Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien für die Konfiguration einfacher Filter

Anweisungshierarchie für die Konfiguration einfacher Filter

Um einen einfachen Filter zu konfigurieren, fügen Sie die simple-filter simple-filter-name Anweisung auf Hierarchieebene [edit firewall family inet] hinzu.

Die unter der Anweisung unterstützten Einzelaussagen werden in diesem simple-filter simple-filter-name Thema separat beschrieben und im Beispiel der Konfiguration und Anwendung eines einfachen Filters dargestellt.

Einfache Filterprotokollfamilien

Sie können einfache Filter so konfigurieren, dass nur IPv4-Datenverkehr (family inet) gefiltert wird. Für einfache Filter wird keine andere Protokollfamilie unterstützt.

Einfache Filternamen

Unter der family inet Anweisung können Sie Anweisungen zum Erstellen und Benennen einfacher Filter einfügen simple-filter simple-filter-name . Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzuschließen, um den gesamten Namen in Anführungszeichen ("") umzuschließen.

Einfache Filterbedingungen

Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen von simple-filter simple-filter-name Filterbegriffen einfügen term term-name .

  • Sie müssen mindestens einen Begriff in einem Firewall-Filter konfigurieren.

  • Sie müssen innerhalb eines Firewallfilters einen eindeutigen Namen für jeden Begriff angeben. Der Begriff Name kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzuschließen, um den gesamten Namen in Anführungszeichen ("") umzuschließen.

  • Die Reihenfolge, in der Sie Bedingungen innerhalb einer Firewall-Filterkonfiguration angeben, ist wichtig. Firewall-Filterbegriffe werden in der Reihenfolge ausgewertet, in der sie konfiguriert sind. Standardmäßig werden immer neue Begriffe am Ende des vorhandenen Filters hinzugefügt. Sie können den insert Konfigurationsmodusbefehl verwenden, um die Bedingungen eines Firewallfilters neu zu ordnen.

Einfache Filter unterstützen die next term Aktion nicht.

Einfache Filter-Übereinstimmungsbedingungen

Einfache Filterbedingungen unterstützen nur einen Teil der IPv4-Übereinstimmungsbedingungen, die für standardmäßig zustandslose Firewall-Filter unterstützt werden.

Im Gegensatz zu zustandslosen Firewall-Filtern gelten für einfache Filter die folgenden Einschränkungen:

  • Auf Routern der MX-Serie mit enhanced Queuing DPC und auf Switches der EX-Serie unterstützen einfache Filter den Übereinstimmungszustand forwarding- class nicht.

  • Einfache Filter unterstützen nur ein source-address und ein destination-address Präfix für jeden Filterbegriff. Wenn Sie mehrere Präfixe konfigurieren, wird nur das letzte verwendet.

  • Einfache Filter unterstützen nicht mehrere Quelladressen und Zieladressen in einem einzigen Begriff. Wenn Sie mehrere Adressen konfigurieren, wird nur die letzte verwendet.

  • Einfache Filter unterstützen keine vernachlässigten Übereinstimmungsbedingungen, wie z. B. die Übereinstimmungsbedingung protocol-except oder das exception Schlüsselwort.

  • Einfache Filter unterstützen nur eine Reihe von Werten für source-port und destination-port passen sie nur an Bedingungen an. Sie können beispielsweise konfigurieren source-port 400-500 oder destination-port 600-700.

  • Einfache Filter unterstützen keine nicht zusammenhängenden Maskenwerte.

Tabelle 1 listet die einfachen Filter-Übereinstimmungsbedingungen auf.

Tabelle 1: Einfache Filter-Übereinstimmungsbedingungen

Übereinstimmungsbedingung

Beschreibung

destination-address destination-address

IP-Zieladresse anpassen.

destination-port number

TCP- oder UDP-Zielportfeld.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol Übereinstimmungsanweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie einen der folgenden Textaliases angeben (die Portnummern werden ebenfalls aufgeführt): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (21) 2106), execekshell 512, finger 79, ftp 21, ftp-data 20, http 80, https 443, ident 113 und imap 143, kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44) 1080), socksssh 22, sunrpc 111, syslog 514, tacacs-ds 65, talk 517, telnet 23, tftp 69, timed 525, who 513 oder xdmcp 177.

forwarding-class class

Passen Sie die Weiterleitungsklasse des Pakets an.

Angeben assured-forwarding, best-effort, expedited-forwardingoder network-control.

Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues.

protocol number

IP-Protokollfeld. Anstelle des numerischen Werts können Sie einen der folgenden Textaliases angeben (die Feldwerte werden ebenfalls aufgeführt): ah(51), dstopts (60), egp 8, esp 50, fragment 44, gre 47, 0, icmphop-by-hop 1, icmp6 58, icmpv6 58, igmp 2, ipip 4 ipv6 , 41, ospf 89, pim 103, rsvp 46, sctp 132, tcp 6, udp 17 oder vrrp 112.

source-address ip-source-address

Ip-Quelladresse anpassen.

source-port number

Passen Sie das UDP- oder TCP-Quellportfeld an.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol Übereinstimmungsanweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Feldes können Sie einen der für aufgeführten destination-portTextaliases angeben.

Einfache Aktionen zum Beenden von Filtern

Einfache Filter unterstützen nicht explizit konfigurierbare Terminierungsaktionen wie accept, rejectund discard. In einem einfachen Filter konfigurierte Begriffe akzeptieren immer Pakete.

Einfache Filter unterstützen die next Aktion nicht.

Einfache, nicht bestimmende Filteraktionen

Einfache Filter unterstützen nur die folgenden nicht bestimmten Aktionen:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    Anmerkung:

    Auf routern der MX-Serie und Switches der EX-Serie mit enhanced Queuing DPC wird die Weiterleitungsklasse nicht als from Übereinstimmungsbedingung unterstützt.

  • loss-priority (high | low | medium-high | medium-low)

Einfache Filter unterstützen keine Aktionen, die andere Funktionen in einem Paket ausführen (z. B. das Erhöhen eines Zählers, die Protokollierung von Informationen über den Paket-Header, das Sampling der Paketdaten oder das Senden von Informationen an einen Remote-Host über die Systemprotokollfunktionalität).