Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zur Planung von Firewall-Filtern

Bevor Sie einen Firewallfilter erstellen und anwenden, legen Sie fest, was der Filter erreichen soll und wie Sie seine Übereinstimmungsbedingungen und Aktionen verwenden können, um Ihre Ziele zu erreichen. Es ist wichtig, dass Sie verstehen, wie Pakete abgeglichen werden, welche Standard- und konfigurierten Aktionen der Firewallfilter sind und wo der Firewallfilter angewendet werden soll.

Sie können nicht mehr als einen Firewall-Filter pro Port, VLAN oder Router-Schnittstelle pro Richtung (Eingang und Ausgang) anwenden. Beispielsweise können Sie für einen bestimmten Port höchstens einen Filter in Eingangsrichtung und einen Filter in Ausgangsrichtung anwenden. Sie sollten versuchen, bei der Anzahl der Begriffe (Regeln), die Sie in die einzelnen Firewallfilter aufnehmen, konservativ vorzugehen, da eine große Anzahl von Begriffen eine längere Verarbeitungszeit während eines Commit-Vorgangs erfordert und das Testen und die Fehlerbehebung erschweren kann.

Bevor Sie Firewallfilter konfigurieren und anwenden, beantworten Sie für jeden von ihnen die folgenden Fragen:

  1. Wozu dient der Filter?

    So kann das System beispielsweise Pakete basierend auf Header-Informationen verwerfen, die Datenrate begrenzen, Pakete in Weiterleitungsklassen klassifizieren, Pakete protokollieren und zählen oder Denial-of-Service-Angriffe verhindern.

  2. Was sind die geeigneten Spielbedingungen? Bestimmen Sie die Paket-Header-Felder, die das Paket für eine Übereinstimmung enthalten muss. Mögliche Felder sind:

    • Layer-2-Header-Felder: Quell- und Ziel-MAC-Adressen, 802.1Q-Tag, Ethernet-Typ oder VLAN.

    • Layer-3-Header-Felder: Quell- und Ziel-IP-Adressen, Protokolle und IP-Optionen (IP-Priorität, IP-Fragmentierungsflags oder TTL-Typ).

    • TCP-Header-Felder: Quell- und Zielports und -flags.

    • ICMP-Header-Felder: Pakettyp und -code.

  3. Welche Maßnahmen sind zu ergreifen, wenn es zu einem Match kommt?

    Das System kann Pakete annehmen, verwerfen oder ablehnen.

  4. Welche zusätzlichen Aktionsmodifikatoren könnten erforderlich sein?

    Sie können das System beispielsweise so konfigurieren, dass Pakete an einen bestimmten Port gespiegelt (kopiert) werden, übereinstimmende Pakete gezählt werden, Datenverkehrsmanagement angewendet wird oder Pakete überwacht werden.

  5. Auf welchem Port, welcher Router-Schnittstelle oder welchem VLAN sollte der Firewall-Filter angewendet werden?

    Beginnen Sie mit den folgenden grundlegenden Richtlinien:

    • Wenn Pakete, die eine Layer-2-Schnittstelle (Port) erreichen oder verlassen, gefiltert werden müssen, wenden Sie den Filter auf Hierarchieebene an.[edit family ethernet switching filter] Hierbei handelt es sich um einen Portfilter.

    • Wenn Pakete, die einen Port in einem bestimmten VLAN betreten oder verlassen, gefiltert werden müssen, verwenden Sie einen VLAN-Filter.

    • Wenn Pakete, die in eine (geroutete) Layer-3-Schnittstelle (geroutet) oder eine geroutete VLAN-Schnittstelle (RVI) eingehen oder diese verlassen, gefiltert werden müssen, verwenden Sie einen Router-Firewall-Filter. Wenden Sie den Filter auf die Schnittstelle auf Hierarchieebene an.[edit family inet] Sie können auch einen Router-Firewall-Filter auf eine Loopback-Schnittstelle anwenden.

    Bevor Sie die Schnittstelle oder das VLAN auswählen, auf das ein Firewallfilter angewendet werden soll, sollten Sie verstehen, wie sich diese Platzierung auf den Datenverkehrsfluss zu anderen Schnittstellen auswirken kann. Im Allgemeinen sollten Sie einen Filter in der Nähe des Quellgeräts anwenden, wenn der Filter mit Quell- oder Ziel-IP-Adressen, IP-Protokollen oder Protokollinformationen übereinstimmt, z. B. ICMP-Nachrichtentypen und TCP- oder UDP-Portnummern. Sie sollten jedoch einen Filter in der Nähe des Zielgeräts anwenden, wenn der Filter nur mit einer Quell-IP-Adresse übereinstimmt. Wenn Sie einen Filter anzuwenden, der zu nah am Quellgerät liegt, kann der Filter verhindern, dass dieses Quellgerät auf andere Dienste zugreift, die im Netzwerk verfügbar sind.

    HINWEIS:

    Ausgangs-Firewall-Filter haben keinen Einfluss auf den Fluss lokal generierter Steuerpakete von der Routing-Engine.

  6. In welche Richtung soll der Firewall-Filter angewendet werden?

    In der Regel konfigurieren Sie andere Aktionen für Datenverkehr, der in eine Schnittstelle eintritt, als für Datenverkehr, der eine Schnittstelle verlässt.

  7. Wie viele Filter sollte ich erstellen?

    Weitere Informationen dazu, wie viele Firewallfilter Sie anwenden können, finden Sie unter Planen der Anzahl der zu erstellenden Firewall-Filter .Planen der Anzahl der zu erstellenden Firewallfilter

Verwandte Themen