Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über zustandslose Firewall-Filter

Kontrolle des Paketflusses

Um zu beeinflussen, welche Pakete das System passieren dürfen, und um bei Bedarf spezielle Aktionen auf Pakete anzuwenden, können Sie zustandslose Firewallfilterkonfigurieren. Eine zustandslose Firewall gibt eine Sequenz von einer oder mehreren Paketfilterregeln an, die als Filterbegriffebezeichnet werden. Ein Filterbegriff gibt Übereinstimmungsbedingungen an, die verwendet werden sollen, um eine Übereinstimmung zu bestimmen, und Aktionen , die für ein übereinstimmendes Paket ausgeführt werden sollen. Mit einem zustandslosen Firewall-Filter können Sie jedes Paket einer bestimmten Protokollfamilie, einschließlich fragmentierter Pakete, basierend auf der Auswertung von Layer- 3- und Layer- 4-Header-Feldern manipulieren. In der Regel wenden Sie einen zustandslosen Firewallfilter auf eine oder mehrere Schnittstellen an, die mit Funktionen der Protokollfamilie konfiguriert wurden. Sie können einen zustandslosen Firewallfilter auf eine Eingangsschnittstelle, eine Ausgangsschnittstelle oder beides anwenden.

Kontrolle des Datenpaketflusses

Um den Fluss von Datenpaketen zu steuern, die das Gerät passieren, während die Pakete von einer Quelle zu einem Ziel weitergeleitet werden, können Sie zustandslose Firewall-Filter auf die Ein- oder Ausgabe der physischen Schnittstellen des Routers oder Switches anwenden.

Um eine bestimmte Bandbreite und maximale Burst-Größe für Datenverkehr zu erzwingen, der über eine Schnittstelle gesendet oder empfangen wird, können Sie Policerkonfigurieren. Policer sind eine spezielle Art von zustandslosen Firewall-Filtern und eine Hauptkomponente der Junos OS Class-of-Service (CoS).

Lokale Paketflusskontrolle

Um den Fluss lokaler Pakete zwischen den physischen Schnittstellen und der Routing-Engine zu steuern, können Sie zustandslose Firewallfilter auf die Ein- oder Ausgabe der Loopback-Schnittstelleanwenden. Die Loopback-Schnittstelle (lo0) ist die Schnittstelle zur Routing-Engine und überträgt keine Datenpakete.

Junos OS Evolved Lokale Paketflusssteuerung

In Junos OS Evolved stehen Ihnen zwei verschiedene Filter zur Verfügung: eine für den Netzwerksteuerungsdatenverkehr (Loopback-Datenverkehr) und eine für den Verwaltungsdatenverkehr (Managementschnittstelle). Mit zwei Filtern haben Sie mehr Flexibilität. Sie können z. B. einen strengeren Filter für den Datenverkehr der Verwaltungsschnittstelle als für den Datenverkehr der Netzwerksteuerung konfigurieren.

Unter Junos OS und Junos OS Evolved verhalten sich Firewall-Filter für den Netzwerksteuerungsdatenverkehr oder Loopback-Firewall-Filter (Lo0/Lo6) gleich, und es gibt keinen Unterschied. Sie konfigurieren einen Lo0/Lo6-Firewall-Filter am INET oder eine INET6-Firewall-Filter-Hierarchie der Lo0/Lo6-Schnittstelle. Um Filterfunktionen für das ausgehende Paket auf der Lo0-Schnittstelle bereitzustellen, wird der Firewall-Filter mithilfe von Netfilters von Juniper in den Software-Kernel implementiert. Netfilters ist im Linux-Kernel installiert und daran ist keine Hardware beteiligt.

Im Folgenden finden Sie eine Beispielkonfiguration für Lo0-Firewallfilter.

Tabelle 1Tabelle 3, Tabelle 2, und Tabelle 4 zeigt die unterstützten Übereinstimmungsbedingungen und -aktionen für die Lo0/Lo6-Firewall-Filterfamilie in Junos OS Evolved an.

Tabelle 1: Loopback-Firewallfilter stimmen mit Bedingungen überein, die in Junos OS Evolved in Eingangsrichtung unterstützt werden

Firewall-Filter-Übereinstimmungsbedingung

Lo0

L6

ip-ziel-adresse

Ja

Ja

IP-Quelladresse

Ja

Ja

Ziel-Präfix-Liste

Ja

Ja

source-präfix-liste

Ja

Ja

Zielhafen

Ja

Ja

Quell-Port

Ja

Ja

IP-Protokoll

Ja

Ja

Erstes Fragment

Ja

Nein

ist-fragment

Ja

Nein

TCP-Flags

Ja

Ja

ttl

Ja

Nein

DSCP

Ja

Nein

Tabelle 2: Loopback-Firewallfilter stimmen mit Bedingungen überein, die in Junos OS Evolved in Ausgangsrichtung unterstützt werden

Firewall-Filter-Übereinstimmungsbedingung

Lo0

L6

ip-ziel-adresse

Nein

Ja

IP-Quelladresse

Nein

Ja

Ziel-Präfix-Liste

Nein

Ja

source-präfix-liste

Nein

Ja

Zielhafen

Nein

Ja

Tabelle 3: Loopback-Firewall-Firewall-Filteraktionen, die in Junos OS Evolved in Eingangsrichtung unterstützt werden

Action!

Lo0

L6

zählen

Ja

Ja

abwerfen

Ja

Ja

Polizist

Ja

Ja

dreifarbiger Polizist

Ja

Ja

Tabelle 4: Loopback-Firewall-Firewall-Filteraktionen, die in Junos OS Evolved in Ausgangsrichtung unterstützt werden

Action!

Lo0

L6

zählen

Ja

Ja

abwerfen

Ja

Ja

Polizist

Ja

Ja

dreifarbiger Polizist

Ja

Ja

Bei der Verwaltungsfilterung werden Routing-Engine-Filter verwendet, die auf Netfiltern basieren, einem Framework, das vom Linux-Kernel bereitgestellt wird. Dieser Unterschied führt dazu, dass nur bestimmte Übereinstimmungen und Aktionen unterstützt werden. In den Firewall-Filtern der Routing-Engine sind einige wichtige Unterschiede zwischen Junos OS und Junos OS Evolved aufgeführt.

HINWEIS:

Sie müssen den Filter explizit auf der Management-Schnittstelle hinzufügen, da bei Junos OS Evolved derlo 0-Filter nicht mehr auf den Management-Datenverkehr angewendet wird, wie dies bei Junos OS der Fall ist.

Für die Konfiguration im Filter der Verwaltungsschnittstelle muss der Filter in der Firewallfilterhierarchie der Familie INET oder INET6 der Verwaltungsschnittstelle konfiguriert werden. Im Folgenden finden Sie eine Beispielkonfiguration für die Konfiguration des Firewall-Filters in der Verwaltungsschnittstelle.

Tabelle 5Tabelle 6und , und Tabelle 7 zeigen die unterstützten Firewallfilter-Übereinstimmungsbedingungen und -aktionen auf Verwaltungsschnittstellen an.

Tabelle 5: Firewall-Filter stimmen mit Bedingungen überein, die auf Verwaltungsschnittstellen für die IPv6-Firewall-Filterfamilie in Junos OS Evolved unterstützt werden

Firewall-Filter-Übereinstimmungsbedingung

Unterstützt

Adresse

Ja

Zieladresse

Ja

Zielhafen

Ja

destination-port-except

Ja

Ziel-Präfix-Liste

Ja

ICMP-Code

Ja

icmp-code-except

Ja

ICMP-Typ

Ja

icmp-type-except

Ja

Nächste-Kopfzeile

Ja

next-header-except

Ja

Paketlänge

Ja

packet-length-except

Ja

Payload-Protokoll

Ja

payload-protocol-except

Ja

Hafen

Ja

port-except

Ja

Präfix-Liste

Ja

Quelladresse

Ja

Quell-Port

Ja

source-port-except

Ja

source-präfix-liste

Ja

TCP-etabliert

Ja

TCP-Flags

Ja

tcp-initial

Ja

traffic-class

Ja

traffic-class-except

Ja

Tabelle 6: Firewall-Filter stimmen mit Bedingungen überein, die auf Verwaltungsschnittstellen für die IPv4-Firewall-Filterfamilie in Junos OS Evolved unterstützt werden

Firewall-Filter-Übereinstimmungsbedingung

Unterstützt

DSCP

Ja

dscp-except

Ja

Vorrang

Ja

Vorrang – außer

Ja

Protokoll

Ja

protokoll-außer

Ja

ttl

Ja

TTL-EXCEPT

Ja

Tabelle 7: Firewall-Filteraktionen, die auf Verwaltungsschnittstellen für IPv4- und IPv6-Firewall-Filterfamilien in Junos OS Evolved unterstützt werden

Firewall-Filteraktion

IPv4

IPv6

annehmen

Ja

Ja

zählen

Ja

Ja

forwarding-class

Ja

Ja

Verlust-Priorität

Ja

Ja

Polizist

Ja

Ja

ablehnen

Ja

Ja

syslog

Ja

Ja

Zustandslose und zustandsbehaftete Firewall-Filter

Ein zustandsloser Firewallfilter, der auch als Zugriffssteuerungsliste (Access Control List , ACL) bezeichnet wird, überprüft den Datenverkehr nicht zustandsbehaftet. Stattdessen wertet es den Paketinhalt statisch aus und verfolgt nicht den Status von Netzwerkverbindungen. Im Gegensatz dazu verwendet ein zustandsbehafteter Firewallfilter Verbindungsstatusinformationen, die von anderen Anwendungen und früheren Kommunikationen im Datenfluss abgeleitet wurden, um dynamische Steuerungsentscheidungen zu treffen.

Im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Policer werden zustandslose Firewallfilterbeschrieben.

Zweck von zustandslosen Firewall-Filtern

Der Hauptzweck eines zustandslosen Firewall-Filters besteht darin, die Sicherheit durch die Verwendung von Paketfiltern zu erhöhen. Mit der Paketfilterung können Sie die Komponenten eingehender oder ausgehender Pakete überprüfen und dann die von Ihnen angegebenen Aktionen für Pakete ausführen, die den von Ihnen angegebenen Kriterien entsprechen. Die typische Verwendung eines zustandslosen Firewallfilters besteht darin, die Routing-Engine-Prozesse und -Ressourcen vor bösartigen oder nicht vertrauenswürdigen Paketen zu schützen.