Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Richtlinien für die Anwendung von Standard-Firewall-Filtern

Anwenden von Firewallfiltern – Übersicht

Sie können einen Standard-Firewallfilter auf eine Loopback-Schnittstelle auf dem Router oder auf eine physische oder logische Schnittstelle auf dem Router anwenden. Sie können einen Firewall-Filter auf eine einzelne Schnittstelle oder auf mehrere Schnittstellen des Routers anwenden.Tabelle 1 Fasst das Verhalten von Firewallfiltern basierend auf dem Punkt zusammen, an dem Sie den Filter anfügen.

Tabelle 1: Verhalten des Firewall-Filters nach Filter-Zuordnungspunkt

Filter-Zuordnungspunkt

Filterverhalten

Loopback-Schnittstelle

Die Loopback-Schnittstelle des Routers, , ist die Schnittstelle zur Routing-Engine und überträgt keine Datenpakete.lo0 Wenn Sie einen Firewallfilter auf die Loopback-Schnittstelle anwenden, wertet der Filter die lokalen Pakete aus, die von der Routing-Engine empfangen oder übertragen wurden.

HINWEIS:

  • ACX5048- und ACX5096-Router unterstützen nicht die Auswertung von Paketen, die von der Routing-Engine für den Loopback-Schnittstellenfilter übertragen werden.

Physische Schnittstelle oder logische Schnittstelle

Wenn Sie einen Filter auf eine physische Schnittstelle auf dem Router oder auf eine logische Schnittstelle (oder ein Mitglied eines aggregierten Ethernet-Pakets, das auf der Schnittstelle definiert ist) anwenden, wertet der Filter alle Datenpakete aus, die diese Schnittstelle passieren.

Mehrere Schnittstellen

Sie können denselben Firewall-Filter ein- oder mehrmals verwenden.

Wenn Sie auf Routern der M-Serie, mit Ausnahme der Router M120 und M320, einen Firewallfilter auf mehrere Schnittstellen anwenden, wirkt sich der Filter auf die Summe des Datenverkehrs aus, der diese Schnittstellen ein- oder ausgeht.

Bei Routern der T-Serie, M120-, M320- und MX-Serie sind die Schnittstellen auf mehrere Paketweiterleitungskomponenten verteilt. Auf diesen Routern können Sie Firewall- und Dienstfilter konfigurieren, die, wenn sie auf mehrere Schnittstellen angewendet werden, auf die einzelnen Datenverkehrsströme reagieren, die in jede Schnittstelle ein- oder ausgehen, unabhängig von der Summe des Datenverkehrs auf den verschiedenen Schnittstellen.

Weitere Informationen finden Sie unter Übersicht über schnittstellenspezifische Firewall-Filterinstanzen.Übersicht über schnittstellenspezifische Firewall-Filterinstanzen

Eine einzige Schnittstelle mit protokollunabhängigen und protokollspezifischen Firewall-Filtern

Nur für Schnittstellen, die auf der folgenden Hardware gehostet werden, können Sie gleichzeitig einen protokollunabhängigen () und einen protokollspezifischen ( oder ) Firewall-Filter anfügen.family anyfamily inetfamily inet6 Die protokollunabhängige Firewall wird zuerst ausgeführt.

  • Universal Metro-Router der ACX-Serie

  • Flexible PIC-Konzentratoren (FPCs) in M7i- und M10i-Multiservice-Edge-Routern

  • Modulare Schnittstellenkarten (MICs) und modulare Portkonzentratoren (MPCs) in universellen 5G-Routing-Plattformen der MX-Serie

  • Core-Router der T-Serie

HINWEIS:

Schnittstellen, die auf der folgenden Hardware gehostet werden, unterstützen keine protokollunabhängigen Firewallfilter:

  • Weiterleitung von Engine-Boards (FEBs) in M120-Routern

  • Verbesserte III-FPCs in M320-Routern

  • FPC2- und FPC3-Module in Routern der MX-Serie

  • Dense Port Concentrators (DPCs) in Routern der MX-Serie

  • Paketübertragungs-Router der PTX-Serie

Anweisungshierarchie zum Anwenden von Firewallfiltern

Um einen standardmäßigen Firewallfilter auf eine logische Schnittstelle anzuwenden, konfigurieren Sie die Anweisung für die logische Schnittstelle, die entweder auf der Hierarchieebene oder definiert ist.filter[edit][edit logical-systems logical-system-name] Unter der Anweisung können Sie eine oder mehrere der folgenden Anweisungen einfügen:filter , , , oder .group group-numberinput filter-nameinput-list filter-nameoutput filter-nameoutput-list filter-name Auf welcher Hierarchieebene Sie die Anweisung anfügen, hängt vom Filtertyp und Gerätetyp ab, den Sie konfigurieren.filter

Protokollunabhängige Firewall-Filter auf Routern der MX-Serie

Um einen protokollunabhängigen Firewall-Filter auf eine logische Schnittstelle auf einem Router der MX-Serie anzuwenden, konfigurieren Sie die Anweisung direkt unter der logischen Einheit:filter

Alle anderen Firewall-Filter auf logischen Schnittstellen

Um einen Standard-Firewall-Filter auf eine logische Schnittstelle für alle Fälle mit Ausnahme eines protokollunabhängigen Filters auf einem Router der MX-Serie anzuwenden, konfigurieren Sie die Anweisung unter der Protokollfamilie:filter

Einschränkungen beim Anwenden von Firewall-Filtern

Anzahl der Ein- und Ausgabefilter pro logischer Schnittstelle

Input filters—Obwohl Sie denselben Filter mehrmals verwenden können, können Sie nur einen Eingabefilter oder eine Eingabefilterliste auf eine Schnittstelle anwenden.

  • Wenn Sie einen einzelnen Firewallfilter angeben möchten, der zur Auswertung der auf der Schnittstelle empfangenen Pakete verwendet werden soll, fügen Sie die Anweisung in die Zeilengruppe ein.input filter-namefilter

  • Um eine geordnete Liste von Firewall-Filtern anzugeben, die zur Auswertung der auf der Schnittstelle empfangenen Pakete verwendet werden sollen, fügen Sie die Anweisung in die Zeilengruppe ein.input-list [ filter-names ]filter Sie können bis zu 16 Firewall-Filter für die Filtereingabeliste angeben.

Output filters—Obwohl Sie denselben Filter mehrmals verwenden können, können Sie nur einen Ausgabefilter oder eine Ausgabefilterliste auf eine Schnittstelle anwenden.

  • Wenn Sie einen einzelnen Firewallfilter angeben möchten, der zur Auswertung der über die Schnittstelle übertragenen Pakete verwendet werden soll, fügen Sie die Anweisung in die Zeilengruppe ein.output filter-namefilter

  • Um eine geordnete Liste von Firewall-Filtern anzugeben, die zur Auswertung der über die Schnittstelle übertragenen Pakete verwendet werden sollen, fügen Sie die Anweisung in die Zeilengruppe ein.output-list [ filter-names ]filter Sie können bis zu 16 Firewall-Filter in einer Filterausgabeliste angeben.

MPLS- und Layer 2 CCC-Firewall-Filter in Listen

Die and-Anweisungen für Firewallfilter für die Protokollfamilien und werden auf allen Schnittstellen unterstützt, mit Ausnahme der folgenden:input-list filter-namesoutput-list filter-namescccmpls

  • Managementschnittstellen und interne Ethernet-Schnittstellen ( oder )fxpem0

  • Loopback-Schnittstellen ()lo0

  • USB-Modemschnittstellen ()umd

Layer-2-CCC-Firewall-Filter auf Routern und Switches der MX-Serie

Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie keinen zustandslosen Layer-2-CCC-Firewall-Filter (einen auf Hierarchieebene konfigurierten Firewall-Filter) als Ausgabefilter anwenden.[edit firewall filter family ccc] Auf Routern der MX-Serie und Switches der EX-Serie können für die Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.family ccc

IPv6-Firewall-Filter auf Paketübertragungs-Routern der PTX-Serie

Auf PTX10001-20C-Routern können Sie IPv6-Firewallfilter nicht anwenden auf:

  • Tunnelschnittstellen

  • IRB-Schnittstellen

  • Ausgangsschnittstellen

  • Schnittstellenspezifische Filter, die auf Hierarchieebene konfiguriert werden.[edit firewall family inet6 filter filter-name]

  • Verkehrspolizisten

  • Junos Telemetry Interface

Verwandte Themen