Auf dieser Seite
Grundlegende Bedingungen für die Übereinstimmung von Firewall-Filtern
Bevor Sie Begriffe für Firewall-Filter definieren, müssen Sie verstehen, wie die Bedingungen, die Sie in einem Begriff angeben, verarbeitet werden und wie verschiedene Arten von Übereinstimmungsbedingungen angegeben werden, um die gewünschten Filterergebnisse zu erzielen. Eine Übereinstimmungsbedingung besteht aus einem String (als Übereinstimmungs-Anweisung bezeichnet), der die Übereinstimmungsbedingung definiert. Bedingungen sind die Werte oder Felder, die ein Paket enthalten muss.
Bedingungen für Filter-Übereinstimmungen
Im Begriff eines Firewall-Filters geben Sie die Paketbedingungen an, die die Aktion from in einer der Anweisungen then auslösen: then mit verschiedenen then interface Optionen oder then vlan . Alle Bedingungen in from der Erklärung müssen mit der zu ergreifenden Aktion übereinstimmen. Die Reihenfolge, in der Sie die Übereinstimmungsbedingungen angeben, ist nicht wichtig, da ein Paket allen Bedingungen in einem Begriff für eine Übereinstimmung übereinstimmen muss.
Wenn Sie keine Bedingungen in einem Begriff angeben, entspricht dieser Begriff allen Paketen.
Eine einzelne Bedingung in einer from Anweisung kann keine Liste von Werten enthalten. Beispielsweise können Sie keine numerischen Bereiche oder mehrere Quell- oder Zieladressen angeben.
Einzelne Bedingungen in from einer Erklärung können nicht verdringt werden. Eine nicht zu erfüllende Bedingung ist ein Explicit Mismatch.
Numerische Filter-Übereinstimmungsbedingungen
Numerische Filterbedingungen erfüllen Paketfelder, die mit einem numerischen Wert wie Port- und Protokollnummern identifiziert werden. Bei numerischen Filter-Übereinstimmungsbedingungen geben Sie ein Stichwort ein, das den Zustand und einen einzelnen Wert enthält, dem ein Feld in einem Paket übereinstimmen muss.
Sie können den numerischen Wert auf eine der folgenden Arten angeben:
Einzelne Nummer: Eine Übereinstimmung findet statt, wenn der Wert des Feldes mit der Nummer übereinstimmen sollte. Zum Beispiel:
source-port 25;
Text synonym für eine einzelne Nummer: Eine Übereinstimmung findet statt, wenn der Wert des Feldes mit der Nummer entspricht, die dem Synonym entspricht. Zum Beispiel:
source-port http;
Um mehr als einen Wert in einem Filterbegriff anzugeben, geben Sie jeden Wert in einer eigenen Übereinstimmungsauszug ein. Dabei handelt es sich um eine Zeichenfolge, die eine Übereinstimmungsbedingung definiert. Beispielsweise erfolgt eine Übereinstimmung im folgenden Begriff, wenn der Wert vlan 10 oder 30 ist.
[edit firewall family family-name filter filter-name term term-name from] vlan 10; vlan 30;
Für numerische Filter-Übereinstimmungsbedingungen gelten die folgenden Einschränkungen:
Sie können keinen Bereich von Werten angeben.
Sie können keine Liste von durch Komma voneinander getrennten Werten angeben.
Sie können einen bestimmten Wert in einer numerischen Filter-Übereinstimmungsbedingung nicht ausschließen. Sie können beispielsweise keine Bedingungen angeben, die nur dann übereinstimmen, wenn die Bedingungen nicht einem bestimmten Wert entspricht.
Bedingungen für Schnittstellenfilter und -bedingungen
Die Bedingungen für die Übereinstimmung mit dem Schnittstellenfilter können den Schnittstellennamen in einem Paket übereinstimmen. Für Bedingungen, die den Schnittstellenfiltern übereinstimmen, geben Sie den Namen der Schnittstelle an, z. B.:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/0/1
Für Port- und VLAN-Schnittstellen werden keine logischen Einheitennummern verwendet. Ein Firewall-Filter, der auf eine Routerschnittstelle angewendet wird, kann beispielsweise die logische Einheitennummer in der Übereinstimmungsbedingung des Schnittstellenfilters angeben:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/1/0.0
Sie können die * Platzhalterung als Teil des Schnittstellennamens angeben, z. B.:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set interface ge-0/*/1 user@switch# set interface ge-0/1/* user@switch# set interface ge-*
Bedingungen für die Übereinstimmung mit IP-Adressenfiltern
Adressfilter-Übereinstimmungsbedingungen können Prefix-Werte in einem Paket, wie IP-Quell- und Ziel-Präfixe, erfüllen. Für Bedingungen für Adressenfilter-Übereinstimmungen geben Sie ein Schlüsselwort an, das das Feld identifiziert, und ein Präfix dieses Typs, das einem Paket übereinstimmen muss.
Sie geben die Adresse als einzelnes Präfix an. Eine Übereinstimmung findet statt, wenn der Wert des Feldes dem Präfix entspricht. Zum Beispiel:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10.2.1.0/28;
Jedes Präfix enthält eine implizite 0/0-Ausnahmeaussage. Das bedeutet, dass Präfixe, die nicht mit dem angegebenen Präfix übereinstimmen, explizit nicht übereinstimmen.
Verwenden Sie das Präfix und die Präfixlänge der Adresse. Wenn Sie Prefix-Länge nicht verwenden, ist die Standardeinstellung 32. Zum Beispiel:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-address 10 [edit firewall family family-name filter filter-name term term-name from] user@switch# show destination-address 10.0.0.0/32;
Um mehr als eine IP-Adresse in einem Filterbegriff anzugeben, geben Sie jede Adresse in einer eigenen Übereinstimmungsauszug ein. Beispielsweise erfolgt eine Übereinstimmung im folgenden Begriff, wenn der Wert des Feldes mit einem der folgenden source-address Quelladressen-Präfixe entspricht:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-address 10.0.0.0/8 user@switch# set source-address 10.1.0.0/16
Übereinstimmungsbedingungen für MAC-Adressenfilter
Die Übereinstimmungsbedingungen für MAC-Adressenfilter können den MAC-Adressenwerten des Quell- und Zielorts in einem Paket übereinstimmen. Für Bedingungen, die den MAC-Adressenfiltern erfüllen, geben Sie ein Schlüsselwort an, das das Feld identifiziert, und einen Wert dieses Typs, dem ein Paket übereinstimmen muss.
Sie können die MAC-Adresse in den folgenden Formaten als sechs Hexadezimalbytes angeben:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 0011.2233.4455
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 00:11:22:33:44:55
[edit firewall family family-name filter filter-name term term-name from] user@switch# set destination-mac-address 001122334455
Um in einem Filterbegriff mehr als eine MAC-Adresse anzugeben, geben Sie jede MAC-Adresse in einer eigenen Übereinstimmungsauszug ein. Beispielsweise erfolgt eine Übereinstimmung im folgenden Begriff, wenn der Wert des Feldes mit einer der source-mac-address folgenden Adressen entspricht.
[edit firewall family family-name filter filter-name term term-name from] user@switch# set source-mac-address 00:11:22:33:44:55 user@switch# set source-mac-address 00:11:22:33:20:15
Bedingungen für Bit-Field-Filter-Übereinstimmungen
Die Bitfeld-Filterbedingungen passen die Paketfelder an, wenn bestimmte Bits in diesen Feldern festgelegt sind oder nicht festgelegt sind. Sie können die IP-Optionen, TCP-Flags und IP-Fragmentierungsfelder aufeinander abgestimmt werden. Für Bedingungen zur Übereinstimmung eines Bitfeld-Filters geben Sie ein Stichwort an, das das Feld identifiziert und Tests durchgeführt hat, um zu bestimmen, ob die Option im Feld vorhanden ist.
Um den zu wählenden Bitfeldwert anzugeben, schließen Sie den Wert in doppelten Anführungszeichen ein. Beispielsweise erfolgt eine Übereinstimmung, wenn der RST Bit im TCP-Flags-Feld festgelegt ist:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "rst"
Sie geben normalerweise die Bits an, die mithilfe von Keywords getestet werden sollen. Suchbegriffe für Bit-Feld-Übereinstimmungen werden immer einem Einzelnen-Bit-Wert zuordnen. Sie können auch Bitfelder als Hexadezimal- oder Dezimalwerte angeben.
Verwenden Sie die logischen Operatoren, die in beschrieben werden, um mehrere Bitfeldwerte zu Tabelle 1 verwenden. Die Operatoren sind in der Reihenfolge von höchster Rangfolge bis niedrigster Rangfolge aufgelistet. Der Betrieb ist links assoziativ.
Logische Operatoren |
Beschreibung |
|---|---|
! |
Negation. |
& |
Logische UND. |
| |
Logische ODER. |
Um eine Übereinstimmung zu negaten, gehen Sie dem Wert mit einem Exclamationspunkt voraus. Beispielsweise erfolgt eine Übereinstimmung nur, wenn das RST-Bit im TCP-Flags-Feld nicht festgelegt ist:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "!rst"
Im folgenden Beispiel für eine logische UND operation findet eine Übereinstimmung statt, wenn das Paket das initiale Paket einer TCP-Sitzung ist:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn&!ack"
Im folgenden Beispiel einer logischen ODER eines logischen Betriebs findet eine Übereinstimmung statt, wenn das Paket nicht das initiale Paket einer TCP-Sitzung ist:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags "syn|ack"
Für einen logischen ODER einen logischen Betrieb können Sie maximal zwei Bedingungen in einem einzigen Begriff festlegen. Wenn Sie in einem logischen oder Betrieb mehr als zwei Bitfeldwerte aufeinander abgestimmt haben, konfigurieren Sie dieselbe Übereinstimmungsbedingung in aufeinanderfolgenden Bedingungen mit zusätzlichen Bitfeldwerten. Im folgenden Beispiel werden die beiden Bedingungen im Feld TCP-Flags mit SYN, ACK, FIN oder RST-Bit übereinstimmen:
[edit firewall family family-name filter filter-name term term-name1 from] user@switch# set tcp-flags "syn|ack" [edit firewall family family-name filter filter-name term term-name2 from] user@switch# set tcp-flags "fin|rst"
Sie können Textsynonyme verwenden, um einige allgemeine Bitfeld-Treffer anzugeben. Sie geben diese Treffer als ein Schlüsselwort an. Im folgenden Beispiel für ein Text synonym erfolgt eine Übereinstimmung, wenn das Paket das initiale Paket einer TCP-Sitzung ist:
[edit firewall family family-name filter filter-name term term-name from] user@switch# set tcp-flags tcp-initial