Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien für die Anwendung von Standard-Firewallfiltern

Übersicht über die Anwendung von Firewall-Filtern

Sie können einen standardmäßigen Firewall-Filter auf eine Loopback-Schnittstelle auf dem Router oder auf eine physische oder logische Schnittstelle auf dem Router anwenden. Sie können einen Firewall-Filter auf eine einzelne Schnittstelle oder auf mehrere Schnittstellen auf dem Router anwenden. Tabelle 1 fasst das Verhalten von Firewall-Filtern basierend auf dem Punkt zusammen, an den Sie den Filter anfügen.

Tabelle 1: Verhalten der Firewall-Filter nach Filteranhängepunkt

Filteranhängepunkt

Filterverhalten

Loopback-Schnittstelle

Die Loopback-Schnittstelle des Routers ist die Schnittstelle zur Netzwerkschnittstelle Routing-Engine keine lo0 Datenpakete transportiert. Wenn Sie einen Firewall-Filter auf die Loopback-Schnittstelle anwenden, wertet der Filter die lokalen Pakete aus, die von dieser Anwendung empfangen oder übertragen Routing-Engine.

Anmerkung:
  • AcX5048- und ACX5096-Router unterstützen die Bewertung der von der Routing-Engine übertragenen Pakete für den Loopback-Schnittstellenfilter nicht.

Physische oder logische Schnittstelle

Wenn Sie einen Filter auf eine physische Schnittstelle auf dem Router oder auf eine logische Schnittstelle (oder ein Mitglied eines aggregierten Ethernet-Bündels, das an der Schnittstelle definiert ist) anwenden, bewertet der Filter alle Datenpakete, die diese Schnittstelle passieren.

Mehrere Schnittstellen

Sie können denselben Firewall-Filter mindestens ein Mal verwenden.

Bei M Series Routern – mit Ausnahme der M120- und M320-Router – wirkt der Filter bei der Anwendung eines Firewall-Filters auf mehrere Schnittstellen auf die Summe des Datenverkehrs, der diese Schnittstellen ein- oder austritt.

Auf T-Serie-, M120-, M320- und MX-Routern der MX-Serie sind die Schnittstellen auf mehrere Paketweiterleitungskomponenten verteilt. Auf diesen Routern können Sie Firewall-Filter und Servicefilter konfigurieren, die bei Anwendung auf mehrere Schnittstellen auf die einzelnen Datenverkehrsströme, die die einzelnen Schnittstellen ein- oder verlassen, unabhängig von der Summe des Datenverkehrs auf den mehreren Schnittstellen agieren.

Weitere Informationen finden Sie in der Übersicht über schnittstellenspezifische Firewallfilterinstanzen.

Eine Schnittstelle mit protokollunabhängigen und protokollspezifischen Firewall-Filtern, die angeschlossen sind

Für Schnittstellen, die nur auf der folgenden Hardware gehostet werden, können Sie einen protokollunabhängigen ( ) Firewall-Filter und einen protokollspezifischen ( oder family anyfamily inet ) family inet6 Firewall-Filter gleichzeitig anfügen. Die protokollunabhängige Firewall wird zuerst ausgeführt.

  • Universelle Metro-Router der ACX-Serie

  • Flexible PIC-Concentrators (FPCs) in M7i- M10i-Edge-Routern

  • Modulare Schnittstellenkarten (MICs) und Modular Port Concentrators (MPCs) in 5G-Ports der MX-Universelle Routing-Plattformen

  • Core-Router der T-Serie

Anmerkung:

Schnittstellen, die auf folgender Hardware gehostet werden, unterstützen protokollunabhängige Firewall-Filter nicht:

  • Forwarding Engine Boards (FEBs) in Routern M120 Routern

  • Verbesserte III FPCs in M320 Routern

  • FPC2- und FPC3-Module in Routern der MX-Serie

  • Dense Port Concentrators (DPCs) in Routern der MX-Serie

  • Paketübertragungs-Router der PTX-Serie

Anweisungshierarchie für die Anwendung von Firewall-Filtern

Um einen Standard-Firewallfilter auf eine logische Schnittstelle anzuwenden, konfigurieren Sie die Anweisung für die logische Schnittstelle, die entweder in filter der oder auf der [edit][edit logical-systems logical-system-name] Hierarchieebene definiert ist. In der filter Erklärung können Sie eine oder mehrere der folgenden Aussagen beinhalten: group group-numberoder input filter-nameinput-list filter-nameoutput filter-nameoutput-list filter-name . Die Hierarchieebene, in der die Anweisung angehängt wird, hängt von dem zu konfigurierenden Filtertyp und filter Gerätetyp ab.

Protokollunabhängige Firewall-Filter auf Routern der MX-Serie

Um einen protokollunabhängigen Firewall-Filter auf eine logische Schnittstelle auf einem Router der MX-Serie anzuwenden, konfigurieren Sie die Anweisung filterdirekt unter der logischen Einheit:

Alle anderen Firewall-Filter an logischen Schnittstellen

Um einen Standard-Firewallfilter auf eine logische Schnittstelle anzuwenden , für alle Fälle als protokollunabhängigen Filter auf einem Router der MX-Serie, konfigurieren Sie die Anweisung unter filter der Protokollfamilie:

Beschränkungen für die Anwendung von Firewall-Filtern

Anzahl der Ein- und Ausgabefilter pro logische Schnittstelle

Input filtersObwohl sie denselben Filter mehrfach verwenden können, können Sie nur einen Eingangsfilter oder eine Eingangsfilterliste auf eine Schnittstelle anwenden.

  • Um einen einzelnen Firewall-Filter zur Bewertung der an der Schnittstelle empfangenen Pakete anzugeben, geben Sie die input filter-name Anweisung im filter Stanza ein.

  • Um eine geordnete Liste von Firewall-Filtern anzugeben, die zur Bewertung der an der Schnittstelle empfangenen Pakete verwendet werden sollen, geben Sie die Aussage input-list [ filter-names ] im filter Paket-Stanza ein. Sie können bis zu 16 Firewall-Filter für die Filter-Eingangsliste angeben.

Output filters— Obwohl sie denselben Filter mehrfach verwenden können, können Sie nur einen Ausgabefilter oder eine Ausgabefilterliste auf eine Schnittstelle anwenden.

  • Um einen einzelnen Firewall-Filter zur Bewertung von an der Schnittstelle übertragenen Paketen anzugeben, geben Sie die output filter-name Anweisung im filter Paket ein.

  • Um eine geordnete Liste von Firewall-Filtern zur Bewertung der an der Schnittstelle übertragenen Pakete anzugeben, geben Sie die Aussage output-list [ filter-names ] im filter Paket an. Sie können bis zu 16 Firewall-Filter in einer Filter-Ausgabeliste angeben.

MPLS und Layer-2-CCC-Firewallfilter in Listen

Die input-list filter-namesoutput-list filter-names Anweisungen für Firewallfilter für die Protokollfamilien werden auf allen Schnittstellen mit Ausnahme cccmpls der folgenden unterstützt:

  • Managementschnittstellen und interne Ethernet-Schnittstellen ( fxp oder em0 )

  • Loopback-Schnittstellen ( lo0 )

  • USB-Modemschnittstellen ( umd )

Layer 2 CCC Firewall-Filter auf Routern der MX-Serie und Switches der EX-Serie

Nur auf Routern der MX-Serie und Switches der EX-Serie können Sie keinen Stateless Firewall-Filter auf Layer 2 (einen in der Hierarchieebene konfigurierten Firewall-Filter) als Ausgabefilter [edit firewall filter family ccc] anwenden. Auf Routern der MX-Serie und Switches der EX-Serie können für die Aussage konfigurierte Firewall-Filter nur family ccc als Eingangsfilter angewendet werden.

IPv6-Firewall-Filter auf PtX-Serie Paketübertragungs-Router

Auf PtX10001-20C-Routern können Sie IPv6-Firewall-Filter nicht auf:

  • Tunnelschnittstellen

  • IRB-Schnittstellen

  • Ausgangsschnittstellen

  • Schnittstellenspezifische Filter, die auf [edit firewall family inet6 filter filter-name] Hierarchieebene konfiguriert sind.

  • Traffic-Policer

  • Junos Telemetry Interface