Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Richtlinien für die Konfiguration von Servicefiltern

Anweisungshierarchie zur Konfiguration von Servicefiltern

Um einen Servicefilter zu konfigurieren, fügen Sie die service-filter service-filter-name Anweisung auf [edit firewall family (inet | inet6)] Hierarchieebene ein:

Einzelne Anweisungen, die unter der service-filter service-filter-name Anweisung unterstützt werden, werden in diesem Thema separat beschrieben und im Beispiel für die Konfiguration und Anwendung eines Dienstfilters veranschaulicht.

ServiceFilter-Protokollfamilien

Sie können Servicefilter konfigurieren, um nur IPv4-Datenverkehr (family inet) und IPv6-Datenverkehr (family inet6) zu filtern. Für Servicefilter werden keine anderen Protokollfamilien unterstützt.

Namen von Servicefiltern

Unter der family inet Anweisung oder family inet6 der Anweisung können Sie Anweisungen zum Erstellen und Benennen von Servicefiltern einschließen service-filter service-filter-name . Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen ("").

Nutzungsbedingungen für Servicefilter

Unter der service-filter service-filter-name Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einschließen term term-name .

  • Sie müssen mindestens einen Begriff in einem Firewall-Filter konfigurieren.

  • Sie müssen für jeden Begriff innerhalb eines Firewall-Filters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und kann bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen ("").

  • Die Reihenfolge, in der Sie die Begriffe innerhalb einer Firewall-Filterkonfiguration angeben, ist wichtig. Firewall-Filterbegriffe werden in der Reihenfolge bewertet, in der sie konfiguriert sind. Standardmäßig werden immer neue Begriffe am Ende des vorhandenen Filters hinzugefügt. Sie können den Befehl für den insert Konfigurationsmodus verwenden, um die Bedingungen eines Firewall-Filters neu anzuordnen.

Bedingungen für Servicefilter

Servicefilterbedingungen unterstützen nur einen Teil der IPv4- und IPv6-Übereinstimmungsbedingungen, die für Standard-Zustandslose Firewall-Filter unterstützt werden.

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung (dem address, destination-addressoder source-address den Übereinstimmungsbedingungen) angeben, verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, Adressierungsarchitektur IP Version 6 beschrieben wird. Weitere Informationen zu IPv6-Adressen finden Sie unter "IPv6-Übersicht" in der Junos OS Routing Protocol Library for Routing Devices.

Terminierungsaktionen für Servicefilter

Beim Konfigurieren eines Servicefilterbegriffs müssen Sie eine der folgenden Aktionen zur Filterbeendung angeben:

  • service

  • skip

HINWEIS:

Diese Aktionen sind speziell für Servicefilter.

Servicefilterbegriffe unterstützen nur einen Teil der nicht bestimmenden IPv4- und IPv6-Aktionen, die für standardzustandslose Firewall-Filter unterstützt werden:

  • count counter-name

  • log

  • port-mirror

  • sample

Servicefilter unterstützen die next Aktion nicht.

Verwandte Themen