Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien für die Konfiguration von Dienstfiltern

Anweisungshierarchie für die Konfiguration von Dienstfiltern

Um einen Dienstfilter zu konfigurieren, fügen Sie die service-filter service-filter-name Anweisung auf der [edit firewall family (inet | inet6)] Hierarchieebene hinzu:

Die in dieser Aussage unterstützten Einzelaussagen werden in diesem Thema separat beschrieben und am Beispiel der Konfiguration und Anwendung eines service-filter service-filter-name Dienstfilters dargestellt.

Protokollfamilien für Servicefilter

Sie können Servicefilter konfigurieren, um nur IPv4-Datenverkehr ( family inet ) und IPv6-Datenverkehr ( family inet6 ) zu filtern. Keine anderen Protokollfamilien werden für Dienstfilter unterstützt.

Name der Dienstfilter

Die Anweisung family inetfamily inet6 bzw. Anweisung kann enthalten, service-filter service-filter-name um Dienstfilter zu erstellen und zu benennen. Der Filtername kann Buchstaben, Zahlen und Abstriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen im Namen einschließt, schließen Sie den gesamten Namen in Anführungszeichen ein (" ").

Bedingungen für Servicefilter

In der service-filter service-filter-name Erklärung können Sie Anweisungen zum Erstellen und term term-name Namenfiltern hinzufügen.

  • Sie müssen mindestens einen Begriff in einem Firewall-Filter konfigurieren.

  • Sie müssen einen eindeutigen Namen für jeden Begriff in einem Firewall-Filter angeben. Der Begriffsname kann Buchstaben, Zahlen und Abstriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen im Namen einschließt, schließen Sie den gesamten Namen in Anführungszeichen ein (" ").

  • Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewall-Filterkonfiguration angeben, ist wichtig. Die Bedingungen für Firewall-Filter werden in der Reihenfolge ausgewertet, in der sie konfiguriert sind. Standardmäßig werden am Ende des vorhandenen Filters immer neue Begriffe hinzugefügt. Sie können den insert Konfigurationsmodusbefehl verwenden, um die Bedingungen eines Firewall-Filters neu zuordnen.

Bedingungen für Servicefilter

Die Bedingungen für Servicefilter unterstützen nur eine Untergruppe der IPv4- und IPv6-Übereinstimmungsbedingungen, die von Zustandslosen Standard-Firewallfiltern unterstützt werden.

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung (die , oder Bedingungen) angeben, verwenden Sie die Syntax für addressdestination-address in RFC source-address 4291, IP Version 6 Addressing Architecturebeschriebene Textdarstellungen. Weitere Informationen zu IPv6-Adressen finden Sie unter "IPv6 Overview" in der Junos OS Routing Protocols Library für Routinggeräte.

Terminierungsaktionen für Servicefilter

Bei der Konfiguration eines Begriffs für Servicefilter müssen Sie eine der folgenden Filterterminierungsaktionen angeben:

  • service

  • skip

Anmerkung:

Diese Aktionen werden nur in Servicefiltern durchgeführt.

Die Bedingungen für Servicefilter unterstützen nur eine Untergruppe der nichtterminierenden IPv4- und IPv6-Aktionen, die von Standard-Stateless-Firewall-Filtern unterstützt werden:

  • count counter-name

  • log

  • port-mirror

  • sample

Servicefilter unterstützen die Aktion next nicht.