Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Firewall-Filter (QFX-Serie)

Firewall-Filter, die manchmal als AcLs (Access Control Lists) bezeichnet werden, stellen Regeln bereit, die festlegen, ob Pakete, die an einer Schnittstelle übertragen werden, akzeptiert oder verworfen werden. Wenn ein Paket akzeptiert wird, können Sie weitere Aktionen auf dem Paket konfigurieren, wie das Markieren von Class-of-Service (CoS) (Gruppierung ähnlicher Datenverkehrstypen und die Behandlung jeder Art von Datenverkehr als eine Klasse mit seiner eigenen Dienstpriorität) und Datenverkehr-Policing (Steuerung der maximalen Datenverkehrsrate, die gesendet oder empfangen wurde).

Sie können Firewall-Filter konfigurieren, um zu bestimmen, wo ein Paket empfangen oder verworfen werden soll, bevor es einen Port, VLAN, Layer 2 CCC, Layer 3 (Routed) Interface, Routed VLAN Interface (RVI) oder eine MPLS-Schnittstelle ein- oder austritt.

Ein Eingangs- (Eingangs-) Firewall-Filter wird auf Pakete angewendet, die an einer Schnittstelle oder einem VLAN eingehender sind, und ein Ausgangs-Firewall-Filter (Ausgang) wird auf Pakete angewendet, die eine Schnittstelle oder VLAN verlassen.

Wo Sie Filter anwenden können

Nachdem Sie den Firewall-Filter konfiguriert haben, können Sie ihn auf folgende anwenden:

  • Port: Filtert Layer-2-Datenverkehr, der Systemports überträgt.

  • VLAN: Filtert und bietet die Zugriffskontrolle für Layer-2-Pakete, die in ein VLAN eingeben, innerhalb eines VLANs überbrückt werden oder ein VLAN verlassen.

  • Layer 3-Schnittstelle (Routed): Filtert Datenverkehr an IPv4- und IPv6-Schnittstellen, Gerouteten VLAN-Schnittstellen (RVI) und der Loopback-Schnittstelle. Die Loopback-Schnittstelle filtert Datenverkehr, der an den Switch selbst gesendet oder vom Switch generiert wird.

  • Layer 2 CCC-Schnittstelle – Filtert Layer-2 Circuit Cross-Connect (CCC)-Schnittstellen.

  • MPLS: Filterung MPLS Schnittstellen.

Sie können auch einen Firewall-Filter auf eine Verwaltungsschnittstelle (z. B. ME0) auf einem QFX- EX4600-Switch anwenden. Sie können keinen Filter auf eine Verwaltungsschnittstelle auf einem system auf QFX3000-G oder QFX3000-M anwenden.

Anmerkung:

Sie können für eine bestimmte Richtung nur einen Firewall-Filter auf eine Port-, VLAN- oder Layer 2 CCC-Schnittstelle anwenden. Beispielsweise können Sie für die Schnittstelle ge-0/0/6.0 einen Filter für die Ingress-Richtung und einen für die Ausgangsrichtung anwenden.

  • (QFX-Serie) Beginnend mit Junos OS Release 13.2X51-D15 können Sie einen Filter auf eine Loopback-Schnittstelle in der Ausgangsrichtung anwenden.

  • (QFX10000) Beginnend mit Junos OS Release 18.2R1 können Sie Ingress- und Egress-Firewall-Filter mit und als Policer-Aktionen auf countdiscard Layer-2-Circuit-Schnittstellen anwenden.

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Beginnend mit Junos OS Release 19.2R1 können Sie die , und Match-Bedingungen in der Ausgangsrichtung auf interfaceforwarding-classloss-priority IPv4- und IPv6-Schnittstellen anwenden.

Was ist ein Firewall-Filter?

Beim Konfigurieren eines Firewall-Filters definieren Sie den Typ der Produktfamilie (Ethernet-Switching, inet (für IPv4), inet6 (für IPv6), Circuit Cross-Connect (CCC) oder MPLS), die Filterkriterien (Bedingungen mit Match-Bedingungen) und die Aktion, die bei einer Übereinstimmung zu ergreifen ist.

Jeder Begriff umfasst folgendes:

  • Bedingungen übereinstimmen: Werte, die ein Paket enthalten muss, um als Übereinstimmung zu gelten. Sie können Werte für die meisten Felder in den IP-, TCP-, UDP- oder ICMP-Headern angeben. Sie können auch Schnittstellennamen verwenden.

  • Aktion: Diese Aktion wird ergriffen, wenn ein Paket mit einer Übereinstimmungsbedingung übereinstimmen sollte. Sie können einen Firewall-Filter so konfigurieren, dass er ein passendes Paket akzeptiert, verwerfen oder ablehnen kann, und führen Sie dann weitere Aktionen aus, wie zählen, Klassifizieren und Policing. Die Standard aktion ist "akzeptieren".

Verarbeitung von Firewall-Filtern

Wenn sie mehrere Begriffe in einem Filter haben, ist die Reihenfolge der Bedingungen wichtig. Wenn ein Paket dem ersten Begriff entspricht, führt der Switch die von diesem Begriff definierte Aktion aus, und es werden keine anderen Begriffe ausgewertet. Wenn der Switch keine Übereinstimmung zwischen dem Paket und dem ersten Begriff findet, wird das Paket mit dem nächsten Begriff verglichen. Wenn zwischen dem Paket und dem zweiten Begriff keine Übereinstimmung auftritt, vergleicht das System weiterhin das Paket mit jedem nachfolgenden Begriff im Filter, bis eine Übereinstimmung gefunden wurde. Wenn keine Bedingungen angezeigt werden, verwirft der Switch das Paket standardmäßig.

Release-Verlaufstabelle
Release
Beschreibung
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Beginnend mit Junos OS Release 19.2R1 können Sie die , und Match-Bedingungen in der Ausgangsrichtung auf interfaceforwarding-classloss-priority IPv4- und IPv6-Schnittstellen anwenden.
18.2R1
(QFX10000) Beginnend mit Junos OS Release 18.2R1 können Sie Ingress- und Egress-Firewall-Filter mit und als Policer-Aktionen auf countdiscard Layer-2-Circuit-Schnittstellen anwenden.
13.2X51-D15
(QFX-Serie) Beginnend mit Junos OS Release 13.2X51-D15 können Sie einen Filter auf eine Loopback-Schnittstelle in der Ausgangsrichtung anwenden.