Verstehen, wie Firewall-Filter das Protokoll eines Pakets testen
Bei der Untersuchung der Übereinstimmungsbedingungen testet das Juniper Networks Junos-Betriebssystem (Junos OS) für Ethernet-Switches der EX-Serie von Juniper Networks nur das angegebene Feld. Die Software testet den IP-Header nicht implizit, um festzustellen, ob es sich bei einem Paket um ein IP-Paket handelt. Daher müssen Sie in einigen Fällen Feldübereinstimmungsbedingungen zusammen mit anderen Übereinstimmungsbedingungen angeben protocol , um sicherzustellen, dass die Filter die erwarteten Übereinstimmungen ausführen.
Wenn Sie eine Protokollübereinstimmungsbedingung oder eine Übereinstimmung des ICMP-Typs oder des Felds TCP-Flags angeben, gibt es keine implizite Protokollübereinstimmung. Für die folgenden Übereinstimmungsbedingungen müssen Sie die Protokollübereinstimmungsbedingung explizit im gleichen Begriff angeben:
destination-port– Geben Sie die Übereinstimmung protocol tcp an oder protocol udp.
source-port– Geben Sie die Übereinstimmung protocol tcp an oder protocol udp.
Wenn Sie das Protokoll bei Verwendung der vorhergehenden Felder nicht angeben, entwerfen Sie Ihre Filter sorgfältig, um sicherzustellen, dass sie die erwarteten Übereinstimmungen ausführen. Wenn Sie z. B. eine Übereinstimmung von destination-port sshangeben, gleicht der Switch deterministisch alle Pakete ab, die im Zwei-Byte-Feld einen Wert von 22 haben, der zwei Bytes hinter dem Ende des IP-Headers liegt, ohne jemals das IP-Protokollfeld zu überprüfen.