Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen, wie Firewallfilter ausgewertet werden

Ein Firewallfilter besteht aus einem oder mehreren Begriffen, und die Reihenfolge der Begriffe innerhalb eines Filters ist wichtig. Bevor Sie Firewallfilter konfigurieren, sollten Sie wissen, wie Switches die Begriffe innerhalb eines Filters und Pakete anhand der Begriffe auswerten.

Wenn ein Firewallfilter aus einem einzelnen Begriff besteht, wird der Filter wie folgt ausgewertet:

  • Wenn das Paket alle Bedingungen erfüllt, wird die Aktion in der Anweisung ausgeführt.then

  • Wenn das Paket alle Bedingungen erfüllt und in der Anweisung keine Aktion angegeben ist, wird die Standardaktion ausgeführt.thenaccept

  • Wenn das Paket nicht alle Bedingungen erfüllt, wird es vom Switch verworfen.

Wenn ein Firewallfilter aus mehr als einem Begriff besteht, wird der Filter sequenziell ausgewertet:

  1. Das Paket wird im ersten Term anhand der Bedingungen in der Anweisung ausgewertet.from

  2. Wenn das Paket alle Bedingungen im Begriff erfüllt, wird die Aktion in der Anweisung ausgeführt, und die Auswertung wird beendet.then Nachfolgende Terme im Filter werden nicht ausgewertet.

  3. Wenn das Paket nicht alle Bedingungen in der Laufzeit erfüllt, wird das Paket anhand der Bedingungen in der Anweisung in der zweiten Laufzeit ausgewertet.from

    Dieser Vorgang wird so lange fortgesetzt, bis das Paket alle Bedingungen in der Anweisung in einem der nachfolgenden Begriffe erfüllt oder der Filter keine weiteren Begriffe enthält.from

  4. Wenn ein Paket alle Terme im Filter ohne Übereinstimmung durchläuft, wird es vom Switch verworfen.

HINWEIS:

Die Reihenfolge der Bedingungen in einer Anweisung ist nicht wichtig, da ein Paket alle Bedingungen erfüllen muss, um als Übereinstimmung betrachtet zu werden.from

Abbildung 1 Zeigt, wie Switches die Begriffe innerhalb eines Firewallfilters auswerten.

Abbildung 1: Auswertung von Begriffen innerhalb eines Firewall-FiltersAuswertung von Begriffen innerhalb eines Firewall-Filters

Wenn Sie keine Anweisung in einen Begriff aufnehmen, stimmen alle Pakete mit dem Begriff überein und werden von der Anweisung verarbeitet.fromthen Wenn ein Begriff keine Anweisung enthält oder wenn in der Anweisung keine Aktion konfiguriert wurde, akzeptiert der Begriff alle übereinstimmenden Pakete.thenthen

Jeder Firewallfilter enthält am Ende des Filters eine implizite Anweisung, die dem folgenden expliziten Filterbegriff entspricht:deny

Folglich wird ein Paket, das mit keinem der Begriffe in einem Firewallfilter übereinstimmt, verworfen. Wenn Sie einen Filter konfigurieren, der keine Begriffe hat, werden alle Pakete, die den Filter passieren, verworfen.

HINWEIS:

Die Firewallfilterung wird für Pakete unterstützt, die mindestens 64 Byte lang sind.

Verwandte Themen