Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegende Bedingungen für die Übereinstimmung von Firewall-Filtern

Bevor Sie Begriffe für Firewall-Filter definieren, müssen Sie verstehen, wie die Bedingungen in einem Begriff verarbeitet werden und wie Schnittstellen-, numerische, Adress- und Bitfeld-Filter-Übereinstimmungsbedingungen angegeben werden, um die gewünschten Filterergebnisse zu erzielen.

Bedingungen für Filter-Übereinstimmungen

Sie geben im Begriff eines Firewall-Filterauszugs die Bedingungen an, die das Paket für die zu ergreifende Aktion in der Anweisung from erfüllen then muss. Alle Bedingungen müssen übereinstimmen, damit die Aktion implementiert wird. Die Reihenfolge, in der Sie die Übereinstimmungsbedingungen angeben, ist nicht wichtig, da ein Paket allen Bedingungen in einem Begriff für eine Übereinstimmung übereinstimmen muss.

Wenn Sie mehrere Werte für die gleiche Bedingung angeben, entspricht eine Übereinstimmung mit einem dieser Werte dieser Bedingung. Wenn Sie mit der Anweisung z. B. mehrere IP-Quelladressen angeben, entspricht ein Paket, das eine dieser IP-Quelladressen source-address enthält, der Bedingungen. In einigen Fällen können Sie mehrere Werte für die gleiche Bedingung angeben, indem Sie die möglichen Werte in quadratischen Klammern angeben, wie in:

In anderen Fällen müssen Sie mehrere Anweisungen eingeben, wie in:

Wenn Sie keine Bedingungen in einem Begriff angeben, entspricht dieser Begriff allen Paketen.

Anmerkung:

Anders als Junos OS Firewall-Filter können Sie diesen Zustand nicht in einer except Zustandsauszug negaten.

Numerische Filter-Übereinstimmungsbedingungen

Sie können numerische Filter-Übereinstimmungsbedingungen angeben, die mit einem numerischen Wert wie Port- und Protokollnummern identifiziert werden. Bei numerischen Filter-Übereinstimmungsbedingungen geben Sie die Bedingung und einen einzelnen Wert an, den ein Feld in einem Paket enthalten muss, um als Übereinstimmung betrachtet zu werden.

Sie können den numerischen Wert auf eine der folgenden Arten angeben:

  • Einzelne Nummer: Eine Übereinstimmung findet statt, wenn der Wert des Feldes mit der Nummer übereinstimmen sollte. Zum Beispiel, um Telnet-Datenverkehr zu übereinstimmungen:

  • Text synonym für eine einzelne Nummer: Eine Übereinstimmung findet statt, wenn der Wert des Feldes mit der Nummer entspricht, die dem Synonym entspricht. Zum Beispiel, um Telnet-Datenverkehr zu übereinstimmungen:

  • Um mehrere Werte für die gleiche Übereinstimmungsbedingung in einem Filterbegriff anzugeben, geben Sie jeden Wert in einer eigenen Übereinstimmungsauszug ein. Beispielsweise erfolgt eine Übereinstimmung im folgenden Begriff, wenn der Wert des Quellports im Paket 22 oder 23 ist.

Bedingungen für Schnittstellenfilter und -bedingungen

Sie können eine Bedingungen für die Filterungsbedingung für die Schnittstelle angeben, an der ein Paket empfangen oder übertragen wird. Wenn Sie beispielsweise einen Filter auf ein VLAN anwenden, sollte der Filter möglicherweise an einigen Schnittstellen, die im VLAN beteiligt sind, und nicht an anderen Schnittstellen im VLAN übereinstimmen. Wenn Sie den Namen der Schnittstelle angeben, müssen Sie eine logische Einheit angeben.

In diesem Beispiel gibt das letzte Zeichen ( 0 ) die logische Einheit an. Sie können die Platzhalter ( * ) als Teil des Schnittstellennamens angeben. Zum Beispiel:

Beachten Sie, dass Sie einen Wert oder eine Platzhalterung für die logische Einheit angeben müssen.

Bedingungen für die Übereinstimmung mit IP-Adressenfiltern

Sie können eine Adressfilter-Übereinstimmungsbedingung angeben, die einer IP-Quelle oder zieladresse oder einem Präfix in einem Paket zukommt. Geben Sie die Adresse oder den Prefix-Typ und die Adresse bzw. das Präfix selbst an. Zum Beispiel:

Wenn Sie die Präfixlänge weglassen, wird standardmäßig dies /32 verwendet. Zum Beispiel:

Wenn Sie in einem Filterbegriff mehr als eine IP-Adresse oder ein Präfix angeben möchten, geben Sie jede Adresse oder jedes Präfix in einer eigenen Übereinstimmungsauszug ein. Beispielsweise erfolgt eine Übereinstimmung im folgenden Begriff, wenn die Quelladresse eines Pakets mit einem der folgenden Präfixe entspricht:

Übereinstimmungsbedingungen für MAC-Adressenfilter

Sie können eine Bedingungen für die Übereinstimmung mit einer MAC-Adressenfilterung angeben, die einer Quelle oder einer MAC-Zieladresse zukommt. Sie geben den Adresstyp und den Wert an, den ein Paket enthalten muss, um als Übereinstimmung zu gelten.

Sie können die MAC-Adresse in einem der folgenden Formate als sechs Hexadezimalbyte angeben:

Unabhängig von den formaten, die Sie verwenden, löst das System die Adresse in das Standardformat auf, in diesem Fall 00:11:22:33:44:55.

Wenn Sie in einem Filterbegriff mehr als eine MAC-Adresse angeben möchten, geben Sie jede MAC-Adresse in einer eigenen Übereinstimmungsauszug ein. Beispielsweise erfolgt eine Übereinstimmung im folgenden Begriff, wenn der Wert der MAC-Quelladresse mit einer der folgenden Adressen entspricht:

Bedingungen für Bit-Field-Filter-Übereinstimmungen

Sie können Bitfeld-Filterüberschriftbedingungen angeben, die bestimmten Bits in bestimmten Feldern in Ethernet-Frames und IP-, TCP-, UDP- und ICMP-Headern übereinstimmen. Sie geben in der Regel das Feld und den Bit innerhalb des Feldes an, der in einem Paket festgelegt werden muss, um als Übereinstimmung zu gelten.

In den meisten Fällen können Sie ein Schlüsselwort verwenden, um das Bit anzugeben, das Sie auswählen möchten. Beispielsweise können Sie ein TCP-SYN-Paket eingeben, wie syn in:

Sie können auch eingeben, weil das SYN-Bit das drittgrößte Bit des 0x02 8-Bit-TCP-Flags-Feldes ist:

Verwenden Sie die logischen Operatoren, die in beschrieben werden, um mehrere Bitfeldwerte zu Tabelle 1 verwenden. Die Operatoren sind in der Reihenfolge von höchster Rangfolge bis niedrigster Rangfolge aufgelistet. Die Betriebsabläufe werden von links nach rechts ausgewertet.

Tabelle 1: Aktionen für Firewall-Filter

Logische Operatoren

Beschreibung

!

Negation

&

Logische und

|

Logische ODER

Wenn Sie einen logischen Operator verwenden, schließen Sie die Werte in Anführungszeichen ein und fügen Sie keine Leerzeichen bei. Die folgende Aussage entspricht z. B. dem zweiten Paket eines TCP-Handshakes:

Um eine Übereinstimmung zu negaten, gehen Sie dem Wert mit einem Exclamationspunkt voraus. Die folgende Aussage entspricht z. B. nur dem ursprünglichen Paket eines TCP-Handshakes:

Sie können Textsynonyme verwenden, um einige allgemeine Bitfeld-Treffer anzugeben. Die folgende Aussage entspricht z. B. auch dem ursprünglichen Paket eines TCP-Handshakes: