Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Grundlegendes zu mehreren Firewall-Filtern in einer verschachtelten Konfiguration

Die Herausforderung: Vereinfachen Sie die Verwaltung umfangreicher Firewall-Filter

In der Regel wenden Sie einen einzelnen Firewallfilter auf eine Schnittstelle in Eingangs- und/oder Ausgangsrichtung an. Dieser Ansatz ist jedoch möglicherweise nicht praktikabel, wenn Sie einen Router (oder Switch) mit vielen, sogar Hunderten von Schnittstellen konfiguriert haben. In einer Umgebung dieser Größenordnung möchten Sie die Flexibilität haben, Filterbegriffe ändern zu können, die mehreren Schnittstellen gemeinsam sind, ohne den Filter jeder betroffenen Schnittstelle neu konfigurieren zu müssen.

Im Allgemeinen besteht die Lösung darin, eine effektiv "verkettete" Struktur aus mehreren zustandslosen Firewall-Filtern auf eine einzige Schnittstelle anzuwenden. Sie partitionieren Ihre Filterbegriffe in mehrere Firewall-Filter, die so konfiguriert sind, dass Sie einen eindeutigen Filter auf jede Router- (oder Switch-)Schnittstelle, aber bei Bedarf auch allgemeine Filter auf mehrere Router- (oder Switch-)Schnittstellen anwenden können. Das Junos OS-Richtlinien-Framework bietet zwei Optionen für die Verwaltung der Anwendung mehrerer separater Firewall-Filter auf einzelne Router- (oder Switch-)Schnittstellen. Eine Möglichkeit besteht darin, mehrere Filter als einzelne Eingabe- oder Ausgabeliste anzuwenden. Die andere Möglichkeit besteht darin, auf einen zustandslosen Firewallfilter innerhalb der Laufzeit eines anderen zustandslosen Firewallfilters zu verweisen.

Eine Lösung: Konfigurieren von verschachtelten Verweisen auf Firewallfilter

Die strukturierteste Methode, um die Konfiguration doppelter Filterbegriffe zu vermeiden, die mehreren Firewallfiltern gemeinsam sind, besteht darin, mehrere Firewallfilter so zu konfigurieren, dass jeder Filter die freigegebenen Filterbegriffe enthält, indem auf einen separaten Filter verwiesen wird , der die allgemeinen Filterbegriffe enthält. Das Junos-Betriebssystem verwendet die Filterbegriffe – in der Reihenfolge, in der sie in der Filterdefinition erscheinen –, um Pakete auszuwerten, die die Schnittstelle durchlaufen. Wenn Sie Filterbegriffe ändern müssen, die von mehreren Schnittstellen gemeinsam genutzt werden, müssen Sie nur einen Firewallfilter ändern.

HINWEIS:

Ähnlich wie beim alternativen Ansatz (Anwenden einer Liste von Firewallfiltern) werden beim Konfigurieren eines verschachtelten Firewallfilters mehrere Firewallfilter in einer neuen Firewallfilterdefinition kombiniert.

Konfiguration von verschachtelten Firewall-Filtern

Die Konfiguration eines verschachtelten Firewall-Filters für jede Router- (oder Switch-) Schnittstelle umfasst die Trennung von gemeinsam genutzten Paketfilterregeln von schnittstellenspezifischen Paketfilterregeln wie folgt:

  • Konfigurieren Sie für jeden Satz von Paketfilterregeln, die für mehrere Schnittstellen gelten, einen separaten Firewallfilter, der die gemeinsamen Filterbegriffe enthält.

  • Konfigurieren Sie für jede Router- (oder Switch-)Schnittstelle einen separaten Firewall-Filter, der Folgendes enthält:

    • Alle Filterbegriffe, die für diese Schnittstelle eindeutig sind.

    • Ein zusätzlicher Filterbegriff, der einen filter Verweis auf den Firewallfilter enthält, der die allgemeinen Filterbegriffe enthält.

Anwendung von verschachtelten Firewall-Filtern auf eine Router- oder Switch-Schnittstelle

Das Anwenden von verschachtelten Firewallfiltern unterscheidet sich nicht vom Anwenden eines nicht verschachtelten Firewallfilters. Für jede Schnittstelle können Sie eine input oder-Anweisung output (oder beides) in die filter Zeilengruppe einfügen, um den entsprechenden verschachtelten Firewallfilter anzugeben.

Beim Anwenden von verschachtelten Firewallfiltern auf eine Schnittstelle werden die freigegebenen Filterbegriffe und die schnittstellenspezifischen Firewallfilter über einen einzigen geschachtelten Firewallfilter angewendet, der andere Filter durch die filter Anweisung innerhalb eines separaten Filterbegriffs enthält.

HINWEIS:

Commit-Prüfung und Commit-Ausführung schlagen bei nicht unterstützten verschachtelten Filtern nicht fehl. Nicht unterstützte verschachtelte Filter sind Filterkombinationen, die im vty-Befehl nicht erwähnt werden show jexpr dfw filter-types.

Verwandte Themen