Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Richtlinien für die Konfiguration einfacher Filter

Anweisungshierarchie für die Konfiguration einfacher Filter

Um einen einfachen Filter zu konfigurieren, fügen Sie die simple-filter simple-filter-name Anweisung auf Hierarchieebene [edit firewall family inet] ein.

Einzelne Anweisungen, die unter der simple-filter simple-filter-name Anweisung unterstützt werden, werden in diesem Thema separat beschrieben und im Beispiel zum Konfigurieren und Anwenden eines einfachen Filters veranschaulicht.

Einfache Filterprotokollfamilien

Sie können einfache Filter so konfigurieren, dass nur IPv4-Datenverkehr (family inet) gefiltert wird. Für einfache Filter wird keine andere Protokollfamilie unterstützt.

Einfache Filternamen

Unter der family inet Anweisung können Sie Anweisungen zum Erstellen und Benennen einfacher Filter einfügen simple-filter simple-filter-name . Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.

Einfache Filterbegriffe

Unter der simple-filter simple-filter-name Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einfügen term term-name .

  • Sie müssen mindestens einen Begriff in einem Firewallfilterkonfigurieren.

  • Sie müssen für jeden Begriff innerhalb eines Firewallfilters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.

  • Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewallfilterkonfiguration angeben, ist wichtig. Firewallfilterbegriffe werden in der Reihenfolge ausgewertet, in der sie konfiguriert wurden. Standardmäßig werden neue Begriffe immer am Ende des vorhandenen Filters hinzugefügt. Sie können den insert Befehl configuration mode verwenden, um die Bedingungen eines Firewallfilters neu anzuordnen.

Einfache Filter unterstützen die next term Aktion nicht .

Einfache Filterübereinstimmungsbedingungen

Einfache Filterbegriffe unterstützen nur eine Teilmenge der IPv4-Übereinstimmungsbedingungen, die für standardmäßige zustandslose Firewallfilter unterstützt werden.

Im Gegensatz zu standardmäßigen zustandslosen Firewallfiltern gelten für einfache Filter die folgenden Einschränkungen:

  • Bei Routern der MX- Serie mit Enhanced Queuing DPC und bei Switches der EX-Serie unterstützen einfache Filter die forwarding- class Übereinstimmungsbedingung nicht .

  • Einfache Filter unterstützen nur ein source-address Präfix destination-address für jeden Filterbegriff. Wenn Sie mehrere Präfixe konfigurieren, wird nur das letzte verwendet.

  • Einfache Filter unterstützen nicht mehrere Quell- und Zieladressen in einem einzigen Begriff. Wenn Sie mehrere Adressen konfigurieren, wird nur die letzte verwendet.

  • Einfache Filter unterstützen keine negierten Übereinstimmungsbedingungen, wie z. B. die Übereinstimmungsbedingung protocol-except oder das exception Schlüsselwort.

  • Einfache Filter unterstützen nur einen Wertebereich für source-port und destination-port entsprechen nur Bedingungen. Sie können source-port 400-500 z. B. oder destination-port 600-700.

  • Einfache Filter unterstützen keine nicht zusammenhängenden Maskenwerte.

Tabelle 1 Listet die einfachen Filterübereinstimmungsbedingungen auf.

Tabelle 1: Einfache Filterübereinstimmungsbedingungen

Übereinstimmungsbedingung

Beschreibung

destination-address destination-address

Stimmt mit der IP-Zieladresse überein.

destination-port number

TCP- oder UDP-Zielportfeld.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol match-Anweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie einen der folgenden Textaliase angeben (die Portnummern werden ebenfalls aufgelistet): afs ( 1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) oder xdmcp (177).

forwarding-class class

Entspricht der Weiterleitungsklasse des Pakets.

Geben Sie , best-effort, expedited-forwardingoder network-control.assured-forwarding

Weitere Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.

protocol number

IP-Protokoll-Feld. Anstelle des numerischen Werts können Sie einen der folgenden Textaliase angeben (die Feldwerte werden ebenfalls aufgelistet): ah ( 51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), (41 ipv6 ), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) oder vrrp (112).

source-address ip-source-address

Stimmt mit der IP-Quelladresse überein.

source-port number

Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die protocol match-Anweisung konfigurieren, um zu bestimmen, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Felds können Sie einen der für aufgelisteten destination-portTextaliase angeben.

Einfache Aktionen zum Beenden von Filtern

Einfache Filter unterstützen keine explizit konfigurierbaren Beendigungsaktionen wie accept, rejectund discard. Begriffe, die in einem einfachen Filter konfiguriert sind, akzeptieren immer Pakete.

Einfache Filter unterstützen die next Aktion nicht .

Einfacher Filter, nicht beendende Aktionen

Einfache Filter unterstützen nur die folgenden nicht beendenden Aktionen:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    HINWEIS:

    Auf den Routern der MX-Serie und den Switches der EX-Serie mit der erweiterten Warteschlangen-DPC wird die Weiterleitungsklasse nicht als from Übereinstimmungsbedingung unterstützt.

  • loss-priority (high | low | medium-high | medium-low)

Einfache Filter unterstützen keine Aktionen, die andere Funktionen für ein Paket ausführen (z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion).

Verwandte Themen