Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zur Übereinstimmung der Firewall-Filterbedingungen

Bevor Sie Begriffe für Firewall-Filter definieren, müssen Sie verstehen, wie die Bedingungen in einem Begriff gehandhabt werden und wie Schnittstellen-, numerische, Adressen- und Bitfeldfilterbedingungen angegeben werden, um die gewünschten Filterergebnisse zu erzielen.

Filter Match Bedingungen

In der from Anweisung eines Firewall-Filterbegriffs geben Sie in der Anweisung die then Bedingungen an, unter denen das Paket für die Aktion übereinstimmen muss. Alle Bedingungen müssen übereinstimmen, damit die Maßnahme umgesetzt werden kann. Die Reihenfolge, in der Sie die Übereinstimmungsbedingungen angeben, ist nicht wichtig, da ein Paket alle Bedingungen in einem Begriff erfüllen muss, damit eine Übereinstimmung auftritt.

Wenn Sie mehrere Werte für dieselbe Bedingung angeben, entspricht eine Übereinstimmung für einen dieser Werte dieser Bedingung. Wenn Sie beispielsweise mehrere IP-Quelladressen mithilfe der source-address Anweisung angeben, entspricht ein Paket, das eine dieser IP-Quelladressen enthält, der Bedingung. In einigen Fällen können Sie mehrere Werte für dieselbe Bedingung angeben, indem Sie die möglichen Werte in eckige Klammern einschließen, wie in:

In anderen Fällen müssen Sie mehrere Aussagen eingeben, wie in:

Wenn Sie keine Übereinstimmungsbedingungen in einem Begriff angeben, entspricht dieser Begriff allen Paketen.

HINWEIS:

Im Gegensatz zu herkömmlichen Junos OS-Firewall-Filtern können Sie die Bedingung nicht in einer Bedingungsaussage verwenden except , um die Bedingung zu negieren.

Numerische Filtergleichbedingungen

Sie können numerische Filtergleichbedingungen angeben, die durch einen numerischen Wert wie Port- und Protokollnummern identifiziert werden. Für numerische Filtergleichbedingungen geben Sie die Bedingung und einen einzelnen Wert an, die ein Feld in einem Paket enthalten muss, um als Übereinstimmung betrachtet zu werden.

Sie können den numerischen Wert auf eine der folgenden Arten angeben:

  • Einzelne Zahl: Eine Übereinstimmung tritt auf, wenn der Wert des Feldes mit der Zahl übereinstimmt. Um beispielsweise den Telnet-Datenverkehr abzugleichen,

  • Text-Synonym für eine einzelne Zahl– Eine Übereinstimmung tritt auf, wenn der Wert des Feldes mit der Zahl übereinstimmt, die dem Synonym entspricht. Um beispielsweise den Telnet-Datenverkehr abzugleichen,

  • Um mehrere Werte für dieselbe Übereinstimmungsbedingung in einem Filterbegriff anzugeben, geben Sie jeden Wert in seine eigene Match-Anweisung ein. Beispielsweise tritt eine Übereinstimmung mit dem folgenden Begriff auf, wenn der Wert des Quellports im Paket 22 oder 23 beträgt.

Schnittstellenfilter passen Bedingungen an

Sie können eine Schnittstellenfilter-Übereinstimmungsbedingung angeben, die mit einer Schnittstelle übereinstimmt, auf der ein Paket empfangen oder übertragen wird. Wenn Sie beispielsweise einen Filter auf ein VLAN anwenden, möchten Sie möglicherweise, dass der Filter auf einigen Schnittstellen übereinstimmt, die am VLAN teilnehmen, und nicht mit anderen Schnittstellen im VLAN. Wenn Sie den Namen der Schnittstelle angeben, müssen Sie eine logische Einheit einschließen.

In diesem Beispiel gibt das letzte Zeichen (0) die logische Einheit an. Sie können den Wildcard (*) als Teil des Schnittstellennamens einschließen. Zum Beispiel:

Beachten Sie, dass Sie einen Wert oder einen Wildcard für die logische Einheit angeben müssen.

Übereinstimmungsbedingungen für IP-Adressenfilter

Sie können eine Adressfilter-Übereinstimmungsbedingung angeben, die mit einer IP-Quell- oder Zieladresse oder einem Präfix in einem Paket übereinstimmt. Geben Sie den Adress- oder Präfixtyp und die Adresse oder das Präfix selbst an. Zum Beispiel:

Wenn Sie die Präfixlänge weglassen, wird standardmäßig ./32 Zum Beispiel:

Wenn Sie mehr als eine IP-Adresse oder ein Präfix in einem Filterbegriff angeben möchten, geben Sie jede Adresse oder präfix in ihre eigene Übereinstimmungsaussage ein. Eine Übereinstimmung findet beispielsweise mit dem folgenden Begriff statt, wenn die Quelladresse eines Pakets mit einem der folgenden Präfixe übereinstimmt:

Bedingungen für MAC-Adressfilter

Sie können eine Mac-Adressfilter-Übereinstimmungsbedingung angeben, die mit einer Quell- oder Ziel-MAC-Adresse übereinstimmt. Sie geben den Adresstyp und den Wert an, den ein Paket enthalten muss, um als Übereinstimmung betrachtet zu werden.

Sie können die MAC-Adresse als sechs hexadezimale Bytes in einem der folgenden Formate angeben:

Unabhängig von den verwendeten Formaten löst das System die Adresse in das Standardformat auf, in diesem Fall 00:11:22:33:44:55.

Um mehr als eine MAC-Adresse in einem Filterbegriff anzugeben, geben Sie jede MAC-Adresse in ihre eigene Übereinstimmungsaussage ein. Eine Übereinstimmung findet beispielsweise im folgenden Begriff statt, wenn der Wert der MAC-Quelladresse einer der folgenden Adressen entspricht:

Bedingungen für Bitfeldfilter

Sie können Bitfeldfilter-Übereinstimmungsbedingungen angeben, um bestimmte Bits in bestimmten Feldern in Ethernet-Frames und IP-, TCP-, UDP- und ICMP-Headern zu entsprechen. In der Regel geben Sie das Feld und das Bit innerhalb des Feldes an, die in einem Paket festgelegt werden müssen, um als Übereinstimmung zu gelten.

In den meisten Fällen können Sie ein Schlüsselwort verwenden, um das Bit anzugeben, auf dem Sie übereinstimmen möchten. Um beispielsweise ein TCP-SYN-Paket abzugleichen, können Sie eingeben syn, wie in:

Sie können auch eingeben 0x02 , weil das SYN-Bit das dritte am wenigsten wichtige Bit des 8-Bit-TCP-Flags-Felds ist:

Um mehrere Bitfeldwerte abzugleichen, verwenden Sie die logischen Operatoren, die in Tabelle 1beschrieben werden. Die Operatoren werden in der Reihenfolge der höchsten Rangfolge bis zur niedrigsten Rangfolge aufgeführt. Der Betrieb wird von links nach rechts bewertet.

Tabelle 1: Aktionen für Firewall-Filter

Logische Operatoren

Beschreibung

!

Negation

&

Logisch UND

|

Logisches ODER

Wenn Sie einen logischen Operator verwenden, schließen Sie die Werte in Anführungszeichen ein und schließen Sie keine Leerzeichen ein. Die folgende Anweisung entspricht beispielsweise dem zweiten Paket eines TCP-Handshakes:

Um eine Übereinstimmung zu negieren, gehen Sie dem Wert ein Ausrufezeichen voraus. Die folgende Anweisung entspricht beispielsweise nur dem anfänglichen Paket eines TCP-Handshakes:

Sie können Text-Synonyme verwenden, um einige gängige Bitfeld-Übereinstimmungen anzugeben. Die folgende Anweisung entspricht beispielsweise auch dem ersten Paket eines TCP-Handshakes: