Flexible Bedingungen für Firewall-Filter-Filter
Die Bedingungen für Standard-Firewallfilter hängen von der Protokollfamilie des datenverkehrs ab, der an sie angepasst wird. Die für den Bridge-Protokolldatenverkehr verfügbaren Bedingungen unterscheiden sich beispielsweise von den Bedingungen, die für die Inet- oder inet6-Protokollfamilien verfügbar sind. Die felder, die für die Anpassung an jede Protokollfamilie verfügbar sind, sind jedoch festgelegt oder vordefinierte. Das bedeutet, dass Filter nur auf Mustern innerhalb dieser vordefinierten Felder abgestimmt werden können.
Mit flexiblen Bedingungen können Firewall-Filter erstellt werden, die an Standorten mit Layer-2, Layer-3, Layer-4 oder Payload beginnen. An diesem Standort können Sie zusätzliche Versatzkriterien definieren, um musterbasierte Treffer an benutzerdefinierten Standorten innerhalb eines Pakets zu ermöglichen.
Begriffe für flexible Übereinstimmungsfilter werden auf MPC- oder MIC-Schnittstellen angewendet ( Eingangs- oder Ausgabefilter genauso wie alle anderen Firewall-Filterbedingungen). Begriffe mit flexiblen Übereinstimmungsfiltern können auch als Vorlagen auf der [edit firewall] Hierarchieebene erstellt werden. Diese Vorlagen können dann innerhalb eines flexiblen Match-Begriffs referenziert werden.
Bei Routern der MX-Serie werden flexible Bedingungen nur mit MPCs oder MICs unterstützt. In Umgebungen, in denen FPCs, PICs und DPCs zusammen mit MPCs oder MICs installiert werden, wenden Sie die Kriterien für Firewall-Filter auf die MPC- oder MIC-Schnittstellen an.
Bei Routern der MX-Serie mit MPCs müssen Sie den Filterzähler für Trio-only-Match-Filter in der MIB initialisieren, indem Sie die entsprechende SNMP-Konfiguration MIB. Beispielsweise müssen Sie für jeden Filter, der in Bezug auf Trio-only-Filter konfiguriert oder geändert wurde, einen Befehl wie den folgenden ausführen: show snmp mib walk (ascii | decimal) object-id. Dies zwingt Junos, die Filterzähler zu erlernen und sicherzustellen, dass die Filterstatistiken angezeigt werden (der Grund dafür, dass bei der ersten Abfrage, in der Statistiken gefiltert werden, nicht alle Zähler angezeigt werden). Trio-Filter nur für Übereinstimmungen umfassen mindestens eine Übereinstimmungsbedingung oder Aktion, die nur vom Trio-Chipsatz unterstützt werden.
Dieser Leitfaden gilt für alle enhanced-mode Firewall-Filter. Er gilt auch für flexible Bedingungen für Match-Filter im Bereich oder bei der Maske "Verrechnungsmaske", und Bedingungen zur Anpassung der Bedingungen für die Übereinstimmung mit Firewall-Filtern für IPv4-Datenverkehrgre-key Firewall-Filter an den IPv6-Datenverkehr bei einer der folgenden Bedingungen: payload-protocol, extension headers, is_fragment. Es gilt auch für Filter mit einer der Terminierungsaktionen für Firewall-Filter folgenden: encapsulate oder decapsulate eines der folgenden Nichtterminierende Aktionen für Firewall-Filter Punkte: policy-mapund clear-policy-map .
Anweisungshierarchie
Die Bedingungen für Flexible Match-Filter sind in drei Varianten verfügbar, wie in Tabelle 1 gezeigt. Die flexible-match Variation wird auf der [edit firewall] Hierarchieebene konfiguriert. Es wird zur Definition flexibler Übereinstimmungsvorlagen verwendet. und flexible-filter-match-maskflexible-match-range werden in der Hierarchie [edit firewall family [inet|inet6|bridge|ethernet-switching|ccc|vpls] filter <filter-name> term <term-name> from] konfiguriert. Verwenden Sie family ethernet-switching den Filter für EX9200 Switches.
Flexible Filter-Übereinstimmungstypen
Flexibler Filter-Übereinstimmungstyp |
Verfügbare Attribute |
Beschreibung |
|---|---|---|
|
|
Erstellen Sie eine Vorlage mit flexiblen Übereinstimmungen namens <name >attributen. |
|
Länge der daten, die in Bits angezeigt werden sollen, die nicht für die String-Eingabe erforderlich sind (0.32). Für QFX5120- EX4650 Switches sind 16 und 32 die einzigen gültigen Bitlängen. |
|
|
Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7) |
|
|
Byte-Offset nach Dem Match-Startpunkt |
|
|
Startpunkt zur Übereinstimmung mit dem Paket |
|
|
|
Länge der daten, die in Bits angezeigt werden sollen, die nicht für die String-Eingabe erforderlich sind (0..128) |
|
Bit-Offset nach dem Ausgleich (Match-Start + Byte) (0,7) |
|
|
Byte-Offset nach Dem Match-Startpunkt |
|
|
Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus. Erforderlich, |
|
|
Maskieren Sie Bits in den zu übereinstimmenden Paketdaten. |
|
|
Startpunkt zur Übereinstimmung mit dem Paket. Erforderlich, |
|
|
Wertdaten/Zeichenfolge, die angezeigt werden sollen. |
|
|
|
Länge der zu in Bits zu abgestimmten Daten. (0.32) Erforderlich, sofern |
|
Bit-Offset nach dem Ausgleich (Match-Start + Byte). (0..7) |
|
|
Byte-Offset nach Dem Match-Startpunkt |
|
|
Wählen Sie in einer vordefinierten Vorlage eine flexible Übereinstimmung aus. |
|
|
Startpunkt zur Übereinstimmung mit dem Paket. Erforderlich, |
|
|
Bereich von zu verwendenden Werten. |
|
|
Bereich von Werten, die nicht übereinstimmen. |
Flexible Start-Standorte für Filter-Übereinstimmung
Begriffe für flexible Übereinstimmungsfilter werden durch Angabe eines Startpunkts oder Ankerpunkts innerhalb des Pakets erstellt. Die Start-Standorte können aus folgenden Plätzen sein: Layer-2, Layer-3, Layer-4 oder Payload, abhängig von der verwendeten Protokollfamilie. Tabelle 2 zeigt die verfügbaren flexiblen Filterkriterien für Startstandorte nach Protokollfamilie an. Sie verwenden diese verfügbaren Startstandorte als match-start Standorte für die flexiblen Bedingungen für Match-Filter.
Von diesen Startstandorten aus können spezifische Byte- und Bit-Offsets verwendet werden, damit der Filter Muster an sehr bestimmten Standorten innerhalb des Pakets erkennen kann.
Protokollfamilie |
Verfügbare Startstandorte |
|---|---|
|
Für QFX5120- EX4650-Switches wurde in junos Release 20.1R1 Layer-2- und Layer-3-flexible Übereinstimmungsfilter 20.1R1. |
|
Für QFX5120- EX4650-Switches wurde in junos Release 20.1R1 Layer-2- und Layer-3-flexible Übereinstimmungsfilter 20.1R1. |
|
|
|
|
|
|
|
|
|
(EX9200 Switches) Für QFX5120- EX4650-Switches wurde unterstützung für flexible Layer-2- und Layer-3-Übereinstimmungsfilter (nur) in der Junos Release 20.1R1. Ein Beispiel für die Verwendung eines Layer-2-Paket-Versatzes mit der Länge der Übereinstimmung finden Sie unten. |
Flexible Beispiele für Filter-Übereinstimmungen
Das folgende Beispiel veranschaulicht die Verwendung und den Kontext flexible-match-mask für.
from {
flexible-match-mask {
flexible-mask-name <mask-name>;
mask-in-hex <mask>;
prefix <pattern>;
}
}Die <mask-name > flexible Maskenname, die vordefinierte Vorlage für die flexible Übereinstimmungsbedingung verwendet wird. Vorlagen können definiert werden, um festzulegen, an welchem Ort (Position) im Paket die flexible Übereinstimmungsbedingung ausgeführt werden soll.
Der <mask >zumMask-in-Hex-Format ist hexadezimal. Beispielsweise gibt eine konfigurierte Maske eine Übereinstimmung für die vier Bits im ersten 0xf0fc Byte (wie vom <mask-Name>)und für die ersten sechs Bits im zweiten Byte an. Wenn es sich um ein IPv4-Paket handelt und es <mask-name>refers zu den ersten zwei Bytes im L3-Header ist, wird nach dem Feld für die IP-Version und dem DSCP-Feld gesucht. Als weiteres Beispiel gibt eine konfigurierte Maske eine Suche für das gesamte erste Byte und zwei Bits 0xffc0 vom zweiten Byte an. Wenn der <name> die ersten zwei Bytes im L3-Header verwenden und das Paket IPv6-Paket ist, gibt dies das IP-Versionsfeld und DSCP im Feld "Traffic Class" an.
Der <Diptern> für Präfixe angegeben ist ein ASCII-String. Wenn die ersten beiden Zeichen die ersten beiden Zeichen sind, wird der String als 0x Kodierungsbits für Hexadezimalnummer verarbeitet. Das konfigurierte Präfix in Kombination mit Mask und <mask-Name>referring die ersten zwei Bytes im L3-Header bedeutet, dass in den ersten vier Bits (Versionsfeld gleich 0x40c00xf0fc 4) und im 01001100 00 IPv4-DSCP-Feld (DSCP ist gleich cs6) suchen. Mithilfe des konfigurierten Präfixs in Kombination mit Mask und <mask-Name>referring zuerst zwei Bytes im L3-Header gibt die Suche nach in den ersten vier Bits an (Versionsfeld ist gleich 0x6c000xffc0 6) und im 01101100 00 IPv6-DSCP-Feld (DSCP ist gleich cs6).
Im ersten Beispiel wird eine Maskenvorlage definiert, die zur flexiblen Übereinstimmung die ersten beiden Bytes (16 Bits) aus dem L3-Header auswählt:
firewall {
flexible-match FM-FIRST-TWO-L3-BYTES {
match-start layer-3;
byte-offset 0;
bit-offset 0;
bit-length 16;
}
}Im nächsten Beispiel ist eine Maskenvorlage definiert, die das dritte bis sechste Byte (32 Bits) der Paketnutzlast für eine flexible Übereinstimmung auswählt:
firewall {
flexible-match FM-FOUR-PAYLOAD-BYTES {
match-start payload;
byte-offset 2;
bit-offset 0;
bit-length 32;
}
}In diesem Beispiel wird eine ASCII-Zeichen übereinstimmung mit der Zeichenfolge JNPR (ASCII-Zeichen: 0x4a, 0x4e , ) im dritten bis 0x50 sechsten Byte der 0x52 Paket-Payload. Der Filter verwendet die FM-FOUR-PAYLOAD-BYTES im vorherigen Beispiel definierte Maskenvorlage.
firewall {
family ccc filter FF-COUNT-JNPR-PACKETS {
term JNPR-STRING {
from {
flexible-match-mask {
mask-in-hex 0xffffffff;
prefix JNPR;
flexible-mask-name FM-FOUR-PAYLOAD-BYTES;
}
}
then {
count CNT-JNPR-YES
accept;
}
}
term DEAFULT {
then {
count CNT-JNPR-NO
accept;
}
}
}
}In diesem Beispiel wird ein Family CCC-Filter angezeigt, der DSCP gleich und DSCP ist, unabhängig davon, ob verkapselte Pakete cs6ef IPv4 oder IPv6 sind. Sie verwendet die im ersten Beispiel FM-FIRST-TWO-L3-BYTES definierte Maskenvorlage.
firewall {
family ccc filter FF-DSCP-CLASSIFY {
term ROUTING-IPV4 {
from {
flexible-match-mask {
mask-in-hex 0xf0fc;
prefix 0x40c0; # DSCP=cs6 in IPv4 header
flexible-mask-name FM-FIRST-TWO-L3-BYTES;
}
}
then {
count ROUTING-IPV4;
accept;
}
}
term ROUTING-IPV6 {
from {
flexible-match-mask {
mask-in-hex 0xffc0;
prefix 0x6c00; # DSCP=cs6 in IPv6 header
flexible-mask-name FM-FIRST-TWO-L3-BYTES;
}
}
then {
count ROUTING-IPV6;
accept;
}
}
term VOICE-IPV4 {
from {
flexible-match-mask {
mask-in-hex 0xf0fc;
prefix 0x40b8; # DSCP=ef in IPv4 header
flexible-mask-name FM-FIRST-TWO-L3-BYTES;
}
}
then {
count VOICE-IPV4;
accept;
}
}
term VOICE-IPV6 {
from {
flexible-match-mask {
mask-in-hex 0xffc0;
prefix 0x6b80; # DSCP=ef in IPv6 header
flexible-mask-name FM-FIRST-TWO-L3-BYTES;
}
}
then {
count VOICE-IPV6;
accept;
}
}
term DEFAULT {
then {
accept;
}
}
}
}In diesem Beispiel wird gezeigt, wie eine Übereinstimmungslänge von einem Layer-2-Paket-Offset in einem Firewall-Filter für ein QFX5120-32C-, QFX5120-48Y- oder EX4650-Gerät verwendet wird, auf dem Junos Release 20.1R1. Hier verwenden wir eine Bitlänge von 32 Bits und der Familie (und werden auch unterstützt, genauso wie ein ethernet-switchinginetinet6 Layer-3-Offset).
user@device# show firewall family ethernet-switching
filter udf_eth {
term t1 {
from {
flexible-match-mask {
match-start layer-2;
byte-offset 8;
bit-length 32;
prefix 168430090;
}
}
then count c1;
}
}