Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Richtlinien für die Anwendung von Standard-Firewall-Filtern

Anwenden von Firewallfiltern – Übersicht

Sie können einen Standard-Firewallfilter auf eine Loopback-Schnittstelle auf dem Router oder auf eine physische oder logische Schnittstelle auf dem Router anwenden. Sie können einen Firewall-Filter auf eine einzelne Schnittstelle oder auf mehrere Schnittstellen des Routers anwenden.Tabelle 1 Fasst das Verhalten von Firewallfiltern basierend auf dem Punkt zusammen, an dem Sie den Filter anfügen.

Tabelle 1: Verhalten des Firewall-Filters nach Filter-Zuordnungspunkt

Filter-Zuordnungspunkt

Filterverhalten

Loopback-Schnittstelle

Die Loopback-Schnittstelle des Routers, lo0, ist die Schnittstelle zur Routing-Engine und überträgt keine Datenpakete. Wenn Sie einen Firewallfilter auf die Loopback-Schnittstelle anwenden, wertet der Filter die lokalen Pakete aus, die von der Routing-Engine empfangen oder übertragen wurden.

HINWEIS:

  • ACX5048- und ACX5096-Router unterstützen nicht die Auswertung von Paketen, die von der Routing-Engine für den Loopback-Schnittstellenfilter übertragen werden.

Physische Schnittstelle oder logische Schnittstelle

Wenn Sie einen Filter auf eine physische Schnittstelle auf dem Router oder auf eine logische Schnittstelle (oder ein Mitglied eines aggregierten Ethernet-Pakets, das auf der Schnittstelle definiert ist) anwenden, wertet der Filter alle Datenpakete aus, die diese Schnittstelle passieren.

Mehrere Schnittstellen

Sie können denselben Firewall-Filter ein- oder mehrmals verwenden.

Wenn Sie auf Routern der M-Serie, mit Ausnahme der Router M120 und M320, einen Firewallfilter auf mehrere Schnittstellen anwenden, wirkt sich der Filter auf die Summe des Datenverkehrs aus, der diese Schnittstellen ein- oder ausgeht.

Bei Routern der T-Serie, M120-, M320- und MX-Serie sind die Schnittstellen auf mehrere Paketweiterleitungskomponenten verteilt. Auf diesen Routern können Sie Firewall- und Dienstfilter konfigurieren, die, wenn sie auf mehrere Schnittstellen angewendet werden, auf die einzelnen Datenverkehrsströme reagieren, die in jede Schnittstelle ein- oder ausgehen, unabhängig von der Summe des Datenverkehrs auf den verschiedenen Schnittstellen.

Weitere Informationen finden Sie unter Übersicht über schnittstellenspezifische Firewall-Filterinstanzen.

Eine einzige Schnittstelle mit protokollunabhängigen und protokollspezifischen Firewall-Filtern

Nur für Schnittstellen, die auf der folgenden Hardware gehostet werden, können Sie gleichzeitig einen protokollunabhängigen (family any) und einen protokollspezifischen (family inet oder family inet6) Firewall-Filter anfügen. Die protokollunabhängige Firewall wird zuerst ausgeführt.

  • Universelle Metro-Router der ACX-Serie

  • Flexible PIC-Konzentratoren (FPCs) in M7i- und M10i-Multiservice-Edge-Routern

  • Modulare Schnittstellenkarten (MICs) und modulare Portkonzentratoren (MPCs) in universellen 5G-Routing-Plattformen der MX-Serie

  • Core-Router der T-Serie

HINWEIS:

Schnittstellen, die auf der folgenden Hardware gehostet werden, unterstützen keine protokollunabhängigen Firewallfilter:

  • Weiterleitung von Engine-Boards (FEBs) in M120-Routern

  • Verbesserte III-FPCs in M320-Routern

  • FPC2- und FPC3-Module in Routern der MX-Serie

  • Dense Port Concentrators (DPCs) in Routern der MX-Serie

  • Paketübertragungs-Router der PTX-Serie

Anweisungshierarchie zum Anwenden von Firewallfiltern

Um einen standardmäßigen Firewallfilter auf eine logische Schnittstelle anzuwenden, konfigurieren Sie die filter Anweisung für die logische Schnittstelle, die entweder auf der [edit] Hierarchieebene oder [edit logical-systems logical-system-name] definiert ist. Unter der filter Anweisung können Sie eine oder mehrere der folgenden Anweisungen einfügen: group group-number, input filter-name, input-list filter-name, output filter-nameoder output-list filter-name. Auf welcher Hierarchieebene Sie die filter Anweisung anfügen, hängt vom Filtertyp und Gerätetyp ab, den Sie konfigurieren.

Protokollunabhängige Firewall-Filter auf Routern der MX-Serie

Um einen protokollunabhängigen Firewall-Filter auf eine logische Schnittstelle auf einem Router der MX-Serie anzuwenden, konfigurieren Sie die filter Anweisung direkt unter der logischen Einheit:

Alle anderen Firewall-Filter auf logischen Schnittstellen

Um einen Standard-Firewall-Filter auf eine logische Schnittstelle für alle Fälle mit Ausnahme eines protokollunabhängigen Filters auf einem Router der MX-Serie anzuwenden, konfigurieren Sie die filter Anweisung unter der Protokollfamilie:

Einschränkungen beim Anwenden von Firewall-Filtern

Anzahl der Ein- und Ausgabefilter pro logischer Schnittstelle

Input filters—Obwohl Sie denselben Filter mehrmals verwenden können, können Sie nur einen Eingabefilter oder eine Eingabefilterliste auf eine Schnittstelle anwenden.

  • Wenn Sie einen einzelnen Firewallfilter angeben möchten, der zur Auswertung der auf der Schnittstelle empfangenen Pakete verwendet werden soll, fügen Sie die input filter-name Anweisung in die filter Zeilengruppe ein.

  • Um eine geordnete Liste von Firewall-Filtern anzugeben, die zur Auswertung der auf der Schnittstelle empfangenen Pakete verwendet werden sollen, fügen Sie die input-list [ filter-names ] Anweisung in die filter Zeilengruppe ein. Sie können bis zu 16 Firewall-Filter für die Filtereingabeliste angeben.

Output filters—Obwohl Sie denselben Filter mehrmals verwenden können, können Sie nur einen Ausgabefilter oder eine Ausgabefilterliste auf eine Schnittstelle anwenden.

  • Wenn Sie einen einzelnen Firewallfilter angeben möchten, der zur Auswertung der über die Schnittstelle übertragenen Pakete verwendet werden soll, fügen Sie die output filter-name Anweisung in die filter Zeilengruppe ein.

  • Um eine geordnete Liste von Firewall-Filtern anzugeben, die zur Auswertung der über die Schnittstelle übertragenen Pakete verwendet werden sollen, fügen Sie die output-list [ filter-names ] Anweisung in die filter Zeilengruppe ein. Sie können bis zu 16 Firewall-Filter in einer Filterausgabeliste angeben.

MPLS- und Layer 2 CCC-Firewall-Filter in Listen

Die input-list filter-names and-Anweisungen output-list filter-names für Firewallfilter für die ccc Protokollfamilien und mpls werden auf allen Schnittstellen unterstützt, mit Ausnahme der folgenden:

  • Managementschnittstellen und interne Ethernet-Schnittstellen (fxp oder em0)

  • Loopback-Schnittstellen (lo0)

  • USB-Modemschnittstellen (umd)

Layer-2-CCC-Firewall-Filter auf Routern und Switches der MX-Serie

Nur auf Routern der MX- Serie und Switches der EX-Serie können Sie keinen zustandslosen Layer- 2-CCC-Firewall-Filter (einen auf Hierarchieebene [edit firewall filter family ccc] konfigurierten Firewall-Filter) als Ausgabefilter anwenden. Auf Routern der MX -Serie und Switches der EX-Serie können für die family ccc Anweisung konfigurierte Firewall-Filter nur als Eingabefilter angewendet werden.

IPv6-Firewall-Filter auf Paketübertragungs-Routern der PTX-Serie

Auf PTX10001-20C-Routern können Sie IPv6-Firewallfilter nicht anwenden auf:

  • Tunnelschnittstellen

  • IRB-Schnittstellen

  • Ausgangsschnittstellen

  • Schnittstellenspezifische Filter, die auf Hierarchieebene [edit firewall family inet6 filter filter-name] konfiguriert werden.

  • Verkehrspolizisten

  • Junos Telemetry Interface

Verwandte Themen