Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Wie Firewall-Filter bewertet werden

Ein Firewall-Filter besteht aus einem oder mehreren Bedingungen. Die Reihenfolge der Bedingungen innerhalb eines Filters ist wichtig. Bevor Sie Firewall-Filter konfigurieren, sollten Sie verstehen, wie Switches die Begriffe innerhalb eines Filters beurteilen und wie Pakete anhand der Bedingungen ausgewertet werden.

Wenn ein Firewall-Filter aus einem Begriff besteht, wird er wie folgt bewertet:

  • Wenn das Paket alle Bedingungen erfüllt, wird die Aktion in der then Anweisung ergriffen.

  • Wenn das Paket alle Bedingungen erfüllt und in der Anweisung keine Aktion angegeben wird, wird then die Standard aktion accept ergriffen.

  • Wenn das Paket nicht allen Bedingungen angepasst ist, wird es verworfen.

Wenn ein Firewall-Filter aus mehr als einem Begriff besteht, wird der Filter sequenziell ausgewertet:

  1. Das Paket wird im ersten Term anhand der Bedingungen in der from Aussage bewertet.

  2. Wenn das Paket alle Bedingungen in diesem Begriff erfüllt, wird die Aktion in der Anweisung then ergriffen und die Bewertung endet. Nachfolgende Begriffe im Filter werden nicht ausgewertet.

  3. Wenn das Paket nicht allen Bedingungen des Begriffs entgegent, wird das Paket im zweiten Term anhand der Bedingungen in der Aussage from ausgewertet.

    Dieser Vorgang wird fortgesetzt, bis das Paket in einer der nachfolgenden Bedingungen mit allen Bedingungen in der Anweisung erfüllt ist oder es keine weiteren Begriffe from im Filter gibt.

  4. Wenn ein Paket alle Bedingungen im Filter ohne eine Übereinstimmung durchläuft, wird dieser Switch verworfen.

Anmerkung:

Die Reihenfolge der Bedingungen in einer Aussage ist nicht wichtig, da ein Paket alle Bedingungen erfüllen muss, um als from Übereinstimmung betrachtet zu werden.

Abbildung 1 zeigt, wie Switches die Bedingungen innerhalb eines Firewall-Filters beurteilen.

Abbildung 1: Bewertung von Bedingungen innerhalb eines Firewall-FiltersBewertung von Bedingungen innerhalb eines Firewall-Filters

Wenn Sie in einem Begriff keine Aussage enthalten, werden alle Pakete mit dem Begriff übereinstimmen und from von dieser then verarbeitet. Wenn ein Begriff keine Aussage enthält oder eine Aktion nicht in der Anweisung konfiguriert wurde, akzeptiert der Begriff alle entsprechenden thenthen Pakete.

Jeder Firewall-Filter enthält am Ende des Filters eine implizite Anweisung, die dem folgenden expliziten deny Filterbegriff entspricht:

Daher wird ein Paket, das nicht mit einem der Bedingungen in einem Firewall-Filter übereinstimmen, verworfen. Wenn Sie einen Filter ohne Bedingungen konfigurieren, werden alle Pakete, die den Filter passieren, verworfen.

Anmerkung:

Pakete mit einer Länge von mindestens 64 Byte unterstützen die Firewall-Filterung.