Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Wie Standard-Firewall-Filter Pakete auswerten

In diesem Thema werden die folgenden Informationen behandelt:

Übersicht über die Paketauswertung mit Firewall-Filtern

Die folgende Sequenz beschreibt, wie das Gerät ein Paket auswertet, das in eine Schnittstelle ein- oder ausgeht, wenn der Eingabe- oder Ausgabedatenverkehr an einer Geräteschnittstelle einem Firewallfilter zugeordnet ist. Die Paketauswertung läuft wie folgt ab:

  1. Das Gerät wertet das Paket sequenziell anhand der Begriffe im Firewallfilter aus, beginnend mit dem ersten Begriff im Filter.

    • Wenn das Paket alle in einem Begriff angegebenen Bedingungen erfüllt, führt das Gerät alle in diesem Begriff angegebenen Aktionen aus.

    • Wenn das Paket nicht alle in einem Begriff angegebenen Bedingungen erfüllt, fährt das Gerät mit dem nächsten Begriff im Filter fort (falls ein nachfolgender Begriff vorhanden ist) und wertet das Paket anhand dieses Begriffs aus.

    • Wenn das Paket mit keinem Begriff im Firewallfilter übereinstimmt, verwirft das Gerät das Paket implizit.

  2. Im Gegensatz zu Dienstfiltern und einfachen Filtern unterstützen Firewallfilter die Aktion, bei der es sich weder um eine beendende noch um eine nicht beendende Aktion, sondern um eine Flusssteuerungsaktion handelt.next term

    HINWEIS:

    Kann auf Junos und Junos OS Evolved nicht als letzter Termin der Aktion angezeigt werden.next term Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term

    • Wenn der übereinstimmende Begriff die Aktion enthält, setzt das Gerät die Auswertung des Pakets beim nächsten Begriff innerhalb des Firewallfilters fort.next term

    • Wenn der übereinstimmende Begriff die Aktion nicht enthält, endet die Auswertung des Pakets anhand des angegebenen Firewallfilters bei diesem Begriff.next term Das Gerät wertet das Paket nicht anhand nachfolgender Begriffe in diesem Filter aus.

    Pro Firewall-Filterkonfiguration werden maximal 1024 Aktionen unterstützt.next term Wenn Sie einen Firewallfilter konfigurieren, der diesen Grenzwert überschreitet, führt Ihre Kandidatenkonfiguration zu einem Commit-Fehler.

  3. Das Gerät beendet die Auswertung eines Pakets anhand eines bestimmten Firewallfilters, wenn entweder das Paket mit einem Begriff ohne die Aktion übereinstimmt oder das Paket nicht mit dem letzten Begriff im Firewallfilter übereinstimmt.next term

  4. Wenn ein lokales Paket an einer Routerschnittstelle eintrifft, die einem Eingangsfirewallfilter zugeordnet ist, wertet der Filter das Paket zweimal aus. Die erste Auswertung erfolgt in der Packet Forwarding Engine, dem zentralen Verarbeitungselement der Weiterleitungsebene des Routers, und die zweite Auswertung erfolgt in der Routing-Engine, auf der die Steuerungsebenensoftware des Routers ausgeführt wird.

    HINWEIS:

    Lokale Pakete – Datenblöcke, die für den Router selbst bestimmt sind oder von diesem gesendet werden – enthalten in der Regel Routing-Protokolldaten, Daten für IP-Dienste wie Telnet oder SSH und Daten für administrative Protokolle wie das Internet Control Message Protocol (ICMP).

    Wenn bei der ersten Auswertung des Firewallfilters die eingehenden lokalen Paket- oder Paketkontextwerte geändert werden, basiert die zweite Auswertung des Firewallfilters auf den aktualisierten Paket- oder Paketkontextwerten.

    Angenommen, der Filter enthält eine Übereinstimmungsbedingung, die auf der Weiterleitungsklasse oder dem Wert für die Verlustpriorität basiert, die dem Paket zugeordnet ist, und dass der Filter eine Aktion enthält, die die dem Paket zugeordnete Weiterleitungsklasse oder den Wert für die Verlustpriorität ändert. Wenn ein eingehendes lokales Paket an einer zugeordneten Schnittstelle eintrifft und die Filterauswertung in der Paketweiterleitungs-Engine das Paket ändert (anstatt zu verwerfen), basiert die Filterauswertung in der Routing-Engine auf dem geänderten Paketkontext (und nicht auf dem ursprünglichen Paketkontext).

Paketauswertung mit einem einzigen Firewall-Filter

Tabelle 1 Beschreibt das Verhalten der Paketfilterung an einer Geräteschnittstelle, die einem einzelnen Firewallfilter zugeordnet ist.

HINWEIS:

Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden .next term Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term

Tabelle 1: Paketauswertung mit einem einzigen Firewall-Filter

Firewall-Filter-Ereignis

Was

Nachfolgende Maßnahme

Der Firewallfilterbegriff gibt keine Übereinstimmungsbedingungen an.

Der Begriff stimmt standardmäßig mit allen Paketen überein, sodass das Gerät die durch diesen Begriff angegebenen Aktionen ausführt.

Wenn der Begriff actions den Action enthält, setzt das Gerät die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Firewallfilters fort (falls ein nachfolgender Begriff vorhanden ist).next term

Das Paket erfüllt alle Bedingungen, die durch den Firewallfilterbegriff angegeben sind.

Das Gerät führt die durch diesen Begriff angegebenen Aktionen aus.

Wenn der Begriff actions den Action enthält, setzt das Gerät die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Firewallfilters fort (falls ein nachfolgender Begriff vorhanden ist).next term

Das Paket erfüllt alle Bedingungen, die durch den Firewallfilterbegriff angegeben werden, aber der Begriff gibt keine Aktionen an.

Das Gerät akzeptiert das Paket implizit.

Wenn der Begriff actions den Action enthält, setzt das Gerät die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Firewallfilters fort (falls ein nachfolgender Begriff vorhanden ist).next term

Das Paket erfüllt nicht alle Bedingungen, die durch den Firewallfilterbegriff angegeben sind.

Das Gerät führt die durch diesen Begriff angegebenen Aktionen nicht aus.

Das Gerät setzt die Auswertung des Pakets anhand des nächsten Begriffs innerhalb des Filters fort (falls ein nachfolgender Begriff vorhanden ist).

Das Paket stimmt mit keinem Begriff im Filter überein.

Das Gerät verwirft das Paket implizit

Jede Firewallfilterkonfiguration enthält eine implizite Aktion am Ende des Filters.discard Diese implizite Beendigungsaktion entspricht dem Einfügen des folgenden Beispielbegriffs als letzten Begriff in den Firewallfilter:t_explicit_discard

term t_explicit_discard {
    then discard;
}

Bewährte Methode: Akzeptieren Sie explizit jeglichen Datenverkehr, der nicht ausdrücklich verworfen wird.

Möglicherweise möchten Sie, dass ein Firewallfilter jeglichen Datenverkehr akzeptiert, den der Filter nicht ausdrücklich verwirft. In diesem Fall wird empfohlen, den Firewallfilter mit einem letzten Begriff zu konfigurieren, der die Beendigungsaktion angibt.accept

Im folgenden Beispielausschnitt wird durch Konfigurieren des Begriffs als letzter Begriff im Firewallfilter der Firewallfilter explizit so konfiguriert, dass er jeglichen Datenverkehr akzeptiert, den der Filter nicht ausdrücklich verworfen hat:t_allow_all_else

Das Befolgen dieser bewährten Methode kann die Fehlerbehebung des Firewallfilters vereinfachen.

Bewährte Methode: Lehnen Sie jeglichen Datenverkehr, der nicht ausdrücklich akzeptiert wird, ausdrücklich ab

Andererseits möchten Sie möglicherweise, dass ein Firewallfilter jeglichen Datenverkehr ablehnt, den der Firewallfilter nicht ausdrücklich akzeptiert. In diesem Fall wird empfohlen, den Firewallfilter mit einem letzten Begriff zu konfigurieren, der die Beendigungsaktion angibt.reject

Im folgenden Beispielausschnitt wird durch die Konfiguration des Begriffs als letzter Begriff im Firewallfilter der Firewallfilter explizit so konfiguriert, dass er jeglichen Datenverkehr ablehnt, den der Filter nicht ausdrücklich akzeptiert hat:t_deny_all_else

Das Befolgen dieser bewährten Methode kann die Fehlerbehebung des Firewallfilters vereinfachen.

Mehrere Firewall-Filter an einer einzigen Schnittstelle

Bei unterstützten Geräteschnittstellen können Sie mehrere Firewallfilter an eine einzelne Schnittstelle anfügen. Weitere Informationen finden Sie unter .Grundlegendes zu mehreren Firewall-Filtern, die als Liste angewendet werden

HINWEIS:

Auf unterstützten Schnittstellen können Sie einen protokollunabhängigen () Firewallfilter und einen protokollspezifischen ( oder ) Firewallfilter an dieselbe Schnittstelle anfügen.family anyfamily inetfamily inet6 Der protokollunabhängige Firewall-Filter wird zuerst ausgeführt. Weitere Informationen finden Sie unter .Richtlinien für die Anwendung von Standard-Firewall-Filtern

Ein einziger Firewall-Filter an mehreren Schnittstellen

Bei unterstützten Schnittstellen können Sie einen einzelnen Firewall-Filter mehreren Schnittstellen zuordnen, und Junos OS erstellt für jede zugeordnete Schnittstelle eine schnittstellenspezifische Instanz dieses Firewall-Filters .

  • Junos OS ordnet jeder schnittstellenspezifischen Instanziierung eines Firewallfilters einen vom System generierten, schnittstellenspezifischen Namen zu.

  • Für alle Aktionen in den Filterbegriffen verwaltet die Paketweiterleitungs-Engine separate, schnittstellenspezifische Zähler, und Junos OS ordnet jedem Zähler einen vom System generierten, schnittstellenspezifischen Namen zu.count

  • Für alle Aktionen in den Filterbegriffen erstellt Junos OS separate, schnittstellenspezifische Instanzen der Polizeiaktionen.policer

Weitere Informationen finden Sie unter .Übersicht über schnittstellenspezifische Firewall-Filterinstanzen