Richtlinien für die Anwendung von Standard-Firewall-Filtern
Anwenden von Firewallfiltern – Übersicht
Sie können einen Standard-Firewallfilter auf eine Loopback-Schnittstelle auf dem Router oder auf eine physische oder logische Schnittstelle auf dem Router anwenden. Sie können einen Firewall-Filter auf eine einzelne Schnittstelle oder auf mehrere Schnittstellen des Routers anwenden.Tabelle 1 Fasst das Verhalten von Firewallfiltern basierend auf dem Punkt zusammen, an dem Sie den Filter anfügen.
Filter-Zuordnungspunkt |
Filterverhalten |
---|---|
Loopback-Schnittstelle |
Die Loopback-Schnittstelle des Routers, , ist die Schnittstelle zur Routing-Engine und überträgt keine Datenpakete. HINWEIS:
|
Physische Schnittstelle oder logische Schnittstelle |
Wenn Sie einen Filter auf eine physische Schnittstelle auf dem Router oder auf eine logische Schnittstelle (oder ein Mitglied eines aggregierten Ethernet-Pakets, das auf der Schnittstelle definiert ist) anwenden, wertet der Filter alle Datenpakete aus, die diese Schnittstelle passieren. |
Mehrere Schnittstellen |
Sie können denselben Firewall-Filter ein- oder mehrmals verwenden. Wenn Sie auf Routern der M-Serie, mit Ausnahme der Router M120 und M320, einen Firewallfilter auf mehrere Schnittstellen anwenden, wirkt sich der Filter auf die Summe des Datenverkehrs aus, der diese Schnittstellen ein- oder ausgeht. Bei Routern der T-Serie, M120-, M320- und MX-Serie sind die Schnittstellen auf mehrere Paketweiterleitungskomponenten verteilt. Auf diesen Routern können Sie Firewall- und Dienstfilter konfigurieren, die, wenn sie auf mehrere Schnittstellen angewendet werden, auf die einzelnen Datenverkehrsströme reagieren, die in jede Schnittstelle ein- oder ausgehen, unabhängig von der Summe des Datenverkehrs auf den verschiedenen Schnittstellen. Weitere Informationen finden Sie unter Übersicht über schnittstellenspezifische Firewall-Filterinstanzen.Übersicht über schnittstellenspezifische Firewall-Filterinstanzen |
Eine einzige Schnittstelle mit protokollunabhängigen und protokollspezifischen Firewall-Filtern |
Nur für Schnittstellen, die auf der folgenden Hardware gehostet werden, können Sie gleichzeitig einen protokollunabhängigen () und einen protokollspezifischen ( oder ) Firewall-Filter anfügen.
HINWEIS:
Schnittstellen, die auf der folgenden Hardware gehostet werden, unterstützen keine protokollunabhängigen Firewallfilter:
|
Anweisungshierarchie zum Anwenden von Firewallfiltern
Um einen standardmäßigen Firewallfilter auf eine logische Schnittstelle anzuwenden, konfigurieren Sie die Anweisung für die logische Schnittstelle, die entweder auf der Hierarchieebene oder definiert ist.filter
[edit]
[edit logical-systems logical-system-name]
Unter der Anweisung können Sie eine oder mehrere der folgenden Anweisungen einfügen:filter
, , , oder .group group-number
input filter-name
input-list filter-name
output filter-name
output-list filter-name
Auf welcher Hierarchieebene Sie die Anweisung anfügen, hängt vom Filtertyp und Gerätetyp ab, den Sie konfigurieren.filter
- Protokollunabhängige Firewall-Filter auf Routern der MX-Serie
- Alle anderen Firewall-Filter auf logischen Schnittstellen
Protokollunabhängige Firewall-Filter auf Routern der MX-Serie
Um einen protokollunabhängigen Firewall-Filter auf eine logische Schnittstelle auf einem Router der MX-Serie anzuwenden, konfigurieren Sie die Anweisung direkt unter der logischen Einheit:filter
interfaces { interface-name { unit logical-unit-number { filter { group group-number; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } } } }
Alle anderen Firewall-Filter auf logischen Schnittstellen
Um einen Standard-Firewall-Filter auf eine logische Schnittstelle für alle Fälle mit Ausnahme eines protokollunabhängigen Filters auf einem Router der MX-Serie anzuwenden, konfigurieren Sie die Anweisung unter der Protokollfamilie:filter
interfaces { interface-name { unit logical-unit-number { family family-name { ... filter { group group-number; input filter-name; input-list [ filter-names ]; output filter-name; output-list [ filter-names ]; } } } } }
Einschränkungen beim Anwenden von Firewall-Filtern
- Anzahl der Ein- und Ausgabefilter pro logischer Schnittstelle
- MPLS- und Layer 2 CCC-Firewall-Filter in Listen
- Layer-2-CCC-Firewall-Filter auf Routern und Switches der MX-Serie
- IPv6-Firewall-Filter auf Paketübertragungs-Routern der PTX-Serie
Anzahl der Ein- und Ausgabefilter pro logischer Schnittstelle
Input filters—Obwohl Sie denselben Filter mehrmals verwenden können, können Sie nur einen Eingabefilter oder eine Eingabefilterliste auf eine Schnittstelle anwenden.
Wenn Sie einen einzelnen Firewallfilter angeben möchten, der zur Auswertung der auf der Schnittstelle empfangenen Pakete verwendet werden soll, fügen Sie die Anweisung in die Zeilengruppe ein.
input filter-name
filter
Um eine geordnete Liste von Firewall-Filtern anzugeben, die zur Auswertung der auf der Schnittstelle empfangenen Pakete verwendet werden sollen, fügen Sie die Anweisung in die Zeilengruppe ein.
input-list [ filter-names ]
filter
Sie können bis zu 16 Firewall-Filter für die Filtereingabeliste angeben.
Output filters—Obwohl Sie denselben Filter mehrmals verwenden können, können Sie nur einen Ausgabefilter oder eine Ausgabefilterliste auf eine Schnittstelle anwenden.
Wenn Sie einen einzelnen Firewallfilter angeben möchten, der zur Auswertung der über die Schnittstelle übertragenen Pakete verwendet werden soll, fügen Sie die Anweisung in die Zeilengruppe ein.
output filter-name
filter
Um eine geordnete Liste von Firewall-Filtern anzugeben, die zur Auswertung der über die Schnittstelle übertragenen Pakete verwendet werden sollen, fügen Sie die Anweisung in die Zeilengruppe ein.
output-list [ filter-names ]
filter
Sie können bis zu 16 Firewall-Filter in einer Filterausgabeliste angeben.
MPLS- und Layer 2 CCC-Firewall-Filter in Listen
Die and-Anweisungen für Firewallfilter für die Protokollfamilien und werden auf allen Schnittstellen unterstützt, mit Ausnahme der folgenden:input-list filter-names
output-list filter-names
ccc
mpls
Managementschnittstellen und interne Ethernet-Schnittstellen ( oder )
fxp
em0
Loopback-Schnittstellen ()
lo0
USB-Modemschnittstellen ()
umd
Layer-2-CCC-Firewall-Filter auf Routern und Switches der MX-Serie
Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie keinen zustandslosen Layer-2-CCC-Firewall-Filter (einen auf Hierarchieebene konfigurierten Firewall-Filter) als Ausgabefilter anwenden.[edit firewall filter family ccc]
Auf Routern der MX-Serie und Switches der EX-Serie können für die Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.family ccc
IPv6-Firewall-Filter auf Paketübertragungs-Routern der PTX-Serie
Auf PTX10001-20C-Routern können Sie IPv6-Firewallfilter nicht anwenden auf:
Tunnelschnittstellen
IRB-Schnittstellen
Ausgangsschnittstellen
Schnittstellenspezifische Filter, die auf Hierarchieebene konfiguriert werden.
[edit firewall family inet6 filter filter-name]
Verkehrspolizisten
Junos Telemetry Interface