Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien für die Konfiguration von Firewall-Filtern

In diesem Thema werden die folgenden Informationen behandelt:

Anweisungshierarchie zur Konfiguration von Firewall-Filtern

Um einen Standard-Firewall-Filter zu konfigurieren, können Sie die folgenden Anweisungen einschließen. Für einen IPv4-Standard-Firewall-Filter ist die family inet Anweisung optional. Für einen IPv6-Standard-Firewall-Filter ist die family inet6 Anweisung obligatorisch.

Sie können die Firewall-Konfiguration auf einer der folgenden Hierarchieebenen einschließen:

  • [edit]

  • [edit logical-systems logical-system-name]

HINWEIS:

Für zustandslose Firewall-Filterung müssen Sie den Ausgabetunneldatenverkehr durch den Firewall-Filter zulassen, der auf den Eingabedatenverkehr auf der Schnittstelle angewendet wird, die die Next-Hop-Schnittstelle zum Tunnelziel ist. Der Firewall-Filter betrifft nur die Pakete, die den Router (oder Switch) über den Tunnel verlassen.

Firewall-Filterprotokollfamilien

Eine Firewall-Filterkonfiguration ist spezifisch für eine bestimmte Protokollfamilie. Fügen Sie unter der firewall Anweisung eine der folgenden Anweisungen ein, um die Protokollfamilie anzugeben, für die Sie Datenverkehr filtern möchten:

  • family any– Um protokollunabhängigen Datenverkehr zu filtern.

  • family inet– Zum Filtern von Internet Protocol Version 4 (IPv4)-Datenverkehr.

  • family inet6– Zum Filtern von Internet Protocol Version 6 (IPv6)-Datenverkehr.

  • family mpls– Um MPLS-Datenverkehr zu filtern.

  • family vpls— Filterung von VPLS-Datenverkehr (Virtual Private LAN Service)

  • family ccc—Zur Filterung von Layer-2-Circuit Cross-Connection (CCC)-Datenverkehr.

  • family bridge— Filterung von Layer-2-Bridging-Datenverkehr nur für Universal Edge-Router der MX 3D-Serie

  • family ethernet-switching– Um Layer-2-Datenverkehr (Ethernet) zu filtern.

Die family family-name Anweisung ist nur erforderlich, um eine andere Protokollfamilie als IPv4 anzugeben. Um einen IPv4-Firewall-Filter zu konfigurieren, können Sie den Filter auf [edit firewall] Hierarchieebene konfigurieren, ohne die family inet Anweisung einzuordnen, da die Hierarchieebene und [edit firewall family inet] die [edit firewall] Hierarchieebene äquivalent sind.

HINWEIS:

Für Den Filter der Bridge-Familie werden die ip-protocol Übereinstimmungskriterien nur für IPv4 und nicht für IPv6 unterstützt. Dies gilt für Linecards, die den Junos Trio-Chipsatz unterstützen, wie z. B. die MPC-Linecards MX 3D.

Namen und Optionen für Firewall-Filter

Unter der family family-name Anweisung können Sie Anweisungen zum Erstellen und Benennen von Firewall-Filtern einschließen filter filter-name . Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen ("").

Auf Hierarchieebene [edit firewall family family-name filter filter-name] sind die folgenden Anweisungen optional:

  • accounting-profile

  • instance-shared (Router der MX-Serie mit modularen Portkonzentratoren (nur MPCS)

  • interface-specific

  • physical-interface-filter

Firewall-Filterbedingungen

Unter der filter filter-name Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einschließen term term-name .

  • Sie müssen mindestens einen Begriff in einem Firewall-Filter konfigurieren.

  • Sie müssen für jeden Begriff innerhalb eines Firewall-Filters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und kann bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen ("").

  • Die Reihenfolge, in der Sie die Begriffe innerhalb einer Firewall-Filterkonfiguration angeben, ist wichtig. Firewall-Filterbegriffe werden in der Reihenfolge bewertet, in der sie konfiguriert sind. Standardmäßig werden immer neue Begriffe am Ende des vorhandenen Filters hinzugefügt. Sie können den Befehl für den insert Konfigurationsmodus verwenden, um die Bedingungen eines Firewall-Filters neu anzuordnen.

Auf der [edit firewall family family-name filter filter-name term term-name] Hierarchieebene ist die filter filter-name Anweisung nicht im selben Begriff wie from oder then anweisungen gültig. Wenn sie auf dieser Hierarchieebene enthalten ist, wird die filter filter-name Anweisung verwendet, um Firewall-Filter zu verschachteln .

Firewall-Filter stimmen Bedingungen ab

Die Übereinstimmungsbedingungen für Firewall-Filter sind spezifisch für die Art des gefilterten Datenverkehrs.

Mit Ausnahme von MPLS-getaggten IPv4- oder IPv6-Datenverkehr geben Sie die Übereinstimmungsbedingungen des Begriffs unter der from Anweisung an. Für MPLS-getaggten IPv4-Datenverkehr geben Sie die IPv4-adressspezifischen Übereinstimmungsbedingungen des Begriffs unter der ip-version ipv4 Anweisung und die IPv4-Port-spezifischen Übereinstimmungsbedingungen des Begriffs unter der protocol (tcp | udp) Anweisung an.

Für MPLS-getaggten IPv6-Datenverkehr geben Sie die IPv6-adressspezifischen Übereinstimmungsbedingungen des Begriffs unter der ip-version ipv6 Anweisung und die IPv6-Port-spezifischen Übereinstimmungsbedingungen des Begriffs unter der protocol (tcp | udp) Anweisung an.

Tabelle 1 beschreibt die Arten von Datenverkehr, für die Sie Firewall-Filter konfigurieren können.

Tabelle 1: Firewall-Filter Stimmen Bedingungen nach Protokollfamilie ab

Datenverkehrstyp

Hierarchieebene, auf der Übereinstimmungsbedingungen angegeben werden

Protokollunabhängig

[edit firewall family any filter filter-name term term-name]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter-Übereinstimmungsbedingungen für protokollunabhängigen Datenverkehr.

IPv4

[edit firewall family inet filter filter-name term term-name]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter-Übereinstimmungsbedingungen für IPv4-Datenverkehr.

IPv6

[edit firewall family inet6 filter filter-name term term-name]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter-Übereinstimmungsbedingungen für IPv6-Datenverkehr.

MPLS

[edit firewall family mpls filter filter-name term term-name]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter-Übereinstimmungsbedingungen für MPLS-Datenverkehr.

IPv4-Adressen in MPLS-Datenströmen

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter Match-Bedingungen für MPLS-getaggten IPv4- oder IPv6-Datenverkehr.

IPv4-Ports in MPLS-Datenströmen

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter Match-Bedingungen für MPLS-getaggten IPv4- oder IPv6-Datenverkehr.

IPv6-Adressen in MPLS-Datenströmen

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter Match-Bedingungen für MPLS-getaggten IPv4- oder IPv6-Datenverkehr.

IPv6-Ports in MPLS-Datenströmen

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter Match-Bedingungen für MPLS-getaggten IPv4- oder IPv6-Datenverkehr.

VPLS

[edit firewall family vpls filter filter-name term term-name]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter-Übereinstimmungsbedingungen für VPLS-Datenverkehr.

Layer 2 CCC

[edit firewall family ccc filter filter-name term term-name]

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter Match-Bedingungen für Layer 2 CCC-Datenverkehr.

Layer 2 Bridging

(Nur Router der MX-Serie und Switches der EX-Serie)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (nur für Switches der EX-Serie)

Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Firewall-Filter Match-Bedingungen für Layer-2-Bridging-Datenverkehr.

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung (dem address, destination-addressoder source-address den Übereinstimmungsbedingungen) angeben, verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, Adressierungsarchitektur IP Version 6 beschrieben wird. Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6-Übersicht und unterstützte IPv6-Standards.

Firewall-Filteraktionen

Unter der then Anweisung für einen Firewall-Filterbegriff können Sie die Aktionen angeben, die für ein Paket ausgeführt werden sollen, das dem Begriff entspricht.

Tabelle 2 fasst die Aktionstypen zusammen, die Sie in einem Firewall-Filterbegriff angeben können.

Tabelle 2: Aktionskategorien für Firewall-Filter

Art der Aktion

Beschreibung

Kommentar

Beenden

Stoppt die gesamte Bewertung eines Firewall-Filters für ein bestimmtes Paket. Der Router (oder Switch) führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe verwendet, um das Paket zu untersuchen.

Sie können nur eine Terminierungsaktion in einem Firewall-Filterbegriff angeben. Sie können jedoch eine Terminierungsaktion mit einer oder mehreren nichtterminierenden Aktionen in einem einzigen Ausdruck angeben. Sie können beispielsweise innerhalb eines Begriffs mit count und syslog.accept Unabhängig von der Anzahl der Begriffe, die terminierende Aktionen enthalten, wird die Verarbeitung des gesamten Firewall-Filters angehalten, sobald das System eine Terminierungsaktion innerhalb eines Begriffs verarbeitet.

Siehe Terminierungsaktionen für Firewall-Filter.

Nicht-bestimmend

Führt andere Funktionen für ein Paket aus (z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paket-Header, das Sampling der Paketdaten oder das Senden von Informationen an einen entfernten Host mithilfe der Systemprotokollfunktionen), aber für die Untersuchung des Pakets werden alle zusätzlichen Begriffe verwendet.

Alle nichtterminierenden Aktionen enthalten eine implizite Annahmeaktion. Diese Akzeptierungsaktion wird durchgeführt, wenn keine andere Terminierungsaktion mit demselben Begriff konfiguriert ist.

Weitere Informationen finden Sie unter Nichtterminierende Aktionen für Firewall-Filter.

Datenstromsteuerung

Nur für Standard-Firewall-Filter weist die next term Aktion den Router (oder Switch) an, konfigurierte Aktionen für das Paket auszuführen, und verwenden Sie dann den nächsten Begriff im Filter, um das Paket zu bewerten, anstatt den Filter zu beenden. Wenn die next term Aktion enthalten ist, wird das passende Paket mit dem nächsten Begriff im Firewall-Filter ausgewertet. Andernfalls wird das übereinstimmende Paket nicht mit den nachfolgenden Begriffen im Firewall-Filter bewertet.

Wenn Sie beispielsweise einen Begriff mit der nichtterminierenden Aktion countkonfigurieren, ändert sich die Aktion des Begriffs von einer impliziten discard zu einer impliziten accept. Die next term Aktion erzwacht die kontinuierliche Evaluierung des Firewall-Filters.

Sie können die next term Aktion nicht mit einer Terminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können jedoch die nächste Ausdrucksaktion mit einer anderen nichtterminierenden Aktion im gleichen Filterbegriff konfigurieren.

Pro Standard-Firewall-Filterkonfiguration werden maximal 1.024 next term Aktionen unterstützt. Wenn Sie einen Standard-Firewall-Filter konfigurieren, der diese Grenze überschreitet, führt die Kandidatenkonfiguration zu einem Commit-Fehler.

HINWEIS:

Unter Junos OS Evolved next term kann nicht als letzter Begriff der Aktion angezeigt werden. Ein Filterbegriff, bei dem next term als Aktion angegeben wird, aber ohne Konfiguration der Übereinstimmungsbedingungen, wird nicht unterstützt.