Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen, wie Firewall-Filter das Protokoll eines Pakets testen

Bei der Untersuchung der Übereinstimmungsbedingungen testet das Juniper Networks Junos-Betriebssystem (Junos OS) für Ethernet-Switches der EX-Serie von Juniper Networks nur das angegebene Feld. Die Software testet den IP-Header nicht implizit, um festzustellen, ob es sich bei einem Paket um ein IP-Paket handelt. Daher müssen Sie in einigen Fällen Feldübereinstimmungsbedingungen zusammen mit anderen Übereinstimmungsbedingungen angeben , um sicherzustellen, dass die Filter die erwarteten Übereinstimmungen ausführen.protocol

Wenn Sie eine Protokollübereinstimmungsbedingung oder eine Übereinstimmung des ICMP-Typs oder des Felds TCP-Flags angeben, gibt es keine implizite Protokollübereinstimmung. Für die folgenden Übereinstimmungsbedingungen müssen Sie die Protokollübereinstimmungsbedingung explizit im gleichen Begriff angeben:

  • – Geben Sie die Übereinstimmung an oder .destination-portprotocol tcpprotocol udp

  • – Geben Sie die Übereinstimmung an oder .source-portprotocol tcpprotocol udp

Wenn Sie das Protokoll bei Verwendung der vorhergehenden Felder nicht angeben, entwerfen Sie Ihre Filter sorgfältig, um sicherzustellen, dass sie die erwarteten Übereinstimmungen ausführen. Wenn Sie z. B. eine Übereinstimmung von angeben, gleicht der Switch deterministisch alle Pakete ab, die im Zwei-Byte-Feld einen Wert von haben, der zwei Bytes hinter dem Ende des IP-Headers liegt, ohne jemals das IP-Protokollfeld zu überprüfen.destination-port ssh22

Verwandte Themen