Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien für die Konfiguration von Dienstfiltern

Anweisungshierarchie für die Konfiguration von Servicefiltern

Um einen Dienstfilter zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein:service-filter service-filter-name[edit firewall family (inet | inet6)]

Einzelne Anweisungen, die unter der Anweisung unterstützt werden, werden in diesem Thema separat beschrieben und im Beispiel für die Konfiguration und Anwendung eines Dienstfilters veranschaulicht.service-filter service-filter-name

Servicefilter-Protokollfamilien

Sie können Dienstfilter so konfigurieren, dass nur IPv4-Datenverkehr () und IPv6-Datenverkehr () gefiltert werden.family inetfamily inet6 Für Dienstfilter werden keine anderen Protokollfamilien unterstützt.

Namen von Dienstfiltern

Unter der oder-Anweisung können Sie Anweisungen zum Erstellen und Benennen von Dienstfiltern einfügen .family inetfamily inet6service-filter service-filter-name Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.

Service-Filter-Bedingungen

Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einfügen .service-filter service-filter-nameterm term-name

  • Sie müssen mindestens einen Begriff in einem Firewallfilter konfigurieren.

  • Sie müssen für jeden Begriff innerhalb eines Firewallfilters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.

  • Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewallfilterkonfiguration angeben, ist wichtig. Firewallfilterbegriffe werden in der Reihenfolge ausgewertet, in der sie konfiguriert wurden. Standardmäßig werden neue Begriffe immer am Ende des vorhandenen Filters hinzugefügt. Sie können den Befehl configuration mode verwenden, um die Bedingungen eines Firewallfilters neu anzuordnen.insert

Übereinstimmungsbedingungen für Servicefilter

Dienstfilterbegriffe unterstützen nur eine Teilmenge der IPv4- und IPv6-Übereinstimmungsbedingungen, die für standardmäßige zustandslose Firewallfilter unterstützt werden.

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung angeben (die , oder Übereinstimmungsbedingungen), verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, IP Version 6 Addressing Architecture, beschrieben ist.addressdestination-addresssource-address Weitere Informationen zu IPv6-Adressen finden Sie unter "IPv6 Overview" in der Junos OS Routing Protocols Library for Routing Devices.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/index.html

Aktionen zum Beenden von Dienstfiltern

Wenn Sie einen Dienstfilterbegriff konfigurieren, müssen Sie eine der folgenden filterbeendenden Aktionen angeben:

  • service

  • skip

HINWEIS:

Diese Aktionen gelten nur für Dienstfilter.

Dienstfilterbegriffe unterstützen nur eine Teilmenge der nicht beendenden IPv4- und IPv6-Aktionen, die für standardmäßige zustandslose Firewallfilter unterstützt werden:

  • count counter-name

  • log

  • port-mirror

  • sample

Dienstfilter unterstützen diese Aktion nicht.next