Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Grundlegendes zu mehreren Firewall-Filtern, die als Liste angewendet werden

In diesem Thema werden die folgenden Informationen behandelt:

Die Herausforderung: Vereinfachen Sie die Verwaltung umfangreicher Firewall-Filter

In der Regel wenden Sie einen einzelnen Firewallfilter auf eine Schnittstelle in Eingangs- und/oder Ausgangsrichtung an. Dieser Ansatz ist jedoch möglicherweise nicht praktikabel, wenn Sie ein Gerät mit vielen Schnittstellen konfiguriert haben. In großen Umgebungen möchten Sie die Flexibilität haben, Filterbegriffe ändern zu können, die für mehrere Schnittstellen gelten, ohne den Filter jeder betroffenen Schnittstelle neu konfigurieren zu müssen.

Im Allgemeinen besteht die Lösung darin, eine effektiv "verkettete" Struktur aus mehreren Firewall-Filtern auf eine einzige Schnittstelle anzuwenden. Sie partitionieren Ihre Filterbegriffe in mehrere Firewallfilter, die jeweils eine Filteraufgabe ausführen. Sie können dann auswählen, welche Filteraufgaben Sie für eine bestimmte Schnittstelle ausführen möchten, und die Filteraufgaben auf diese Schnittstelle anwenden. Auf diese Weise verwalten Sie die Konfiguration für eine Filteraufgabe nur in einem einzigen Firewall-Filter. Wenn Sie Filterbegriffe ändern müssen, die von mehreren Schnittstellen gemeinsam genutzt werden, müssen Sie nur einen Firewallfilter ändern, der diese Begriffe enthält.

Das Junos OS-Richtlinien-Framework bietet zwei Optionen für die Verwaltung der Anwendung mehrerer separater Firewall-Filter auf einzelne Routerschnittstellen. Eine Möglichkeit besteht darin, mehrere Filter als einzelne Eingabe- oder Ausgabeliste anzuwenden. Die andere Möglichkeit besteht darin, innerhalb der Laufzeit eines anderen Firewallfilters auf einen Firewallfilter zu verweisen. Diese Option wird auf dem PTX10003 Router nicht unterstützt.

Eine Lösung: Anwenden von Listen von Firewall-Filtern

Die einfachste Möglichkeit, die Konfiguration doppelter Filterbegriffe zu vermeiden, die für mehrere Firewallfilter üblich sind, besteht darin, mehrere Firewallfilter zu konfigurieren und dann eine benutzerdefinierte Liste von Filtern auf jede Schnittstelle anzuwenden. Das Junos-Betriebssystem verwendet die Filter – in der Reihenfolge, in der sie in der Liste angezeigt werden –, um Pakete auszuwerten, die die Schnittstelle durchlaufen.

Konfiguration von Mehrfachfiltern für Filterlisten

Die Konfiguration von Firewall-Filtern, die in eindeutigen Listen für jede Routerschnittstelle angewendet werden sollen, umfasst das Trennen von gemeinsam genutzten Paketfilterregeln von schnittstellenspezifischen Paketfilterregeln wie folgt:

  • Unique filters—Konfigurieren Sie für jeden Satz von Paketfilterregeln, die für eine bestimmte Schnittstelle eindeutig sind, einen separaten Firewall-Filter, der nur die Filterbegriffe für diese Schnittstelle enthält.

  • Shared filters—Für jeden Satz von Paketfilterregeln, die für zwei oder mehr Schnittstellen gelten, sollten Sie die Konfiguration eines separaten Firewall-Filters in Betracht ziehen, der die gemeinsamen Filterbegriffe enthält.

    Tipp:

    Bei der Planung einer großen Anzahl von Firewallfiltern, die mithilfe von Filterlisten angewendet werden sollen, organisieren Administratoren die freigegebenen Filter häufig nach Filterkriterien, nach den Diensten, die Kunden abonnieren, oder nach den Zwecken der Schnittstellen.

Anwendung von Filterlisten auf eine Routerschnittstelle

Das Anwenden einer Liste von Firewallfiltern auf eine Schnittstelle ist eine Frage der Auswahl der Filter, die die Paketfilteranforderungen dieser Schnittstelle erfüllen. Für jede Schnittstelle können Sie eine input-list oder-Anweisung output-list (oder beides) in die filter Zeilengruppe einfügen, um die relevanten Filter in der Reihenfolge anzugeben, in der sie verwendet werden sollen:

  • Schließen Sie alle Filter ein, die allgemeine Filterbegriffe enthalten, die für die Benutzeroberfläche relevant sind.

  • Schließen Sie den Filter ein, der nur die Filterbegriffe enthält, die für die Schnittstelle eindeutig sind.

Schnittstellenspezifische Namen für Filterlisten

Da eine Filterliste unter einer Schnittstelle konfiguriert wird, ist der resultierende verkettete Filter schnittstellenspezifisch.

HINWEIS:

Wenn eine Filterliste unter einer Schnittstelle konfiguriert wird, ist der resultierende verkettete Filter schnittstellenspezifisch, unabhängig davon, ob die Firewallfilter in der Filterliste schnittstellenspezifisch konfiguriert sind oder nicht. Darüber hinaus erstellt die Instanziierung von schnittstellenspezifischen Firewall-Filtern nicht nur separate Instanzen von Firewall-Filterzählern, sondern auch separate Instanzen von Richtlinienaktionen. Alle Policer, die über eine in der Firewallfilterkonfiguration angegebene Aktion angewendet werden, werden separat auf jede Schnittstelle in der Schnittstellengruppe angewendet.

Der vom System generierte Name eines schnittstellenspezifischen Filters besteht aus dem vollständigen Schnittstellennamen, gefolgt von '-i' für eine Eingabefilterliste oder '-o' für eine Ausgabefilterliste.

  • Input filter list name– Wenn Sie die input-list Anweisung beispielsweise verwenden, um eine Kette von Filtern auf die logische Schnittstelle ge-1/3/0.0anzuwenden, verwendet das Junos-Betriebssystem den folgenden Namen für den Filter:

  • Output filter list name—Wenn Sie die output-list Anweisung beispielsweise verwenden, um eine Kette von Filtern auf die logische Schnittstelle fe-0/1/2.0anzuwenden, verwendet das Junos-Betriebssystem den folgenden Namen für den Filter:

HINWEIS:

Für Junos OS Evolved ähneln die Filternamen denen von Junos OS. Wenn die Filter z. B. an die inet-Familie gebunden sind, erhalten die Filter den Namen ge-1/3/0/0-inet-i und . fe-0/1/2.0-inet-o

Sie können den schnittstellenspezifischen Namen einer Filterliste verwenden, wenn Sie einen Junos OS-Befehl für den Betriebsmodus eingeben, der einen Firewallfilternamen angibt.

So werten Filterlisten Pakete aus, wenn der übereinstimmende Begriff Aktionen für das Beenden oder den nächsten Begriff enthält

Das Gerät wertet ein Paket sequenziell anhand der Filter in einer Liste aus, beginnend mit dem ersten Filter in der Liste, bis entweder eine Abbruchaktion auftritt oder das Paket implizit verworfen wird.

Tabelle 1 Beschreibt, wie eine Firewallfilterliste ein Paket basierend darauf auswertet, ob der übereinstimmende Begriff eine Abbruchaktion und die next term Aktion angibt. Bei der next term Aktion handelt es sich weder um eine beendende noch um eine nicht beendende Aktion, sondern um eine Flusssteuerungsaktion .

Tabelle 1: Verhalten der Firewall-Filterliste

Firewall-Filteraktionen, die im übereinstimmenden Begriff enthalten sind

Begriffsbeschreibung

Verhalten der Paketfilterung

Beendigung

Nächste Amtszeit

Ja

Der übereinstimmende Begriff enthält eine beendende Aktion (z. B discard. ), aber nicht die next term Aktion

Das Gerät führt die Abbruchaktion aus. Es werden keine nachfolgenden Begriffe im Filter und keine nachfolgenden Filter in der Liste verwendet, um das Paket auszuwerten.

Ja

Der übereinstimmende Begriff enthält die next term Aktion, jedoch keine beendenden Aktionen.

Das Gerät führt alle nicht beendenden Aktionen aus und wertet das Paket dann anhand des nächsten Begriffs im Filter oder des nächsten Filters in der Liste aus.

HINWEIS:

Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden next term . Ein Filterbegriff, bei dem next term als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.

Der abgeglichene Begriff umfasst weder die next term Aktion noch alle beendenden Aktionen.

Das Gerät führt alle nicht beendenden Aktionen aus und akzeptiert dann implizit das Paket. Da es sich bei der accept Aktion um eine beendende Aktion handelt, werden keine nachfolgenden Begriffe im Filter und keine nachfolgenden Filter in der Liste verwendet, um das Paket auszuwerten.

Weitere Informationen zum Beenden von Aktionen finden Sie unter Aktionen zum Beenden des Firewall-Filters.

HINWEIS:

Sie können die next term Aktion nicht mit einer Abbruchaktion im gleichen Firewallfilterbegriff konfigurieren.

So werten Filterlisten Pakete aus, wenn die Liste protokollunabhängige und IP-Firewall-Filter enthält

Auf einer einzelnen Schnittstelle, die gleichzeitig einem protokollunabhängigen () und einem protokollspezifischen (family anyfamily inet oder family inet6) Firewallfilter zugeordnet ist, wird der protokollunabhängige Firewallfilter zuerst ausgeführt.

Die Abbruchaktion des ersten Filters bestimmt, ob der zweite Filter das Paket ebenfalls auswertet:

  • Wenn der erste Filter durch Ausführen der accept Aktion beendet wird, wertet der zweite Filter das Paket nicht aus .

  • Wenn der erste Filter beendet wird, ohne dass Begriffe mit dem Paket übereinstimmen (eine implizite discard Aktion), wertet der zweite Filter das Paket ebenfalls aus.

  • Wenn der erste Filter durch Ausführen einer expliziten discard Aktion beendet wird, wertet der zweite Filter das Paket nicht aus.

Der PTX10003 Router unterstützt keine Kombination aus protokollunabhängigen und anderen Filtern in Filterlisten.

Verwandte Themen