Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Übersicht über Firewall-Filter (OCX-Serie)

Firewall-Filter stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle durchqueren, akzeptiert oder verworfen werden sollen. Wenn ein Paket akzeptiert wird, können Sie zusätzliche Aktionen konfigurieren, die für das Paket ausgeführt werden sollen, wie z. B. CoS-Markierung (Class-of-Service) (Gruppierung ähnlicher Datenverkehrstypen und Behandlung jedes Datenverkehrstyps als Klasse mit eigener Servicestufe-Priorität) und Datenverkehrsüberwachung (Kontrolle der maximalen Rate des gesendeten oder empfangenen Datenverkehrs). Sie konfigurieren Firewall-Filter, um zu bestimmen, ob ein Paket akzeptiert oder verworfen werden soll, bevor es in eine Layer-3-Schnittstelle (geroutet) ein- oder ausgeht.

Ein Eingangs-Firewall-Filter wird auf Pakete angewendet, die in eine Schnittstelle eingehen, und ein Ausgangs-Firewall-Filter wird auf Pakete angewendet, die eine Schnittstelle verlassen.

HINWEIS:

Firewallfilter werden manchmal auch als Zugriffskontrolllisten (Access Control Lists , ACLs) bezeichnet.

Wo Sie Filter anwenden können

Sie können einen Router-Firewall-Filter sowohl in Eingangs- als auch in Ausgangsrichtung auf IPv4- oder IPv6-Layer-3-Schnittstellen (geroutet) und eine Loopback-Schnittstelle anwenden, die Datenverkehr filtert, der an den Switch selbst gesendet oder vom Switch generiert wird.

Sie wenden einen Filter auf eine Loopback-Schnittstelle in Eingangsrichtung an, um den Switch vor unerwünschtem Datenverkehr zu schützen. Sie können auch einen Filter auf eine Loopback-Schnittstelle in Ausgaberichtung anwenden, damit Sie die Weiterleitungsklasse und den DSCP-Bitwert für Pakete festlegen können, die vom Switch selbst stammen. Mit dieser Funktion können Sie die Klassifizierung von CPU-generierten Paketen sehr genau steuern. Sie können z. B. dem von verschiedenen Routingprotokollen generierten Datenverkehr unterschiedliche DSCP-Werte und Weiterleitungsklassen zuweisen, damit der Datenverkehr für diese Protokolle von anderen Geräten differenziert behandelt werden kann.

HINWEIS:

Auf QFX5220 Switches können Sie einen Filter nur auf eine Loopback-Schnittstelle in Eingangsrichtung anwenden.

HINWEIS:

Wenn Sie Eingangs- und Ausgangsfilter auf dieselbe Schnittstelle anwenden, wird zuerst der Eingangsfilter verarbeitet.

So wenden Sie einen Firewall-Filter an:

  1. Konfigurieren Sie den Firewall-Filter.

  2. Wenden Sie den Firewall-Filter auf eine Layer-3-Schnittstelle an und geben Sie die Richtung an. Wenn Sie die Richtung angeben, wird der Datenverkehr nach eingehendem Datenverkehr gefiltert.input Wenn Sie die Richtung angeben, wird der Datenverkehr beim ausgehenden Datenverkehr gefiltert.output

HINWEIS:

Sie können nur einen Firewall-Filter auf eine Layer-3-Schnittstelle für eine bestimmte Richtung anwenden. Beispielsweise können Sie für eine bestimmte Schnittstelle einen Filter für die Eingabe und einen für die Ausgabe anwenden.family inet

OCX-Switches unterstützen die maximale Anzahl von Firewall-Filterbegriffen pro Art von Zuordnungspunkt, die in angezeigt wird .Tabelle 1

Tabelle 1: Unterstützte Firewall-Filternummern
Filtertyp Maximale Anzahl von Filtern

Eindringen

1536

Ausstieg

1024

Firewall-Filterkomponenten

In einem Firewallfilter definieren Sie zuerst den Familienadresstyp ( für IPv4 oder für IPv6) und definieren dann einen oder mehrere Begriffe, die die Filterkriterien und die Aktion angeben, die bei einer Übereinstimmung ausgeführt werden soll.inetinet6

Jeder Begriff setzt sich aus folgenden Komponenten zusammen:

  • Übereinstimmungsbedingungen: Geben Sie Werte an, die ein Paket enthalten muss, um als Übereinstimmung zu gelten.

  • Aktion: Gibt an, was zu tun ist, wenn ein Paket die Übereinstimmungsbedingungen erfüllt. Ein Filter kann ein übereinstimmendes Paket annehmen, verwerfen oder ablehnen und dann zusätzliche Aktionen ausführen, z. B. Zählen, Klassifizieren und Überwachen. Wenn für einen Begriff keine Aktion angegeben ist, wird standardmäßig das übereinstimmende Paket akzeptiert.

Verarbeitung von Firewall-Filtern

Wenn ein Filter mehrere Begriffe enthält, ist die Reihenfolge der Begriffe wichtig. Wenn ein Paket mit dem ersten Begriff übereinstimmt, führt der Switch die durch diesen Begriff definierte Aktion aus, und es werden keine anderen Begriffe ausgewertet. Wenn der Switch keine Übereinstimmung zwischen dem Paket und dem ersten Term findet, vergleicht er das Paket mit dem nächsten Term. Wenn keine Übereinstimmung zwischen dem Paket und dem zweiten Term auftritt, vergleicht das System das Paket weiterhin mit jedem nachfolgenden Term im Filter, bis eine Übereinstimmung gefunden wird. Wenn das Paket mit keinen Begriffen im Filter übereinstimmt, verwirft der Switch das Paket standardmäßig.

Verwandte Themen