Richtlinien für die Konfiguration von Firewall-Filtern

In diesem Thema finden Sie die folgenden Informationen:

Anweisungshierarchie für die Konfiguration von Firewall-Filtern

Zum Konfigurieren eines Standard-Firewallfilters können Sie die folgenden Anweisungen hinzufügen. Für einen IPv4-Standard-Firewallfilter ist family inet die Anweisung optional. Für einen IPv6-Standard-Firewallfilter ist family inet6 die Aussage Pflicht.

Sie können die Firewall-Konfiguration auf einer der folgenden Hierarchieebenen umfassen:

[edit]
[edit logical-systems logical-system-name]

Anmerkung:

Für die Stateless-Firewall-Filterung müssen Sie den Ausgangs-Tunneldatenverkehr durch den Firewall-Filter zulassen, der auf den Eingabedatenverkehr an der Schnittstelle der Next-Hop-Schnittstelle zum Tunnelziel angewendet wird. Der Firewall-Filter betrifft nur die Pakete, die den Router (oder Switch) über den Tunnel verlassen.

Firewall-Filterprotokollfamilien

Eine Konfiguration von Firewall-Filtern ist spezifisch für eine bestimmte Protokollfamilie. In der Anweisung wird eine der folgenden Anweisungen enthalten, um die Protokollfamilie anzugeben, für die der firewall Datenverkehr gefiltert werden soll:

family any— zur Filterung protokollunabhängigen Datenverkehrs.
family inet- Filterung des Datenverkehrs im Internet Protocol Version 4 (IPv4).
family inet6- Filterung des Datenverkehrs im Internet Protocol Version 6 (IPv6).
family mpls— Zur Filterung MPLS Datenverkehr.
family vpls- Zur Filterung des VPLS-Datenverkehrs (Virtual Private LAN Service).
family ccc- Zur Filterung des Layer-2-Circuit Cross-Connection (CCC)-Datenverkehrs.
family bridge- Die Filterung von Layer 2-Bridging-Datenverkehr nur für Universal Edge Router der MX 3D-Serie.
family ethernet-switching— Zur Filterung von Layer 2-Datenverkehr (Ethernet).

Diese family family-name Aussage ist nur für eine andere Protokollfamilie als IPv4 erforderlich. Um einen IPv4-Firewallfilter zu konfigurieren, können Sie den Filter auf Hierarchieebene konfigurieren, ohne die Anweisung einschliesslich zu geben, da die Hierarchieebenen [edit firewall]family inet[edit firewall][edit firewall family inet] äquivalent sind.

Anmerkung:

Beim Bridge-Familienfilter werden die Kriterien für die Übereinstimmung des IP-Protokolls nur für IPv4 und nicht für IPv6 unterstützt. Dies gilt für Linekarten, die den Junos Trio-Chipsatz unterstützen, wie die MPC-Linecards der MX 3D-Serie.

Firewall-Filternamen und -optionen

In der Erklärung können Sie Anweisungen zum Erstellen und Benennen family family-name von filter filter-name Firewall-Filtern angeben. Der Filtername kann Buchstaben, Zahlen und Abstriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen im Namen einschließt, schließen Sie den gesamten Namen in Anführungszeichen ein (" ").

Auf [edit firewall family family-name filter filter-name] Hierarchieebene sind die folgenden Anweisungen optional:

accounting-profile
instance-shared (Nur Router der MX-Serie mit Modular Port Concentrators (MPCS)
interface-specific
physical-interface-filter

Bedingungen für Firewall-Filter

In der filter filter-name Erklärung können Sie Anweisungen zum Erstellen und term term-name Namenfiltern hinzufügen.

Sie müssen mindestens einen Begriff in einem Firewall-Filter konfigurieren.
Sie müssen einen eindeutigen Namen für jeden Begriff in einem Firewall-Filter angeben. Der Begriffsname kann Buchstaben, Zahlen und Abstriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen im Namen einschließt, schließen Sie den gesamten Namen in Anführungszeichen ein (" ").
Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewall-Filterkonfiguration angeben, ist wichtig. Die Bedingungen für Firewall-Filter werden in der Reihenfolge ausgewertet, in der sie konfiguriert sind. Standardmäßig werden am Ende des vorhandenen Filters immer neue Begriffe hinzugefügt. Sie können den insert Konfigurationsmodusbefehl verwenden, um die Bedingungen eines Firewall-Filters neu zuordnen.

Auf Hierarchieebene ist die Anweisung im gleichen Begriff wie [edit firewall family family-name filter filter-name term term-name]filter filter-name oder in from Anweisungen nicht then gültig. Wenn diese Anweisung in dieser Hierarchieebene enthalten ist, wird filter filter-name sie verwendet, um Firewall-Filter zu verschachteln.

Bedingungen für Firewall-Filter-Übereinstimmungen

Die Bedingungen für die Übereinstimmung mit den Firewall-Filtern sind spezifisch für den Datenverkehrstyp, der gefiltert wird.

Mit Ausnahme von MPLS-tagged IPv4- oder IPv6-Datenverkehr geben Sie in der Anweisung die Übereinstimmungsbedingungen des Begriffs from an. Für MPLS-tagged IPv4-Datenverkehr geben Sie in der Anweisung die iPv4-adressspezifischen Übereinstimmungsbedingungen des Begriffs sowie die ip-version ipv4 spezifischen IPv4-Port-Bedingungen des Begriffs protocol (tcp | udp) an.

Für MPLS-tagged IPv6-Datenverkehr geben Sie in der Anweisung die iPv6-adressspezifischen Übereinstimmungsbedingungen des Begriffs sowie die spezifischen ip-version ipv6 IPv6-Port-Bedingungen des Begriffs protocol (tcp | udp) an.

Tabelle 1 beschreibt die Datenverkehrstypen, für die Sie Firewall-Filter konfigurieren können.

Tabelle 1: Bedingungen für die Übereinstimmung mit Firewall-Filtern nach Protokollfamilie
Datenverkehrstyp	Hierarchieebene, in der Bedingungen festgelegt werden
Protokollunabhängig	`[edit firewall family any filter filter-name term term-name]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen für protokollunabhängigen Datenverkehr.
IPv4	`[edit firewall family inet filter filter-name term term-name]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen für IPv4-Datenverkehr.
IPv6	`[edit firewall family inet6 filter filter-name term term-name]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen für IPv6-Datenverkehr.
MPLS	`[edit firewall family mpls filter filter-name term term-name]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen MPLS Datenverkehr.
IPv4-Adressen in MPLS Datenflüssen	`[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für die Übereinstimmung mit Firewall-Filtern MPLS-Tagged IPv4- oder IPv6-Datenverkehr.
IPv4-Ports in MPLS Datenflüssen	`[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp \| udp)]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für die Übereinstimmung mit Firewall-Filtern MPLS-Tagged IPv4- oder IPv6-Datenverkehr.
IPv6-Adressen in MPLS Datenflüssen	`[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für die Übereinstimmung mit Firewall-Filtern MPLS-Tagged IPv4- oder IPv6-Datenverkehr.
IPv6-Ports in MPLS Datenflüssen	`[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp \| udp)]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für die Übereinstimmung mit Firewall-Filtern MPLS-Tagged IPv4- oder IPv6-Datenverkehr.
VPLS	`[edit firewall family vpls filter filter-name term term-name]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen für VPLS-Datenverkehr.
Layer 2 CCC	`[edit firewall family ccc filter filter-name term term-name]` Eine vollständige Liste der Bedingungen finden Sie unter Bedingungen für Firewall-Filter-Übereinstimmungen für Layer 2 CCC-Datenverkehr.
Layer 2-Bridging (nur Router der MX-Serie und Switches der EX-Serie)	`[edit firewall family bridge filter filter-name term term-name]` `[edit firewall family ethernet-switching filter filter-name term term-name]` (nur für Switches der EX-Serie) Eine vollständige Liste der Bedingungen für Übereinstimmungen finden Sie unter Bedingungen für Firewall-Filterüberbrückung für Layer 2-Bridging-Datenverkehr.

Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung (die , oder Bedingungen) angeben, verwenden Sie die Syntax für addressdestination-address in RFC source-address 4291, IP Version 6 Addressing Architecturebeschriebene Textdarstellungen. Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6-Übersicht und unterstützte IPv6-Standards.

Aktionen für Firewall-Filter

Unter dem Begriff "Firewall-Filter" können Sie die Aktionen für ein Paket angeben, das dem then Begriff entspricht.

Tabelle 2 fasst die Arten von Aktionen zusammen, die Sie in einem Begriff für Firewall-Filter angeben können.

Tabelle 2: Aktionskategorien für Firewall-Filter
Typus der Aktion	Beschreibung	Kommentar
Beenden	Stoppt alle Evaluierungen eines Firewall-Filters für ein bestimmtes Paket. Der Router (oder Switch) führt die angegebene Aktion aus, und es werden keine weiteren Begriffe verwendet, um das Paket zu prüfen. Sie können nur eine Terminierungsaktion in einem Begriff für den Firewall-Filter angeben. Sie können jedoch eine Terminierungsaktionen mit einer oder mehrere nicht endenden Aktionen in einem einzigen Begriff festlegen. Sie können beispielsweise innerhalb eines Begriffs folgendes `acceptcount` spezifizieren: `syslog` Unabhängig von der Anzahl der Begriffe, die Terminierungsaktionen enthalten, stoppt die Verarbeitung des gesamten Firewall-Filters, sobald das System eine Terminierungsaktionen innerhalb eines Begriffs verarbeitet.	Siehe Terminierungsaktionen für Firewallfilter.
Nichtterminieren	Führt weitere Funktionen auf einem Paket aus (z. B. Erhöhung eines Zählers, Protokollierung von Informationen über den Paket-Header, Sampling der Paketdaten oder Senden von Informationen über die Systemprotokollfunktion an einen Remote-Host). Weitere Bedingungen werden zur Prüfung des Pakets verwendet.	Alle nichtterminierenden Aktionen umfassen die implizite Annahme von Aktionen. Diese "Annahme"-Aktion wird durchgeführt, wenn keine andere Terminierungsaktion im selben Begriff konfiguriert ist. Siehe Firewall-Filter Nichtterminierungsaktionen.
Datenstromkontrolle	Nur für Standard-Firewallfilter leitet die Aktion den Router (oder Switch) dazu an, konfigurierte Aktionen auf dem Paket durchzuführen und den Filter nicht zu beenden, sondern den nächsten Begriff im Filter zu verwenden, um das Paket zu `next term` prüfen. Wenn die Aktion enthalten ist, wird das entsprechende Paket mit dem nächsten `next term` Begriff im Firewall-Filter ausgewertet. Andernfalls wird das übereinstimmende Paket nicht anhand nachfolgender Bedingungen im Firewall-Filter ausgewertet. Wenn Sie beispielsweise einen Begriff mit einer nichtterminierenden Aktion konfigurieren, wird die Aktion des Begriffs implizit zu `countdiscard` implizit `accept` . Die `next term` Aktion erzwingt eine weitere Evaluierung des Firewall-Filters.	Sie können die `next term` Aktion nicht mit einer Terminierungsaktion im gleichen Filterbegriff konfigurieren. Sie können die Aktion für den nächsten Begriff jedoch mit einer anderen nicht fristenden Aktion im selben Filter begriffen konfigurieren. Pro Standard-Firewallfilterkonfiguration werden maximal 1024 `next term` Aktionen unterstützt. Wenn Sie einen standardmäßigen Firewall-Filter konfigurieren, der diese Begrenzung überschreitet, führt die Konfiguration Ihres Kandidaten zu einem Commit-Fehler. Anmerkung: Auf Junos OS Weiterentwickelt, `next term` kann nicht als letzter Ausdruck der Aktion erscheinen. Ein Filterbegriff, der als Aktion festgelegt wird, aber ohne die Konfiguration von Übereinstimmungsbedingungen `next term` wird nicht unterstützt.

Auf dieser Seite