Zustandslose Firewall-Filter – Übersicht
Paketflusssteuerung
Um zu beeinflussen, welche Pakete das System passieren dürfen, und um bei Bedarf spezielle Aktionen auf Pakete anzuwenden, können Sie zustandslose Firewall-Filter konfigurieren. Eine zustandslose Firewall gibt eine Abfolge von einer oder mehreren Paketfilterregeln an, die als Filterbegriffe bezeichnet werden. Ein Filterbegriff gibt Übereinstimmungsbedingungen an, die verwendet werden sollen, um eine Übereinstimmung zu bestimmen, und Aktionen , die für ein abgeglichenes Paket ausgeführt werden sollen. Ein zustandsloser Firewall-Filter ermöglicht Ihnen die Manipulation von Paketen einer bestimmten Protokollfamilie, einschließlich fragmentierter Pakete, basierend auf der Auswertung von Layer-3- und Layer-4-Header-Feldern. Sie wenden in der Regel einen zustandslosen Firewall-Filter auf eine oder mehrere Schnittstellen an, die mit Funktionen der Protokollfamilie konfiguriert wurden. Sie können einen zustandslosen Firewall-Filter auf eine Eingangsschnittstelle, eine Ausgangsschnittstelle oder beides anwenden.
- Datenstromsteuerung
- Lokale Paketflusssteuerung
- Junos OS weiterentwickelte lokale Paketflusssteuerung
Datenstromsteuerung
Um den Datenstrom zu steuern, der das Gerät bei der Weiterleitung der Pakete von einer Quelle an ein Ziel transitiert, können Sie zustandslose Firewall-Filter auf die Ein- oder Ausgabe der physischen Schnittstellen des Routers oder Switches anwenden.
Um eine festgelegte Bandbreite und maximale Burst-Größe für den über eine Schnittstelle gesendeten oder empfangenen Datenverkehr durchzusetzen, können Sie Policer konfigurieren. Policer sind eine spezielle Art von zustandslosen Firewall-Filtern und eine Primäre Komponente des Junos OS Class-of-Service (CoS).
Lokale Paketflusssteuerung
Um den Datenstrom lokaler Pakete zwischen den physischen Schnittstellen und der Routing-Engine zu steuern, können Sie zustandslose Firewall-Filter auf die Ein- oder Ausgabe der Loopback-Schnittstelle anwenden. Die Loopback-Schnittstelle (lo0
) ist die Schnittstelle zur Routing-Engine und transportiert keine Datenpakete.
Junos OS weiterentwickelte lokale Paketflusssteuerung
In Junos OS Evolved können Sie zwei verschiedene Filter haben: eine für den Netzwerksteuerungsverkehr (Loopback-Datenverkehr) und eine für den Verwaltungsdatenverkehr. Mit zwei Filtern haben Sie mehr Flexibilität. Sie können beispielsweise einen strengeren Filter für den Datenverkehr der Verwaltungsschnittstelle konfigurieren als für den Netzwerksteuerungsverkehr.
Die Managementfilterung verwendet Routing-Engine-Filter, die auf Netfiltern basieren, einem Framework, das vom Linux-Kernel bereitgestellt wird. Dieser Unterschied führt dazu, dass nur bestimmte Übereinstimmungen und Aktionen unterstützt werden.
Sie müssen den Filter explizit auf der Verwaltungsschnittstelle hinzufügen, da für Junos OS Evolved der Lo-Filter nicht mehr für den Managementdatenverkehr gilt, wie bei Junos OS.
Zustandslose und Stateful-Firewall-Filter
Ein zustandsloser Firewall-Filter, der auch als Zugriffskontrollliste (Access Control List , ACL) bezeichnet wird, untersucht den Datenverkehr nicht zustandsbehaftet. Stattdessen wertet es Paketinhalte statisch aus und verfolgt den Zustand der Netzwerkverbindungen nicht. Im Gegensatz dazu verwendet ein Stateful-Firewall-Filter Verbindungsstatusinformationen, die von anderen Anwendungen und früheren Kommunikationen im Datenfluss abgeleitet wurden, um dynamische Steuerungsentscheidungen zu treffen.
Im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer werden zustandslose Firewall-Filter beschrieben.
Zweck zustandsloser Firewall-Filter
Der grundlegende Zweck eines zustandslosen Firewall-Filters besteht darin, die Sicherheit durch die Verwendung von Paketfilterung zu erhöhen. Mit der Paketfilterung können Sie die Komponenten eingehender oder ausgehender Pakete untersuchen und dann die aktionen ausführen, die Sie für Pakete angeben, die den von Ihnen angegebenen Kriterien entsprechen. Der typische Einsatz eines zustandslosen Firewall-Filters besteht darin, die Prozesse und Ressourcen der Routing-Engine vor böswilligen oder nicht vertrauenswürdigen Paketen zu schützen.