewallfilter konfigurieren, der keine Begriffe hat, werden alle Pakete, die den Filter passieren, verworfen.

Verwandte Themen