Richtlinien für die Konfiguration einfacher Filter
Anweisungshierarchie für die Konfiguration einfacher Filter
Um einen einfachen Filter zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein.simple-filter simple-filter-name
[edit firewall family inet]
[edit] firewall { familyinet
{simple-filter
simple-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
Einzelne Anweisungen, die unter der Anweisung unterstützt werden, werden in diesem Thema separat beschrieben und im Beispiel zum Konfigurieren und Anwenden eines einfachen Filters veranschaulicht.simple-filter simple-filter-name
Einfache Filterprotokollfamilien
Sie können einfache Filter so konfigurieren, dass nur IPv4-Datenverkehr () gefiltert wird.family inet
Für einfache Filter wird keine andere Protokollfamilie unterstützt.
Einfache Filternamen
Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen einfacher Filter einfügen .family inet
simple-filter simple-filter-name
Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.
Einfache Filterbegriffe
Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einfügen .simple-filter simple-filter-name
term term-name
Sie müssen mindestens einen Begriff in einem Firewallfilter konfigurieren.
Sie müssen für jeden Begriff innerhalb eines Firewallfilters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.
Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewallfilterkonfiguration angeben, ist wichtig. Firewallfilterbegriffe werden in der Reihenfolge ausgewertet, in der sie konfiguriert wurden. Standardmäßig werden neue Begriffe immer am Ende des vorhandenen Filters hinzugefügt. Sie können den Befehl configuration mode verwenden, um die Bedingungen eines Firewallfilters neu anzuordnen.
insert
Einfache Filter unterstützen die Aktion nicht.next term
Einfache Filterübereinstimmungsbedingungen
Einfache Filterbegriffe unterstützen nur eine Teilmenge der IPv4-Übereinstimmungsbedingungen, die für standardmäßige zustandslose Firewallfilter unterstützt werden.
Im Gegensatz zu standardmäßigen zustandslosen Firewallfiltern gelten für einfache Filter die folgenden Einschränkungen:
Bei Routern der MX-Serie mit Enhanced Queuing DPC und bei Switches der EX-Serie unterstützen einfache Filter die Übereinstimmungsbedingung nicht.
forwarding- class
Einfache Filter unterstützen nur ein Präfix für jeden Filterbegriff.
source-address
destination-address
Wenn Sie mehrere Präfixe konfigurieren, wird nur das letzte verwendet.Einfache Filter unterstützen nicht mehrere Quell- und Zieladressen in einem einzigen Begriff. Wenn Sie mehrere Adressen konfigurieren, wird nur die letzte verwendet.
Einfache Filter unterstützen keine negierten Übereinstimmungsbedingungen, wie z. B. die Übereinstimmungsbedingung oder das Schlüsselwort.
protocol-except
exception
Einfache Filter unterstützen nur einen Wertebereich für und entsprechen nur Bedingungen.
source-port
destination-port
Sie können z. B. oder .source-port 400-500
destination-port 600-700
Einfache Filter unterstützen keine nicht zusammenhängenden Maskenwerte.
Tabelle 1 Listet die einfachen Filterübereinstimmungsbedingungen auf.
Übereinstimmungsbedingung |
Beschreibung |
---|---|
|
Stimmt mit der IP-Zieladresse überein. |
|
TCP- oder UDP-Zielportfeld. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die match-Anweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Werts können Sie einen der folgenden Textaliase angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (65), (517), (23), (69), (525), (513) oder (177). |
|
Entspricht der Weiterleitungsklasse des Pakets. Geben Sie , , oder . Weitere Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.Understanding How Forwarding Classes Assign Classes to Output Queues |
|
IP-Protokoll-Feld. Anstelle des numerischen Werts können Sie einen der folgenden Textaliase angeben (die Feldwerte werden ebenfalls aufgelistet): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) oder (112). |
|
Stimmt mit der IP-Quelladresse überein. |
|
Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die match-Anweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Felds können Sie einen der für aufgelisteten Textaliase angeben. |
Einfache Aktionen zum Beenden von Filtern
Einfache Filter unterstützen keine explizit konfigurierbaren Beendigungsaktionen wie , und .accept
reject
discard
Begriffe, die in einem einfachen Filter konfiguriert sind, akzeptieren immer Pakete.
Einfache Filter unterstützen die Aktion nicht.next
Einfacher Filter, nicht beendende Aktionen
Einfache Filter unterstützen nur die folgenden nicht beendenden Aktionen:
forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)
HINWEIS:Auf den Routern der MX-Serie und den Switches der EX-Serie mit der erweiterten Warteschlangen-DPC wird die Weiterleitungsklasse nicht als Übereinstimmungsbedingung unterstützt.
from
loss-priority (high | low | medium-high | medium-low)
Einfache Filter unterstützen keine Aktionen, die andere Funktionen für ein Paket ausführen (z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion).