Übersicht über zustandslose Firewall-Filter
Kontrolle des Paketflusses
Um zu beeinflussen, welche Pakete das System passieren dürfen, und um bei Bedarf spezielle Aktionen auf Pakete anzuwenden, können Sie zustandslose Firewallfilter konfigurieren. Eine zustandslose Firewall gibt eine Sequenz von einer oder mehreren Paketfilterregeln an, die als Filterbegriffe bezeichnet werden. Ein Filterbegriff gibt Übereinstimmungsbedingungen an, die verwendet werden sollen, um eine Übereinstimmung zu bestimmen, und Aktionen , die für ein übereinstimmendes Paket ausgeführt werden sollen. Mit einem zustandslosen Firewall-Filter können Sie jedes Paket einer bestimmten Protokollfamilie, einschließlich fragmentierter Pakete, basierend auf der Auswertung von Layer-3- und Layer-4-Header-Feldern manipulieren. In der Regel wenden Sie einen zustandslosen Firewallfilter auf eine oder mehrere Schnittstellen an, die mit Funktionen der Protokollfamilie konfiguriert wurden. Sie können einen zustandslosen Firewallfilter auf eine Eingangsschnittstelle, eine Ausgangsschnittstelle oder beides anwenden.
- Kontrolle des Datenpaketflusses
- Lokale Paketflusskontrolle
- Junos OS Evolved Lokale Paketflusssteuerung
Kontrolle des Datenpaketflusses
Um den Fluss von Datenpaketen zu steuern, die das Gerät passieren, während die Pakete von einer Quelle zu einem Ziel weitergeleitet werden, können Sie zustandslose Firewall-Filter auf die Ein- oder Ausgabe der physischen Schnittstellen des Routers oder Switches anwenden.
Um eine bestimmte Bandbreite und maximale Burst-Größe für Datenverkehr zu erzwingen, der über eine Schnittstelle gesendet oder empfangen wird, können Sie Policer konfigurieren. Policer sind eine spezielle Art von zustandslosen Firewall-Filtern und eine Hauptkomponente der Junos OS Class-of-Service (CoS).
Lokale Paketflusskontrolle
Um den Fluss lokaler Pakete zwischen den physischen Schnittstellen und der Routing-Engine zu steuern, können Sie zustandslose Firewallfilter auf die Ein- oder Ausgabe der Loopback-Schnittstelle anwenden. Die Loopback-Schnittstelle () ist die Schnittstelle zur Routing-Engine und überträgt keine Datenpakete.lo0
Junos OS Evolved Lokale Paketflusssteuerung
In Junos OS Evolved stehen Ihnen zwei verschiedene Filter zur Verfügung: eine für den Netzwerksteuerungsdatenverkehr (Loopback-Datenverkehr) und eine für Verwaltungsdatenverkehr. Mit zwei Filtern haben Sie mehr Flexibilität. Sie können z. B. einen strengeren Filter für den Datenverkehr der Verwaltungsschnittstelle als für den Datenverkehr der Netzwerksteuerung konfigurieren.
Bei der Verwaltungsfilterung werden Routing-Engine-Filter verwendet, die auf Netfiltern basieren, einem Framework, das vom Linux-Kernel bereitgestellt wird. Dieser Unterschied führt dazu, dass nur bestimmte Übereinstimmungen und Aktionen unterstützt werden.Weitere Informationen finden Sie unter Routing-Engine-Firewall-Filter.https://www.juniper.net/documentation/us/en/software/junos/overview-evo/topics/concept/evo-top-differences.html#top-differences-between-junos-os-evolved-and-junos-os__section-routing-engine-firewall-filters
Sie müssen den Filter explizit auf der Verwaltungsschnittstelle hinzufügen, da bei Junos OS Evolved der lo-Filter nicht mehr auf den Verwaltungsdatenverkehr angewendet wird, wie dies bei Junos OS der Fall ist.
Zustandslose und zustandsbehaftete Firewall-Filter
Ein zustandsloser Firewallfilter, der auch als Zugriffssteuerungsliste (Access Control List , ACL) bezeichnet wird, überprüft den Datenverkehr nicht zustandsbehaftet. Stattdessen wertet es den Paketinhalt statisch aus und verfolgt nicht den Status von Netzwerkverbindungen. Im Gegensatz dazu verwendet ein zustandsbehafteter Firewallfilter Verbindungsstatusinformationen, die von anderen Anwendungen und früheren Kommunikationen im Datenfluss abgeleitet wurden, um dynamische Steuerungsentscheidungen zu treffen.
Im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Policer werden zustandslose Firewallfilter beschrieben.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Zweck von zustandslosen Firewall-Filtern
Der Hauptzweck eines zustandslosen Firewall-Filters besteht darin, die Sicherheit durch die Verwendung von Paketfiltern zu erhöhen. Mit der Paketfilterung können Sie die Komponenten eingehender oder ausgehender Pakete überprüfen und dann die von Ihnen angegebenen Aktionen für Pakete ausführen, die den von Ihnen angegebenen Kriterien entsprechen. Die typische Verwendung eines zustandslosen Firewallfilters besteht darin, die Routing-Engine-Prozesse und -Ressourcen vor bösartigen oder nicht vertrauenswürdigen Paketen zu schützen.