Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Grundlegendes zu mehreren Firewall-Filtern, die als Liste angewendet werden

In diesem Thema werden die folgenden Informationen behandelt:

Die Herausforderung: Vereinfachen Sie die Verwaltung umfangreicher Firewall-Filter

In der Regel wenden Sie einen einzelnen Firewallfilter auf eine Schnittstelle in Eingangs- und/oder Ausgangsrichtung an. Dieser Ansatz ist jedoch möglicherweise nicht praktikabel, wenn Sie ein Gerät mit vielen Schnittstellen konfiguriert haben. In großen Umgebungen möchten Sie die Flexibilität haben, Filterbegriffe ändern zu können, die für mehrere Schnittstellen gelten, ohne den Filter jeder betroffenen Schnittstelle neu konfigurieren zu müssen.

Im Allgemeinen besteht die Lösung darin, eine effektiv "verkettete" Struktur aus mehreren Firewall-Filtern auf eine einzige Schnittstelle anzuwenden. Sie partitionieren Ihre Filterbegriffe in mehrere Firewallfilter, die jeweils eine Filteraufgabe ausführen. Sie können dann auswählen, welche Filteraufgaben Sie für eine bestimmte Schnittstelle ausführen möchten, und die Filteraufgaben auf diese Schnittstelle anwenden. Auf diese Weise verwalten Sie die Konfiguration für eine Filteraufgabe nur in einem einzigen Firewall-Filter.

Das Junos OS-Richtlinien-Framework bietet zwei Optionen für die Verwaltung der Anwendung mehrerer separater Firewall-Filter auf einzelne Routerschnittstellen. Eine Möglichkeit besteht darin, mehrere Filter als einzelne Eingabe- oder Ausgabeliste anzuwenden. Die andere Möglichkeit besteht darin, innerhalb der Laufzeit eines anderen Firewallfilters auf einen Firewallfilter zu verweisen. Diese Option wird auf dem PTX10003 Router nicht unterstützt.

Eine Lösung: Anwenden von Listen von Firewall-Filtern

Die einfachste Möglichkeit, die Konfiguration doppelter Filterbegriffe zu vermeiden, die für mehrere Firewallfilter üblich sind, besteht darin, mehrere Firewallfilter zu konfigurieren und dann eine benutzerdefinierte Liste von Filtern auf jede Schnittstelle anzuwenden. Das Junos-Betriebssystem verwendet die Filter – in der Reihenfolge, in der sie in der Liste angezeigt werden –, um Pakete auszuwerten, die die Schnittstelle durchlaufen. Wenn Sie Filterbegriffe ändern müssen, die von mehreren Schnittstellen gemeinsam genutzt werden, müssen Sie nur einen Firewallfilter ändern, der diese Begriffe enthält.

Konfiguration von Mehrfachfiltern für Filterlisten

Die Konfiguration von Firewall-Filtern, die in eindeutigen Listen für jede Routerschnittstelle angewendet werden sollen, umfasst das Trennen von gemeinsam genutzten Paketfilterregeln von schnittstellenspezifischen Paketfilterregeln wie folgt:

  • Unique filters—Konfigurieren Sie für jeden Satz von Paketfilterregeln, die für eine bestimmte Schnittstelle eindeutig sind, einen separaten Firewall-Filter, der nur die Filterbegriffe für diese Schnittstelle enthält.

  • Shared filters—Für jeden Satz von Paketfilterregeln, die für zwei oder mehr Schnittstellen gelten, sollten Sie die Konfiguration eines separaten Firewall-Filters in Betracht ziehen, der die gemeinsamen Filterbegriffe enthält.

    Tipp:

    Bei der Planung einer großen Anzahl von Firewallfiltern, die mithilfe von Filterlisten angewendet werden sollen, organisieren Administratoren die freigegebenen Filter häufig nach Filterkriterien, nach den Diensten, die Kunden abonnieren, oder nach den Zwecken der Schnittstellen.

Anwendung von Filterlisten auf eine Routerschnittstelle

Das Anwenden einer Liste von Firewallfiltern auf eine Schnittstelle ist eine Frage der Auswahl der Filter, die die Paketfilteranforderungen dieser Schnittstelle erfüllen. Für jede Schnittstelle können Sie eine oder-Anweisung (oder beides) in die Zeilengruppe einfügen, um die relevanten Filter in der Reihenfolge anzugeben, in der sie verwendet werden sollen:input-listoutput-listfilter

  • Schließen Sie alle Filter ein, die allgemeine Filterbegriffe enthalten, die für die Benutzeroberfläche relevant sind.

  • Schließen Sie den Filter ein, der nur die Filterbegriffe enthält, die für die Schnittstelle eindeutig sind.

Schnittstellenspezifische Namen für Filterlisten

Da eine Filterliste unter einer Schnittstelle konfiguriert wird, ist der resultierende verkettete Filter schnittstellenspezifisch.

HINWEIS:

Wenn eine Filterliste unter einer Schnittstelle konfiguriert wird, ist der resultierende verkettete Filter schnittstellenspezifisch, unabhängig davon, ob die Firewallfilter in der Filterliste schnittstellenspezifisch konfiguriert sind oder nicht. Darüber hinaus erstellt die Instanziierung von schnittstellenspezifischen Firewall-Filtern nicht nur separate Instanzen von Firewall-Filterzählern, sondern auch separate Instanzen von Richtlinienaktionen. Alle Policer, die über eine in der Firewallfilterkonfiguration angegebene Aktion angewendet werden, werden separat auf jede Schnittstelle in der Schnittstellengruppe angewendet.

Der vom System generierte Name eines schnittstellenspezifischen Filters besteht aus dem vollständigen Schnittstellennamen, gefolgt von '' für eine Eingabefilterliste oder '' für eine Ausgabefilterliste.-i-o

  • —Wenn Sie die Anweisung beispielsweise verwenden, um eine Kette von Filtern auf die logische Schnittstelleanzuwenden, verwendet das Junos-Betriebssystem den folgenden Namen für den Filter:Input filter list nameinput-listge-1/3/0.0

  • —Wenn Sie die Anweisung beispielsweise verwenden, um eine Kette von Filtern auf die logische Schnittstelle anzuwenden, verwendet das Junos-Betriebssystem den folgenden Namen für den Filter:Output filter list nameoutput-listfe-0/1/2.0

HINWEIS:

Für Junos OS Evolved sind die Filternamen anders. Wenn die Filter z. B. an die inet-Familie gebunden sind, erhalten die Filter den Namen und .ge-1/3/0/0-inet-ife-0/1/2.0-inet-o

Sie können den schnittstellenspezifischen Namen einer Filterliste verwenden, wenn Sie einen Junos OS-Befehl für den Betriebsmodus eingeben, der einen Firewallfilternamen angibt.

So werten Filterlisten Pakete aus, wenn der übereinstimmende Begriff Aktionen für das Beenden oder den nächsten Begriff enthält

Das Gerät wertet ein Paket sequenziell anhand der Filter in einer Liste aus, beginnend mit dem ersten Filter in der Liste, bis entweder eine Abbruchaktion auftritt oder das Paket implizit verworfen wird.

Beschreibt, wie eine Firewallfilterliste ein Paket basierend darauf auswertet, ob der übereinstimmende Begriff eine Abbruchaktion und die Aktion angibt.Tabelle 1next term Bei der Aktion handelt es sich weder um eine beendende noch um eine nicht beendende Aktion, sondern um eine Flusssteuerungsaktion .next term

Tabelle 1: Verhalten der Firewall-Filterliste

Firewall-Filteraktionen, die im übereinstimmenden Begriff enthalten sind

Begriffsbeschreibung

Verhalten der Paketfilterung

Beenden

Nächste Amtszeit

Ja

Der übereinstimmende Begriff enthält eine beendende Aktion (z. B . ), aber nicht die Aktiondiscardnext term

Das Gerät führt die Abbruchaktion aus. Es werden keine nachfolgenden Begriffe im Filter und keine nachfolgenden Filter in der Liste verwendet, um das Paket auszuwerten.

Ja

Der übereinstimmende Begriff enthält die Aktion, jedoch keine beendenden Aktionen.next term

Das Gerät führt alle nicht beendenden Aktionen aus und wertet das Paket dann anhand des nächsten Begriffs im Filter oder des nächsten Filters in der Liste aus.

HINWEIS:

Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden .next term Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term

Der abgeglichene Begriff umfasst weder die Aktion noch alle beendenden Aktionen.next term

Das Gerät führt alle nicht beendenden Aktionen aus und akzeptiert dann implizit das Paket. Da es sich bei der Aktion um eine beendende Aktion handelt, werden keine nachfolgenden Begriffe im Filter und keine nachfolgenden Filter in der Liste verwendet, um das Paket auszuwerten.accept

Weitere Informationen zum Beenden von Aktionen finden Sie unter .Aktionen zum Beenden des Firewall-Filters

HINWEIS:

Sie können die Aktion nicht mit einer Abbruchaktion im gleichen Firewallfilterbegriff konfigurieren.next term

So werten Filterlisten Pakete aus, wenn die Liste protokollunabhängige und IP-Firewall-Filter enthält

Auf einer einzelnen Schnittstelle, die gleichzeitig einem protokollunabhängigen () und einem protokollspezifischen ( oder ) Firewallfilter zugeordnet ist, wird der protokollunabhängige Firewallfilter zuerst ausgeführt.family anyfamily inetfamily inet6

Die Abbruchaktion des ersten Filters bestimmt, ob der zweite Filter das Paket ebenfalls auswertet:

  • Wenn der erste Filter durch Ausführen der Aktion beendet wird, wertet der zweite Filter das Paket nicht aus .accept

  • Wenn der erste Filter beendet wird, ohne dass Begriffe mit dem Paket übereinstimmen (eine implizite Aktion), wertet der zweite Filter das Paket ebenfalls aus.discard

  • Wenn der erste Filter durch Ausführen einer expliziten Aktion beendet wird, wertet der zweite Filter das Paket nicht aus.discard

Der PTX10003 Router unterstützt keine Kombination aus protokollunabhängigen und anderen Filtern in Filterlisten.

Verwandte Themen