Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Firewall-Filter (OCX-Serie)

Firewall-Filter bieten Regeln, die festlegen, ob Pakete, die an einer Schnittstelle übertragen werden, akzeptiert oder verworfen werden sollen. Wenn ein Paket akzeptiert wird, können Sie weitere Aktionen für das Paket konfigurieren, wie das Markieren von Class-of-Service (CoS) (Gruppierung ähnlicher Datenverkehrstypen und die Behandlung jeder Art von Datenverkehr als eine Klasse mit seiner eigenen Dienstpriorität) und Datenverkehr-Policing (Steuerung der maximalen Datenverkehrsrate, die gesendet oder empfangen wurde). Sie konfigurieren Firewall-Filter, um zu bestimmen, ob ein Paket akzeptiert oder verworfen werden soll, bevor es eine Layer 3-Schnittstelle (Routed) ein- oder austritt.

Ein eingehender Firewall-Filter wird auf Pakete angewendet, die an der Schnittstelle eingehender sind, und ein Egress Firewall-Filter wird auf Pakete angewendet, die eine Schnittstelle verlassen.

Anmerkung:

Firewall-Filter werden manchmal als Access Control Lists (ACLs) bezeichnet.

Wo Sie Filter anwenden können

Sie können einen Router-Firewall-Filter sowohl in Richtung (Ingress- als auch Egress) auf IPv4- oder IPv6 Layer 3 (Routed)-Schnittstellen und eine Loopback-Schnittstelle anwenden, die Datenverkehr, der an den Switch selbst gesendet oder vom Switch generiert wurde, filtert.

Sie wenden einen Filter auf eine Loopback-Schnittstelle in die Eingangsrichtung an, um den Switch vor unerwünschtem Datenverkehr zu schützen. Sie können auch einen Filter auf eine Loopback-Schnittstelle in der Ausgaberichtung anwenden, um die Weiterleitungsklasse und den DSCP-Bitwert für Pakete, die von dem Switch selbst stammen, festlegen zu können. Mit dieser Funktion erhalten Sie eine sehr gute Kontrolle über die Klassifizierung von CPU-generierten Paketen. Sie könnten beispielsweise verschiedene DSCP-Werte und Weiterleitungsklassen dem Datenverkehr zuweisen, der von verschiedenen Routing-Protokollen erzeugt wird. So kann der Datenverkehr dieser Protokolle von anderen Geräten anders behandelt werden.

Anmerkung:

Auf QFX5220 Switches können Sie einen Filter nur auf eine Loopback-Schnittstelle in der ingress-Richtung anwenden.

Anmerkung:

Wenn Sie Ingress- und Egress-Filter auf die gleiche Schnittstelle anwenden, wird der Ingress-Filter zuerst verarbeitet.

So wenden Sie einen Firewall-Filter an:

  1. Konfigurieren Sie den Firewall-Filter.

  2. Wenden Sie den Firewall-Filter auf eine Layer-3-Schnittstelle an, und geben Sie die Richtung an. Wenn Sie die Richtung input angeben, wird Datenverkehr auf Ingress gefiltert. Wenn Sie die Richtung output angeben, wird Datenverkehr auf Ausgangs-

Anmerkung:

Sie können für eine bestimmte Richtung nur einen Firewall-Filter auf eine Layer 3-Schnittstelle anwenden. Beispielsweise können Sie für eine bestimmte Schnittstelle einen Filter für Ein- und einen Filter für family inet die Ausgabe anwenden.

OCX-Switches unterstützen die maximale Anzahl von Firewall-Filterbedingungen pro Typ von Attachment Point, der in Tabelle 1 angezeigt wird.

Tabelle 1: Unterstützte Firewall-Filternummern
Filtertyp Maximale Anzahl von Filtern

Eindringen

1536

Ausstieg

1024

Firewall-Filter-Komponenten

In einem Firewall-Filter definieren Sie zunächst den Adresstyp der Familie (für inet IPv4 oder IPv6) und dann einen oder mehrere Begriffe, die die Filterkriterien und die Aktion, die bei einer Übereinstimmung festgelegt werden, inet6 definieren.

Jeder Begriff besteht aus folgenden Komponenten:

  • Bedingungen erfüllen: Geben Sie Werte an, die ein Paket enthalten muss, um als Übereinstimmung zu gelten.

  • Aktion: Gibt an, was zu tun ist, wenn ein Paket mit den Übereinstimmungsbedingungen übereinstimmen soll. Ein Filter kann ein entsprechendes Paket akzeptieren, verwerfen oder ablehnen und weitere Aktionen wie das Zählen, Klassifizieren und Policing ausführen. Wenn für einen Begriff keine Aktion angegeben wird, ist es Standard, das entsprechende Paket zu akzeptieren.

Verarbeitung von Firewall-Filtern

Wenn sie mehrere Begriffe in einem Filter haben, ist die Reihenfolge der Bedingungen wichtig. Wenn ein Paket dem ersten Begriff entspricht, führt der Switch die von diesem Begriff definierte Aktion aus, und es werden keine weiteren Begriffe ausgewertet. Wenn der Switch keine Übereinstimmung zwischen dem Paket und dem ersten Begriff findet, wird das Paket mit dem nächsten Begriff verglichen. Wenn zwischen dem Paket und dem zweiten Begriff keine Übereinstimmung auftritt, vergleicht das System weiterhin das Paket mit jedem nachfolgenden Begriff im Filter, bis eine Übereinstimmung gefunden wurde. Wenn das Paket nicht mit den Bedingungen im Filter übereinstimmen sollte, verwirft der Switch das Paket standardmäßig.