Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Wie Standard-Firewall-Filter Pakete auswerten

In diesem Thema werden die folgenden Informationen behandelt:

Übersicht über die Paketauswertung mit Firewall-Filtern

Die folgende Sequenz beschreibt, wie das Gerät ein Paket auswertet, das in eine Schnittstelle ein- oder ausgeht, wenn der Eingabe- oder Ausgabedatenverkehr an einer Geräteschnittstelle einem Firewallfilterzugeordnet ist. Die Paketauswertung läuft wie folgt ab:

  1. Das Gerät wertet das Paket sequenziell anhand der Begriffe im Firewallfilter aus, beginnend mit dem ersten Begriff im Filter.

    • Wenn das Paket alle in einem Begriff angegebenen Bedingungen erfüllt, führt das Gerät alle in diesem Begriff angegebenen Aktionen aus.

    • Wenn das Paket nicht alle in einem Begriff angegebenen Bedingungen erfüllt, fährt das Gerät mit dem nächsten Begriff im Filter fort (falls ein nachfolgender Begriff vorhanden ist) und wertet das Paket anhand dieses Begriffs aus.

    • Wenn das Paket mit keinem Begriff im Firewallfilter übereinstimmt, verwirft das Gerät das Paket implizit.

  2. Im Gegensatz zu Dienstfiltern und einfachen Filtern unterstützen Firewallfilter die Aktion, bei der next term es sich weder um eine beendende noch um eine nicht beendende Aktion, sondern um eine Flusssteuerungsaktion handelt.

    HINWEIS:

    Kann auf Junos und Junos OS Evolved next term nicht als letzter Termin der Aktion angezeigt werden. Ein Filterbegriff, bei dem next term als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.

    • Wenn der übereinstimmende Begriff die next term Aktion enthält, setzt das Gerät die Auswertung des Pakets beim nächsten Begriff innerhalb des Firewallfilters fort.

    • Wenn der übereinstimmende Begriff die next term Aktion nicht enthält, endet die Auswertung des Pakets anhand des angegebenen Firewallfilters bei diesem Begriff. Das Gerät wertet das Paket nicht anhand nachfolgender Begriffe in diesem Filter aus.

    Pro Firewall-Filterkonfiguration werden maximal 1024 next term Aktionen unterstützt. Wenn Sie einen Firewallfilter konfigurieren, der diesen Grenzwert überschreitet, führt Ihre Kandidatenkonfiguration zu einem Commit-Fehler.

  3. Das Gerät beendet die Auswertung eines Pakets anhand eines bestimmten Firewallfilters, wenn entweder das Paket mit einem Begriff ohne die next term Aktion übereinstimmt oder das Paket nicht mit dem letzten Begriff im Firewallfilter übereinstimmt.

  4. Wenn ein lokales Paket an einer Routerschnittstelle eintrifft, die einem Eingangsfirewallfilter zugeordnet ist, wertet der Filter das Paket zweimal aus. Die erste Auswertung erfolgt in der Packet Forwarding Engine, dem zentralen Verarbeitungselement der Weiterleitungsebene des Routers, und die zweite Auswertung erfolgt in der Routing-Engine, auf der die Steuerungsebenensoftware des Routers ausgeführt wird.

    HINWEIS:

    Lokale Pakete – Datenblöcke, die für den Router selbst bestimmt sind oder von diesem gesendet werden – enthalten in der Regel Routing-Protokolldaten, Daten für IP-Dienste wie Telnet oder SSH und Daten für administrative Protokolle wie das Internet Control Message Protocol (ICMP).

    Wenn bei der ersten Auswertung des Firewallfilters die eingehenden lokalen Paket- oder Paketkontextwerte geändert werden, basiert die zweite Auswertung des Firewallfilters auf den aktualisierten Paket- oder Paketkontextwerten.

    Angenommen, der Filter enthält eine Übereinstimmungsbedingung, die auf der Weiterleitungsklasse oder dem Wert für die Verlustpriorität basiert, die dem Paket zugeordnet ist, und dass der Filter eine Aktion enthält, die die dem Paket zugeordnete Weiterleitungsklasse oder den Wert für die Verlustpriorität ändert. Wenn ein eingehendes lokales Paket an einer zugeordneten Schnittstelle eintrifft und die Filterauswertung in der Paketweiterleitungs-Engine das Paket ändert (anstatt zu verwerfen), basiert die Filterauswertung in der Routing-Engine auf dem geänderten Paketkontext (und nicht auf dem ursprünglichen Paketkontext).

Paketauswertung mit einem einzigen Firewall-Filter

Tabelle 1 Beschreibt das Verhalten der Paketfilterung an einer Geräteschnittstelle, die einem einzelnen Firewallfilter zugeordnet ist.

HINWEIS:

Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden next term . Ein Filterbegriff, bei dem next term als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.
Tabelle 1: Paketauswertung mit einem einzigen Firewall-Filter

Firewall-Filter-Ereignis

Action!

Nachfolgende Maßnahme

Der Firewallfilterbegriff gibt keine Übereinstimmungsbedingungen an.

Der Begriff stimmt standardmäßig mit allen Paketen überein, sodass das Gerät die durch diesen Begriff angegebenen Aktionen ausführt.

Wenn der Begriff actions den next term Action enthält, setzt das Gerät die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Firewallfilters fort (falls ein nachfolgender Begriff vorhanden ist).

Das Paket erfüllt alle Bedingungen, die durch den Firewallfilterbegriff angegeben sind.

Das Gerät führt die durch diesen Begriff angegebenen Aktionen aus.

Wenn der Begriff actions den next term Action enthält, setzt das Gerät die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Firewallfilters fort (falls ein nachfolgender Begriff vorhanden ist).

Das Paket erfüllt alle Bedingungen, die durch den Firewallfilterbegriff angegeben werden, aber der Begriff gibt keine Aktionen an.

Das Gerät akzeptiert das Paket implizit.

Wenn der Begriff actions den next term Action enthält, setzt das Gerät die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Firewallfilters fort (falls ein nachfolgender Begriff vorhanden ist).

Das Paket erfüllt nicht alle Bedingungen, die durch den Firewallfilterbegriff angegeben sind.

Das Gerät führt die durch diesen Begriff angegebenen Aktionen nicht aus.

Das Gerät setzt die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Filters fort (falls ein nachfolgender Begriff vorhanden ist).

Das Paket stimmt mit keinem Begriff im Filter überein.

Das Gerät verwirft das Paket implizit

Jede Firewallfilterkonfiguration enthält eine implizite discard Aktion am Ende des Filters. Diese implizite Beendigungsaktion entspricht dem Einfügen des folgenden Beispielbegriffs t_explicit_discard als letzten Begriff in den Firewallfilter:

term t_explicit_discard {
    then discard;
}

Beste Praxis: Akzeptieren Sie explizit jeglichen Datenverkehr, der nicht ausdrücklich verworfen wird.

Möglicherweise möchten Sie, dass ein Firewallfilter jeglichen Datenverkehr akzeptiert, den der Filter nicht ausdrücklich verwirft. In diesem Fall wird empfohlen, den Firewallfilter mit einem letzten Begriff zu konfigurieren, der die accept Beendigungsaktion angibt.

Im folgenden Beispielausschnitt wird durch Konfigurieren des t_allow_all_else Begriffs als letzter Begriff im Firewallfilter der Firewallfilter explizit so konfiguriert, dass er jeglichen Datenverkehr akzeptiert, den der Filter nicht ausdrücklich verworfen hat:

Das Befolgen dieser bewährten Methode kann die Fehlerbehebung des Firewallfilters vereinfachen.

Beste Praxis: Lehnen Sie jeglichen Datenverkehr, der nicht ausdrücklich akzeptiert wird, ausdrücklich ab

Andererseits möchten Sie möglicherweise, dass ein Firewallfilter jeglichen Datenverkehr ablehnt, den der Firewallfilter nicht ausdrücklich akzeptiert. In diesem Fall wird empfohlen, den Firewallfilter mit einem letzten Begriff zu konfigurieren, der die reject Beendigungsaktion angibt.

Im folgenden Beispielausschnitt wird durch die Konfiguration des t_deny_all_else Begriffs als letzter Begriff im Firewallfilter der Firewallfilter explizit so konfiguriert, dass er jeglichen Datenverkehr ablehnt, den der Filter nicht ausdrücklich akzeptiert hat:

Das Befolgen dieser bewährten Methode kann die Fehlerbehebung des Firewallfilters vereinfachen.

Mehrere Firewall-Filter an einer einzigen Schnittstelle

Bei unterstützten Geräteschnittstellen können Sie mehrere Firewallfilter an eine einzelne Schnittstelle anfügen. Weitere Informationen finden Sie unter Grundlegendes zu mehreren Firewall-Filtern, die als Liste angewendet werden.

HINWEIS:

Auf unterstützten Schnittstellen können Sie einen protokollunabhängigen (family any) Firewallfilter und einen protokollspezifischen (family inet oder family inet6) Firewallfilter an dieselbe Schnittstelle anfügen. Der protokollunabhängige Firewall-Filter wird zuerst ausgeführt. Weitere Informationen finden Sie unter Richtlinien für die Anwendung von Standard-Firewall-Filtern.

Ein einziger Firewall-Filter an mehreren Schnittstellen

Bei unterstützten Schnittstellen können Sie einen einzelnen Firewall-Filter mehreren Schnittstellen zuordnen, und Junos OS erstellt für jede zugeordnete Schnittstelle eine schnittstellenspezifische Instanz dieses Firewall-Filters .

  • Junos OS ordnet jeder schnittstellenspezifischen Instanziierung eines Firewallfilters einen vom System generierten, schnittstellenspezifischen Namen zu.

  • Für alle count Aktionen in den Filterbegriffen verwaltet die Paketweiterleitungs-Engine separate, schnittstellenspezifische Zähler, und Junos OS ordnet jedem Zähler einen vom System generierten, schnittstellenspezifischen Namen zu.

  • Für alle policer Aktionen in den Filterbegriffen erstellt Junos OS separate, schnittstellenspezifische Instanzen der Polizeiaktionen.

Weitere Informationen finden Sie unter Übersicht über schnittstellenspezifische Firewall-Filterinstanzen.

Verwandte Themen