Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über zustandslose Firewall-Filter

Packet Flow Control

Um zu beeinflussen, welche Pakete das System übertragen dürfen und bei Bedarf spezielle Aktionen auf Pakete anzuwenden, können Sie zustandslose Firewall-Filter konfigurieren. Eine zustandslose Firewall gibt eine Abfolge einer oder mehrerer Paketfilterregeln an, die als Filterbegriffe bezeichnet werden. Ein Filterbegriff gibt Die Übereinstimmungsbedingungen an, die zur Bestimmung einer Übereinstimmung verwendet werden sollen, und Aktionen , die auf einem übereinstimmenden Paket ausgeführt werden sollen. Mit einem zustandslosen Firewall-Filter können Sie jedes Paket einer bestimmten Protokollfamilie, einschließlich fragmentierter Pakete, basierend auf der Bewertung von Layer 3- und Layer 4-Headerfeldern bearbeiten. Sie wenden in der Regel einen zustandslosen Firewall-Filter auf eine oder mehrere Schnittstellen an, die mit Funktionen der Protokollfamilie konfiguriert wurden. Sie können einen zustandslosen Firewall-Filter auf eine Eingangsschnittstelle, eine Ausgangsschnittstelle oder beides anwenden.

Datenpaketflusskontrolle

Um den Datenstrom von Datenpaketen zu steuern, die das Gerät übertragen, während die Pakete von einer Quelle an ein Ziel weitergeleitet werden, können Sie zustandslose Firewall-Filter auf die Ein- oder Ausgabe der physischen Schnittstellen des Routers oder Switches anwenden.

Um eine bestimmte Bandbreite und maximale Burst-Größe für den an einer Schnittstelle gesendeten oder empfangenen Datenverkehr durchzusetzen, können Sie Policer konfigurieren. Policer sind eine spezielle Art von zustandslosem Firewall-Filter und eine Hauptkomponente der Class-of-Service (CoS) von Junos OS.

Lokale Paketflusssteuerung

Um den Fluss lokaler Pakete zwischen den physischen Schnittstellen und der Routing-Engine zu steuern, können Sie zustandslose Firewall-Filter auf den Eingang oder die Ausgabe der Loopback-Schnittstelle anwenden. Die Loopback-Schnittstelle (lo0) ist die Schnittstelle zur Routing-Engine und transportiert keine Datenpakete.

Junos OS Evolved Local Packet Flow Control

In Junos OS Evolved können Sie zwei verschiedene Filter verwenden: eine für den Netzwerkkontrolldatenverkehr (Loopback-Datenverkehr) und eine für die Verwaltung des Datenverkehrs. Mit zwei Filtern haben Sie mehr Flexibilität. Beispielsweise können Sie einen strengeren Filter für Denk- und Verwaltungsschnittstellendatenverkehr konfigurieren als für Netzwerkkontrolldatenverkehr.

Die Managementfilterung verwendet Routing-Engine-Filter basierend auf Netfiltern, einem Framework, das vom Linux-Kernel bereitgestellt wird. Dieser Unterschied führt dazu, dass nur bestimmte Übereinstimmungen und Aktionen unterstützt werden.

Anmerkung:

Sie müssen den Filter explizit auf der Verwaltungsschnittstelle hinzufügen, wie bei Junos OS Evolved, der Lo-Filter gilt nicht mehr für den Managementdatenverkehr, wie es bei Junos OS der Fall ist.

Zustandslose und Zustandsbehaftete Firewall-Filter

Ein zustandsloser Firewall-Filter, auch als Access Control List (ACL) bezeichnet, prüft den Datenverkehr nicht statefully. Stattdessen wertet es Paketinhalte statisch aus und verfolgt den Zustand der Netzwerkverbindungen nicht. Im Gegensatz dazu nutzt ein Stateful-Firewall-Filter Verbindungsstatusinformationen, die von anderen Anwendungen und vergangener Kommunikation im Datenfluss abgeleitet wurden, um dynamische Kontrollentscheidungen zu treffen.

Das Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer beschreibt zustandslose Firewall-Filter.

Zweck der zustandslosen Firewall-Filter

Der grundlegende Zweck eines zustandslosen Firewall-Filters besteht darin, die Sicherheit durch die Verwendung von Paketfilterung zu verbessern. Mithilfe der Paketfilterung können Sie die Komponenten eingehender oder ausgehender Pakete untersuchen und dann die von Ihnen angegebenen Aktionen für Pakete ausführen, die den von Ihnen festgelegten Kriterien entsprechen. Die typische Verwendung eines zustandslosen Firewall-Filters besteht darin, die Routing-Engine-Prozesse und -Ressourcen vor bösartigen oder nicht vertrauenswürdigen Paketen zu schützen.