Richtlinien für die Konfiguration von Firewall-Filtern
In diesem Thema werden die folgenden Informationen behandelt:
Anweisungshierarchie für die Konfiguration von Firewall-Filtern
Um einen standardmäßigen Firewallfilter zu konfigurieren, können Sie die folgenden Anweisungen angeben. Bei einem IPv4-Standard-Firewallfilter ist die Anweisung optional.family inet Für einen IPv6-Standard-Firewallfilter ist die Anweisung obligatorisch.family inet6
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Sie können die Firewallkonfiguration auf einer der folgenden Hierarchieebenen einschließen:
-
[edit] -
[edit logical-systems logical-system-name]
Für die zustandslose Firewallfilterung müssen Sie den Ausgabetunneldatenverkehr durch den Firewallfilter zulassen, der auf den Eingabedatenverkehr auf der Schnittstelle angewendet wird, bei der es sich um die Next-Hop-Schnittstelle in Richtung Tunnelziel handelt. Der Firewall-Filter wirkt sich nur auf die Pakete aus, die den Router (oder Switch) über den Tunnel verlassen.
Auf ACX7100 Plattformen werden VPLS-Firewall-Filter unter und nicht unter konfiguriert.familyethernet-switchingfamilyVPLS Verwaltungsfilter werden unter Familie OR konfiguriert, und die Syntax hat das folgende Format:inetinet6
set interfaces re0:mgmt-0 unit logical-unit-number family family-name filter input filter-name.Firewall-Filterprotokollfamilien
Eine Firewall-Filterkonfiguration ist spezifisch für eine bestimmte Protokollfamilie. Fügen Sie unter der Anweisung eine der folgenden Anweisungen ein, um die Protokollfamilie anzugeben, nach der Sie den Datenverkehr filtern möchten:firewall
family any– Zum Filtern von protokollunabhängigem Datenverkehr.family inet– Zum Filtern des IPv4-Datenverkehrs (Internet Protocol Version 4).family inet6– Zum Filtern des IPv6-Datenverkehrs (Internet Protocol Version 6).family mpls– Zum Filtern des MPLS-Datenverkehrs.family vpls: Zum Filtern des VPLS-Datenverkehrs (Virtual Private LAN Service).family ccc: Zum Filtern von Layer 2 Circuit Cross Connection (CCC)-Datenverkehr.family bridge– Zum Filtern von Layer-2-Bridging-Datenverkehr nur für Universal Edge-Router der MX 3D-Serie.family ethernet-switching– Zum Filtern von Layer-2-Datenverkehr (Ethernet).
Die Anweisung ist nur erforderlich, um eine andere Protokollfamilie als IPv4 anzugeben.family family-name Um einen IPv4-Firewallfilter zu konfigurieren, können Sie den Filter auf Hierarchieebene konfigurieren, ohne die Anweisung einzuschließen, da die Hierarchieebenen und äquivalent sind.[edit firewall]family inet[edit firewall][edit firewall family inet]
Für den Bridge-Familienfilter werden die Übereinstimmungskriterien nur für IPv4 und nicht für IPv6 unterstützt.ip-protocol Dies gilt für Linecards, die den Junos Trio-Chipsatz unterstützen, wie z. B. die MX 3D MPC-Linecards.
Namen und Optionen von Firewall-Filtern
Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen von Firewallfiltern einfügen .family family-namefilter filter-name Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.
Auf Hierarchieebene sind die folgenden Anweisungen optional:[edit firewall family family-name filter filter-name]
accounting-profileinstance-shared(Nur Router der MX-Serie mit Modular Port Concentrators (MPCS))interface-specificphysical-interface-filter
Firewall-Filterbegriffe
Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einfügen .filter filter-nameterm term-name
Sie müssen mindestens einen Begriff in einem Firewallfilter konfigurieren.
Sie müssen für jeden Begriff innerhalb eines Firewallfilters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.
Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewallfilterkonfiguration angeben, ist wichtig. Firewallfilterbegriffe werden in der Reihenfolge ausgewertet, in der sie konfiguriert wurden. Standardmäßig werden neue Begriffe immer am Ende des vorhandenen Filters hinzugefügt. Sie können den Befehl configuration mode verwenden, um die Bedingungen eines Firewallfilters neu anzuordnen.
insert
Auf der Hierarchieebene ist die Anweisung nicht im gleichen Begriff wie oder-Anweisungen gültig.[edit firewall family family-name filter filter-name term term-name]filter filter-namefromthen Wenn die Anweisung auf dieser Hierarchieebene enthalten ist, wird sie verwendet, um Firewallfilter zu verschachteln .filter filter-name
Übereinstimmungsbedingungen für Firewall-Filter
Die Übereinstimmungsbedingungen für Firewallfilter sind spezifisch für die Art des gefilterten Datenverkehrs.
Mit Ausnahme von IPv4- oder IPv6-Datenverkehr mit MPLS-Tags geben Sie die Übereinstimmungsbedingungen des Begriffs unter der Anweisung an.from Für IPv4-Datenverkehr mit MPLS-Tags geben Sie unter der Anweisung die IPv4-adressenspezifischen Übereinstimmungsbedingungen des Begriffs und unter der Anweisung die IPv4-portspezifischen Übereinstimmungsbedingungen des Begriffs an.ip-version ipv4protocol (tcp | udp)
Für IPv6-Datenverkehr mit MPLS-Tags geben Sie unter der Anweisung die IPv6-adressspezifischen Übereinstimmungsbedingungen des Begriffs und unter der Anweisung die IPv6-portspezifischen Übereinstimmungsbedingungen des Begriffs an.ip-version ipv6protocol (tcp | udp)
Tabelle 1 Beschreibt die Datenverkehrstypen, für die Sie Firewallfilter konfigurieren können.
Art des Datenverkehrs |
Hierarchieebene, auf der Übereinstimmungsbedingungen angegeben werden |
|---|---|
Protokollunabhängig |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für protokollunabhängigen Datenverkehr.Übereinstimmungsbedingungen für Firewall-Filter für protokollunabhängigen Datenverkehr |
IPv4 |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für IPv4-Datenverkehr.Übereinstimmungsbedingungen für Firewall-Filter für IPv4-Datenverkehr |
IPv6 |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für IPv6-Datenverkehr.Übereinstimmungsbedingungen für Firewall-Filter für IPv6-Datenverkehr |
MPLS |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-Datenverkehr.Übereinstimmungsbedingungen für Firewall-Filter für MPLS-Datenverkehr |
IPv4-Adressen in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr.Übereinstimmungsbedingungen für Firewallfilter für IPv4- oder IPv6-Datenverkehr mit MPLS-Tags |
IPv4-Ports in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr.Übereinstimmungsbedingungen für Firewallfilter für IPv4- oder IPv6-Datenverkehr mit MPLS-Tags |
IPv6-Adressen in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr.Übereinstimmungsbedingungen für Firewallfilter für IPv4- oder IPv6-Datenverkehr mit MPLS-Tags |
IPv6-Ports in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr.Übereinstimmungsbedingungen für Firewallfilter für IPv4- oder IPv6-Datenverkehr mit MPLS-Tags |
VPLS |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewall-Filter für VPLS-Datenverkehr.Übereinstimmungsbedingungen für Firewall-Filter für VPLS-Datenverkehr |
Layer 2 CCC |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr.Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr |
Layer 2 Bridging (Nur Router der MX-Serie und Switches der EX-Serie) |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewall-Filter für Layer-2-Bridging-Datenverkehr.Übereinstimmungsbedingungen für Firewall-Filter für Layer-2-Bridging-Datenverkehr |
Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung angeben (die , oder Übereinstimmungsbedingungen), verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, IP Version 6 Addressing Architecture, beschrieben ist.addressdestination-addresssource-address Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6 – Übersicht und Unterstützte IPv6-Standards.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
Firewall-Filteraktionen
Unter der Anweisung für einen Firewallfilterbegriff können Sie die Aktionen angeben, die für ein Paket ausgeführt werden sollen, das dem Begriff entspricht.then
Tabelle 2 Fasst die Arten von Aktionen zusammen, die Sie in einem Firewallfilterbegriff angeben können.
Art der Maßnahme |
Beschreibung |
Kommentar |
|---|---|---|
Beenden |
Stoppt die gesamte Auswertung eines Firewall-Filters für ein bestimmtes Paket. Der Router (oder Switch) führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe verwendet, um das Paket zu untersuchen. Sie können nur eine Beendigungsaktion in einem Firewallfilterbegriff angeben. Wenn Sie versuchen, mehr als eine Beendigungsaktion innerhalb des Filterbegriffs anzugeben, ersetzt die letzte Beendigungsaktion die vorhandene Beendigungsaktion. Sie können jedoch eine beendende Aktion mit einer oder mehreren nicht beendenden Aktionen in einem einzelnen Begriff angeben. Beispielsweise können Sie innerhalb eines Begriffs mit und angeben. |
Weitere Informationen finden Sie unter Aktionen zum Beenden von Firewall-Filtern.Aktionen zum Beenden des Firewall-Filters |
Nicht terminierend |
Führt andere Funktionen für ein Paket aus (z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion), aber alle zusätzlichen Begriffe werden verwendet, um das Paket zu untersuchen. |
Alle nicht beendenden Aktionen enthalten eine implizite Annahmeaktion. Diese Annahmeaktion wird ausgeführt, wenn im selben Begriff keine andere Abbruchaktion konfiguriert ist. Weitere Informationen finden Sie unter Nicht terminierende Aktionen für Firewall-Filter.Nicht terminierende Aktionen für Firewall-Filter |
Flusskontrolle |
Nur bei Standard-Firewall-Filtern weist die Aktion den Router (oder Switch) an, konfigurierte Aktionen für das Paket auszuführen und dann, anstatt den Filter zu beenden, den nächsten Begriff im Filter zu verwenden, um das Paket auszuwerten. Wenn Sie z. B. einen Begriff mit der Aktion ohne Abbruch konfigurieren, ändert sich die Aktion des Begriffs von einer impliziten zu einer impliziten . |
Sie können die Aktion nicht mit einer beendenden Aktion im gleichen Filterbegriff konfigurieren. Pro Standard-Firewall-Filterkonfiguration werden maximal 1024 Aktionen unterstützt. HINWEIS:
Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden . |