Richtlinien für die Konfiguration von Firewall-Filtern
In diesem Thema werden die folgenden Informationen behandelt:
Anweisungshierarchie für die Konfiguration von Firewall-Filtern
Um einen standardmäßigen Firewallfilter zu konfigurieren, können Sie die folgenden Anweisungen angeben. Bei einem IPv4-Standard-Firewallfilter ist die family inet Anweisung optional. Für einen IPv6-Standard-Firewallfilter ist die family inet6 Anweisung obligatorisch.
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Sie können die Firewallkonfiguration auf einer der folgenden Hierarchieebenen einschließen:
-
[edit] -
[edit logical-systems logical-system-name]
Für die zustandslose Firewallfilterung müssen Sie den Ausgabetunneldatenverkehr durch den Firewallfilter zulassen, der auf den Eingabedatenverkehr auf der Schnittstelle angewendet wird, bei der es sich um die Next-Hop-Schnittstelle in Richtung Tunnelziel handelt. Der Firewall-Filter wirkt sich nur auf die Pakete aus, die den Router (oder Switch) über den Tunnel verlassen.
Auf ACX7100-Plattformen werden VPLS-Firewall-Filter unter und nicht unter family ethernet-switchingfamily VPLSkonfiguriert. Verwaltungsfilter werden unter Familie inet OR inet6 konfiguriert, und die Syntax hat das folgende Format:
set interfaces re0:mgmt-0 unit logical-unit-number family family-name filter input filter-name.Firewall-Filterprotokollfamilien
Eine Firewall-Filterkonfiguration ist spezifisch für eine bestimmte Protokollfamilie. Fügen Sie unter der firewall Anweisung eine der folgenden Anweisungen ein, um die Protokollfamilie anzugeben, nach der Sie den Datenverkehr filtern möchten:
family any– Zum Filtern von protokollunabhängigem Datenverkehr.family inet– Zum Filtern des IPv4-Datenverkehrs (Internet Protocol Version 4).family inet6– Zum Filtern des IPv6-Datenverkehrs (Internet Protocol Version 6).family mpls– Zum Filtern des MPLS-Datenverkehrs.family vpls: Zum Filtern des VPLS-Datenverkehrs (Virtual Private LAN Service).family ccc: Zum Filtern von Layer 2 Circuit Cross Connection (CCC)-Datenverkehr.family bridge– Zum Filtern von Layer-2-Bridging-Datenverkehr nur für Universal Edge-Router der MX 3D-Serie.family ethernet-switching– Zum Filtern von Layer-2-Datenverkehr (Ethernet).
Die family family-name Anweisung ist nur erforderlich, um eine andere Protokollfamilie als IPv4 anzugeben. Um einen IPv4-Firewallfilter zu konfigurieren, können Sie den Filter auf Hierarchieebene [edit firewall] konfigurieren, ohne die family inet Anweisung einzuschließen, da die [edit firewall] Hierarchieebenen und [edit firewall family inet] äquivalent sind.
Für den Bridge-Familienfilter werden die ip-protocol Übereinstimmungskriterien nur für IPv4 und nicht für IPv6 unterstützt. Dies gilt für Linecards, die den Junos Trio-Chipsatz unterstützen, wie z. B. die MX 3D MPC-Linecards.
Namen und Optionen von Firewall-Filtern
Unter der Anweisung können Sie Anweisungen zum Erstellen und Benennen von family family-name Firewallfiltern einfügen filter filter-name . Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.
Auf Hierarchieebene [edit firewall family family-name filter filter-name] sind die folgenden Anweisungen optional:
accounting-profileinstance-shared(Nur Router der MX-Serie mit Modular Port Concentrators (MPCS))interface-specificphysical-interface-filter
Firewall-Filterbegriffe
Unter der filter filter-name Anweisung können Sie Anweisungen zum Erstellen und Benennen von Filterbegriffen einfügen term term-name .
Sie müssen mindestens einen Begriff in einem Firewallfilter konfigurieren.
Sie müssen für jeden Begriff innerhalb eines Firewallfilters einen eindeutigen Namen angeben. Der Begriffsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Um Leerzeichen in den Namen einzufügen, schließen Sie den gesamten Namen in Anführungszeichen (" ") ein.
Die Reihenfolge, in der Sie Begriffe innerhalb einer Firewallfilterkonfiguration angeben, ist wichtig. Firewallfilterbegriffe werden in der Reihenfolge ausgewertet, in der sie konfiguriert wurden. Standardmäßig werden neue Begriffe immer am Ende des vorhandenen Filters hinzugefügt. Sie können den
insertBefehl configuration mode verwenden, um die Bedingungen eines Firewallfilters neu anzuordnen.
Auf der [edit firewall family family-name filter filter-name term term-name] Hierarchieebene ist die filter filter-name Anweisung nicht im gleichen Begriff wie from oder-Anweisungen then gültig. Wenn die Anweisung auf dieser Hierarchieebene enthalten ist, wird sie filter filter-name verwendet, um Firewallfilter zu verschachteln .
Übereinstimmungsbedingungen für Firewall-Filter
Die Übereinstimmungsbedingungen für Firewallfilter sind spezifisch für die Art des gefilterten Datenverkehrs.
Mit Ausnahme von IPv4- oder IPv6-Datenverkehr mit MPLS-Tags geben Sie die Übereinstimmungsbedingungen des Begriffs unter der from Anweisung an. Für IPv4-Datenverkehr mit MPLS-Tags geben Sie unter der Anweisung die IPv4-adressenspezifischen Übereinstimmungsbedingungen des Begriffs und unter der ip-version ipv4protocol (tcp | udp) Anweisung die IPv4-portspezifischen Übereinstimmungsbedingungen des Begriffs an.
Für IPv6-Datenverkehr mit MPLS-Tags geben Sie unter der Anweisung die IPv6-adressspezifischen Übereinstimmungsbedingungen des Begriffs und unter der ip-version ipv6protocol (tcp | udp) Anweisung die IPv6-portspezifischen Übereinstimmungsbedingungen des Begriffs an.
Tabelle 1 Beschreibt die Datenverkehrstypen, für die Sie Firewallfilter konfigurieren können.
Art des Datenverkehrs |
Hierarchieebene, auf der Übereinstimmungsbedingungen angegeben werden |
|---|---|
Protokollunabhängig |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für protokollunabhängigen Datenverkehr. |
IPv4 |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für IPv4-Datenverkehr. |
IPv6 |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für IPv6-Datenverkehr. |
MPLS |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-Datenverkehr. |
IPv4-Adressen in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr. |
IPv4-Ports in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr. |
IPv6-Adressen in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr. |
IPv6-Ports in MPLS-Datenströmen |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter für MPLS-markierten IPv4- oder IPv6-Datenverkehr. |
VPLS |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewall-Filter für VPLS-Datenverkehr. |
Layer 2 CCC |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewall-Filter für Layer 2 CCC-Datenverkehr. |
Layer 2 Bridging (Nur Router der MX-Serie und Switches der EX-Serie) |
Eine vollständige Liste der Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen für Firewall-Filter für Layer-2-Bridging-Datenverkehr. |
Wenn Sie eine IPv6-Adresse in einer Übereinstimmungsbedingung angeben (die addressdestination-address, oder source-address Übereinstimmungsbedingungen), verwenden Sie die Syntax für Textdarstellungen, die in RFC 4291, IP Version 6 Addressing Architecture, beschrieben ist. Weitere Informationen zu IPv6-Adressen finden Sie unter IPv6 – Übersicht und Unterstützte IPv6-Standards.
Firewall-Filteraktionen
Unter der then Anweisung für einen Firewallfilterbegriff können Sie die Aktionen angeben, die für ein Paket ausgeführt werden sollen, das dem Begriff entspricht.
Tabelle 2 Fasst die Arten von Aktionen zusammen, die Sie in einem Firewallfilterbegriff angeben können.
Art der Maßnahme |
Beschreibung |
Kommentar |
|---|---|---|
Beendigung |
Stoppt die gesamte Auswertung eines Firewall-Filters für ein bestimmtes Paket. Der Router (oder Switch) führt die angegebene Aktion aus, und es werden keine zusätzlichen Begriffe verwendet, um das Paket zu untersuchen. Sie können nur eine Beendigungsaktion in einem Firewallfilterbegriff angeben. Wenn Sie versuchen, mehr als eine Beendigungsaktion innerhalb des Filterbegriffs anzugeben, ersetzt die letzte Beendigungsaktion die vorhandene Beendigungsaktion. Sie können jedoch eine beendende Aktion mit einer oder mehreren nicht beendenden Aktionen in einem einzelnen Begriff angeben. Beispielsweise können Sie innerhalb eines Begriffs mit |
Weitere Informationen finden Sie unter Aktionen zum Beenden von Firewall-Filtern. |
Unendlich |
Führt andere Funktionen für ein Paket aus (z. B. das Erhöhen eines Zählers, das Protokollieren von Informationen über den Paketheader, das Sampling der Paketdaten oder das Senden von Informationen an einen Remotehost mithilfe der Systemprotokollfunktion), aber alle zusätzlichen Begriffe werden verwendet, um das Paket zu untersuchen. |
Alle nicht beendenden Aktionen enthalten eine implizite Annahmeaktion. Diese Annahmeaktion wird ausgeführt, wenn im selben Begriff keine andere Abbruchaktion konfiguriert ist. Weitere Informationen finden Sie unter Nicht terminierende Aktionen für Firewall-Filter. |
Flusskontrolle |
Nur bei Standard-Firewall-Filtern weist die Wenn Sie z. B. einen Begriff mit der Aktion |
Sie können die Pro Standard-Firewall-Filterkonfiguration werden maximal 1024 HINWEIS:
Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden |