Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Firewall-Filter für Switches der EX-Serie – Übersicht

Firewall-Filter stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle auf einem Ethernet-Switch der EX-Serie von Juniper Networks von einer Quelladresse zu einer Zieladresse übertragen, zugelassen, verweigert oder weitergeleitet werden sollen. Sie konfigurieren Firewall-Filter, um zu bestimmen, ob Datenverkehr zugelassen, verweigert oder weitergeleitet werden soll, bevor er einen Port, ein VLAN oder eine Layer-3-Schnittstelle (geroutet) betritt oder verlässt, auf die der Firewall-Filter angewendet wird. Um einen Firewall-Filter anzuwenden, müssen Sie zuerst den Filter konfigurieren und ihn dann auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle anwenden.

Sie können Firewall-Filter auf Netzwerkschnittstellen, aggregierte Ethernet-Schnittstellen (auch als Link Aggregation Groups (LAGs) bezeichnet), Loopback-Schnittstellen, Verwaltungsschnittstellen, virtuelle Management-Ethernet-Schnittstellen (VMEs) und geroutete VLAN-Schnittstellen (RVIs) anwenden. Informationen zu Switches der EX-Serie, die einen Firewall-Filter auf diesen Schnittstellen unterstützen, finden Sie unter Übersicht über die Softwarefunktionen der EX-Serie.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/ex-series-software-features-overview.html

Ein Eingangs-Firewall-Filter ist ein Filter, der auf Pakete angewendet wird, die in ein Netzwerk gelangen. Ein Ausgangs-Firewall-Filter ist ein Filter, der auf Pakete angewendet wird, die ein Netzwerk verlassen. Sie können Firewallfilter so konfigurieren, dass Pakete gefiltert, CoS-Markierung (Class-of-Service) (Gruppierung ähnlicher Datenverkehrstypen und Behandlung jedes Datenverkehrstyps als Klasse mit eigener Service-Priorität) und Datenverkehrsüberwachung (Steuerung der maximalen Rate des an einer Schnittstelle gesendeten oder empfangenen Datenverkehrs) unterzogen werden.

HINWEIS:

Policer auf Netzwerkport-, Layer-2- und Layer-3- oder IRB-Schnittstellen überwachen den hostgebundenen Datenverkehr nicht. Wenn Sie jedoch DDoS-Angriffe verhindern möchten, können Sie einen Firewall-Filter auf lo0 erstellen, der die Routing-Engine schützt.

Firewall-Filtertypen

Die folgenden Firewall-Filtertypen werden für Switches der EX-Serie unterstützt:

  • Port-Firewall-Filter (Layer 2): Port-Firewall-Filter gelten für Layer-2-Switch-Ports. Sie können Port-Firewall-Filter sowohl in Eingangs- als auch in Ausgangsrichtung auf einem physischen Port anwenden.

  • VLAN-Firewall-Filter: VLAN-Firewall-Filter bieten Zugriffskontrolle für Pakete, die in ein VLAN eingehen, innerhalb eines VLAN überbrückt werden oder ein VLAN verlassen. Sie können VLAN-Firewall-Filter sowohl in Eingangs- als auch in Ausgangsrichtung auf ein VLAN anwenden. VLAN-Firewall-Filter werden auf alle Pakete angewendet, die an das VLAN weitergeleitet oder von diesem weitergeleitet werden.

  • Router-Firewall-Filter (Layer 3): Sie können einen Router-Firewall-Filter sowohl in Eingangs- als auch in Ausgangsrichtung auf Layer-3-Schnittstellen (geroutet) und geroutete VLAN-Schnittstellen (RVIs) anwenden. Sie können einen Router-Firewall-Filter in Eingangsrichtung auch auf die Loopback-Schnittstelle () anwenden.lo0 Firewall-Filter, die auf Loopback-Schnittstellen konfiguriert sind, werden nur auf Pakete angewendet, die zur weiteren Verarbeitung an die Routing-Engine-CPU gesendet werden.

Sie können Port-, VLAN- oder Router-Firewall-Filter sowohl auf IPv4- als auch auf IPv6-Datenverkehr auf diesen Switches anwenden:

  • EX2200-Switch

  • EX3300-Switch

  • EX3200-Switch

  • EX4200-Switch

  • EX4300-Switch

  • EX4400-Switch

  • EX4500-Switch

  • EX4550-Switch

  • EX6200-Switch

  • EX8200-Switch

Informationen zu Firewall-Filtern, die auf verschiedenen Switches unterstützt werden, finden Sie unter Plattformunterstützung für Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie.Plattformunterstützung für Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren auf Switches der EX-Serie

Firewall-Filterkomponenten

In einem Firewallfilter definieren Sie zuerst den Familienadresstyp (, , oder ), und dann definieren Sie einen oder mehrere Begriffe, die die Filterkriterien (angegeben als Begriffe mit Übereinstimmungsbedingungen) und die Aktion (angegeben als Aktionen oder Aktionsmodifikatoren) angeben, die ausgeführt werden sollen, wenn eine Übereinstimmung auftritt.ethernet-switchinginetinet6

Die maximal zulässige Anzahl von Begriffen pro Firewall-Filter für Switches der EX-Serie beträgt:

  • 512 für EX2200-Switches

  • 1436 für EX3300-Switches

    HINWEIS:

    Wenn Sie auf EX3300-Switches Filter mit einer großen Anzahl von Begriffen (in der Größenordnung von 1000 oder mehr) im selben Commit-Vorgang hinzufügen und löschen, werden nicht alle Filter installiert. Sie müssen Filter in einem Commitvorgang hinzufügen und Filter in einem separaten Commitvorgang löschen.

  • 7.042 für EX3200- und EX4200-Switches – wie durch die dynamische Zuweisung von ternärem Content Addressable Memory (TCAM) für Firewall-Filter zugewiesen.

  • Auf EX4300-Switches wird die folgende maximale Anzahl von Begriffen für ein- und ausgehenden Datenverkehr für Firewall-Filer unterstützt, die auf einem Port, VLAN und einer Layer-3-Schnittstelle konfiguriert sind:

    • Für eingehenden Datenverkehr:

      • 3500 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 3500 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 7000 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 3500 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    • Bei EX4300-MP-Geräten ist die Eingangsunterstützung die gleiche wie oben, mit der folgenden Ausnahme:

      • 3072-Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

    • Für ausgehenden Datenverkehr:

      • 512 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

      • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

      • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

    HINWEIS:

    Sie können die maximale Anzahl von Begriffen nur konfigurieren, wenn Sie einen Firewall-Filtertyp (Port-, VLAN- oder Router-Firewall-Filter (Layer 3)) auf dem Switch konfigurieren und wenn die Sturmsteuerung auf keiner Schnittstelle im Switch aktiviert ist.

  • Für EX4400-Switches wird die folgende maximale Anzahl von Begriffen für ein- und ausgehenden Datenverkehr für Firewall-Filter unterstützt, die auf einem Port, VLAN und Layer-3-Schnittstellen konfiguriert sind.

    • Für eingehenden Datenverkehr:

      • 2048 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind.

      • 2048 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind.

      • 2048 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen konfiguriert sind.

    • Für ausgehenden Datenverkehr:

      • 1024 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind.

      • 512 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind.

      • 1024 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen konfiguriert sind.

  • 1200 für EX4500- und EX4550-Switches

  • 1400 für EX6200-Switches

  • 32.768 für EX8200-Switches

HINWEIS:

Die dynamische On-Demand-Zuweisung des Shared Space-TCAM in EX8200-Switches wird durch die Zuweisung von Blöcken für freien Speicherplatz zu Firewall-Filtern erreicht. Firewall-Filter werden in zwei verschiedene Pools eingeteilt. Port- und VLAN-Filter werden in einem Pool zusammengefasst (der Speicherschwellenwert für diesen Pool beträgt 22 KB), während Router-Firewall-Filter separat zusammengefasst werden (der Schwellenwert für diesen Pool beträgt 32 KB). Die Zuweisung erfolgt basierend auf dem Filterpooltyp. Blöcke für freien Speicherplatz können nur von den Firewall-Filtern gemeinsam genutzt werden, die zum gleichen Filterpooltyp gehören. Wenn Sie versuchen, einen Firewallfilter über den TCAM-Schwellenwert hinaus zu konfigurieren, wird eine Fehlermeldung generiert.

Jeder Begriff setzt sich aus folgenden Komponenten zusammen:

  • Übereinstimmungsbedingungen: Geben Sie die Werte oder Felder an, die das Paket enthalten muss. Sie können verschiedene Übereinstimmungsbedingungen definieren, z. B. das IP-Quelladressfeld, das IP-Zieladressfeld, das Quellportfeld Transmission Control Protocol (TCP) oder User Datagram Protocol (UDP), das IP-Protokollfeld, den ICMP-Pakettyp (Internet Control Message Protocol), TCP-Flags und Schnittstellen.

  • Aktion: Gibt an, was zu tun ist, wenn ein Paket die Übereinstimmungsbedingungen erfüllt. Mögliche Aktionen sind das Annehmen oder Verwerfen des Pakets oder das Senden des Pakets an eine bestimmte virtuelle Routing-Schnittstelle. Darüber hinaus können Pakete gezählt werden, um statistische Informationen zu sammeln. Wenn für einen Begriff keine Aktion angegeben ist, besteht die Standardaktion darin, das Paket anzunehmen.

  • Action modifier: Gibt eine oder mehrere Aktionen für den Switch an, wenn ein Paket die Übereinstimmungsbedingungen erfüllt. Sie können Aktionsmodifikatoren wie "Anzahl", "Spiegelung", "Ratenbegrenzung" und "Paketklassifizierung" angeben.

Verarbeitung von Firewall-Filtern

Die Reihenfolge der Begriffe innerhalb einer Firewall-Filterkonfiguration ist wichtig. Pakete werden für jeden Begriff in der Reihenfolge getestet, in der die Begriffe in der Firewallfilterkonfiguration aufgeführt sind. Informationen dazu, wie Firewallfilter Pakete verarbeiten, finden Sie unter Grundlegendes zur Auswertung von Firewallfiltern.Verstehen, wie Firewallfilter ausgewertet werden

Verwandte Themen