Übereinstimmungsbedingungen für Firewall-Filter basierend auf Adressfeldern
Sie können Übereinstimmungsbedingungen für Firewallfilter konfigurieren, die Paketadressfelder – IPv4-Quell- und Zieladressen, IPv6-Quell- und Zieladressen oder MAC-Quell- und Zieladressen (Media Access Control) – anhand bestimmter Adressen oder Präfixwerte auswerten.
Implizite Übereinstimmung mit der Adresse "0/0 außer" für Firewall-Filterübereinstimmungsbedingungen basierend auf Adressfeldern
Jede Übereinstimmungsbedingung für Firewallfilter, die auf einem Satz von Adressen oder Adresspräfixen basiert, ist mit einer impliziten Übereinstimmung der Adresse 0.0.0.0/0 except (für IPv4- oder VPLS-Datenverkehr) oder 0:0:0:0:0:0:0:0/0 except (für IPv6-Datenverkehr) verknüpft. Daher stimmt jedes Paket, dessen angegebenes Adressfeld mit keiner der angegebenen Adressen oder Adresspräfixe übereinstimmt, nicht mit der gesamten Laufzeit überein.
Zuordnen eines Adressfelds zu einer Subnetzmaske oder einem Subfix
Sie können eine einzelne Übereinstimmungsbedingung angeben, um eine Quell- oder Zieladresse abzugleichen, die in ein bestimmtes Adresspräfix fällt.
- IPv4-Subnetzmasken-Notation
- Präfix-Notation
- Standardpräfixlänge für IPv4-Adressen
- Standardpräfixlänge für IPv6-Adressen
- Standardpräfixlänge für MAC-Adressen
IPv4-Subnetzmasken-Notation
Für eine IPv4-Adresse können Sie anstelle einer Präfixlänge einen Subnetzmaskenwert angeben. Beispiele:
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
Präfix-Notation
Um das Adresspräfix anzugeben, verwenden Sie die Notation prefix/prefix-length. Im folgenden Beispiel tritt eine Übereinstimmung auf, wenn eine Zieladresse mit dem Präfix 10.0.0.0/8übereinstimmt:
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
Standardpräfixlänge für IPv4-Adressen
Wenn Sie keine IPv4-Adresse angeben /prefix-length , ist die Präfixlänge standardmäßig . /32 Das folgende Beispiel veranschaulicht den Standardpräfixwert:
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
Standardpräfixlänge für IPv6-Adressen
Wenn Sie keine IPv6-Adresse angeben /prefix-length , ist die Präfixlänge standardmäßig . /128 Das folgende Beispiel veranschaulicht den Standardpräfixwert:
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
Standardpräfixlänge für MAC-Adressen
Wenn Sie keine MAC-Adresse (Media Access Control) eines VPLS-, Layer-2-CCC- oder Layer- 2 -Bridging-Pakets angeben /prefix-length , wird die Präfixlänge standardmäßig auf . /48 Das folgende Beispiel veranschaulicht den Standardpräfixwert:
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
Abgleichen eines Adressfelds mit einem ausgeschlossenen Wert
Für die Übereinstimmungsbedingungen zwischen Adresse und Feld können Sie das except Schlüsselwort angeben, um anzugeben, dass eine Übereinstimmung für ein Adressfeld auftritt, das nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
- Ausschließen von IP-Adressen im IPv4- oder IPv6-Datenverkehr
- Ausschließen von IP-Adressen in VPLS- oder Layer 2-Bridging-Datenverkehr
- Ausschließen von MAC-Adressen in VPLS- oder Layer 2-Bridging-Datenverkehr
- Der Ausschluss aller Adressen erfordert eine explizite Übereinstimmung mit der '0/0'-Adresse
Ausschließen von IP-Adressen im IPv4- oder IPv6-Datenverkehr
Für die folgenden IPv4- und IPv6-Übereinstimmungsbedingungen können Sie das except Schlüsselwort angeben, um anzugeben, dass eine Übereinstimmung für ein IP-Adressfeld auftritt, das nicht mit der angegebenen IP-Adresse oder dem angegebenen Präfix übereinstimmt:
address address except—Eine Übereinstimmung tritt auf, wenn entweder die Quell-IP-Adresse oder die Ziel-IP-Adresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
source-address address except—Eine Übereinstimmung tritt auf, wenn die Quell-IP-Adresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
destination-address address except—Eine Übereinstimmung tritt auf, wenn die Ziel-IP-Adresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
Im folgenden Beispiel findet eine Übereinstimmung für alle IPv4-Zieladressen statt, die unter das Präfix fallen, mit Ausnahme von Adressen, die 172.0.0.0/8 unter 172.16.0.0/16. Alle anderen Adressen entsprechen implizit nicht dieser Bedingung.
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set destination-address 172.16.0.0/16 except
user@host# set destination-address 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
Im folgenden Beispiel findet eine Übereinstimmung für jede IPv4-Zieladresse statt, die nicht in das Präfix 10.1.1.0/24fällt:
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
Ausschließen von IP-Adressen in VPLS- oder Layer 2-Bridging-Datenverkehr
Nur für die folgenden VPLS- und Layer 2-Bridging-Übereinstimmungsbedingungen auf Routern der MX- Serie können Sie das except Schlüsselwort angeben, um anzugeben, dass eine Übereinstimmung für ein IP-Adressfeld auftritt, das nicht mit der angegebenen IP-Adresse oder dem angegebenen Präfix übereinstimmt:
ip-address address except—Eine Übereinstimmung tritt auf, wenn entweder die Quell-IP-Adresse oder die Ziel-IP-Adresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
source-ip-address address except—Eine Übereinstimmung tritt auf, wenn die Quell-IP-Adresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
destination-ip-address address except—Eine Übereinstimmung tritt auf, wenn die Ziel-IP-Adresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
Im folgenden Beispiel zum Filtern des VPLS-Datenverkehrs auf einem Router der MX- Serie kommt es zu einer Übereinstimmung, wenn die Quell-IP-Adresse in den Ausnahmebereich von 55.0.1.0/255.0.255.0 fällt und die Ziel-IP-Adresse übereinstimmt 5172.16.5.0/8:
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
Ausschließen von MAC-Adressen in VPLS- oder Layer 2-Bridging-Datenverkehr
Für die folgenden Übereinstimmungsbedingungen für VPLS- oder Layer- 2-Bridging-Datenverkehr können Sie das except Schlüsselwort angeben, um anzugeben, dass eine Übereinstimmung für ein MAC-Adressfeld auftritt, das nicht mit der angegebenen MAC-Adresse oder dem angegebenen Präfix übereinstimmt:
source-mac-address address except—Eine Übereinstimmung tritt auf, wenn die Quell-MAC-Adresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
destination-mac-address address except—Eine Übereinstimmung tritt auf, wenn entweder die MAC-Zieladresse nicht mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
Der Ausschluss aller Adressen erfordert eine explizite Übereinstimmung mit der '0/0'-Adresse
Wenn Sie eine Übereinstimmungsbedingung für Firewallfilter angeben, die aus einer oder mehreren Übereinstimmungsbedingungen fürAdressausnahmen (Adressübereinstimmungsbedingungen, die das except Schlüsselwort verwenden), aber keine übereinstimmenden Adressübereinstimmungsbedingungen besteht, schlagen Pakete, die mit keinem der konfigurierten Präfixe übereinstimmen, den Gesamtabgleichsvorgang fehl. Wenn Sie einen Firewallfilterbegriff für Adressausnahmeübereinstimmungsbedingungen so konfigurieren möchten, dass er mit einer Adresse übereinstimmt, die nicht in der Präfixliste enthalten ist, schließen Sie eine explizite Übereinstimmung von 0/0 ein, damit der Begriff eine übereinstimmende Adresse enthält.
Beim folgenden Beispiel für einen Firewallfilter für IPv4-Datenverkehr kann der Begriff übereinstimmenden from-trusted-addresses Datenverkehr nicht verwerfen, und der INTRUDERS-COUNT Zähler fehlt in der Ausgabe des show firewall Befehls für den Betriebsmodus:
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
Damit ein Filterbegriff von Adressausnahme-Übereinstimmungsbedingungen mit einer Adresse übereinstimmt, die nicht in der Präfixliste enthalten ist, fügen Sie eine explizite Übereinstimmung von 0/0 in den Satz von Übereinstimmungsbedingungen ein:
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-address {
0.0.0.0/0;
}
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
Durch Hinzufügen der 0.0.0.0/0 Quellpräfixadresse zur Übereinstimmungsbedingung verwirft der Begriff übereinstimmenden from-trusted-addresses Datenverkehr, und der INTRUDERS-COUNT-Zähler wird in der Ausgabe des Befehls für den show firewall Betriebsmodus angezeigt:
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
Abgleichen eines der IP-Adressfelder mit einem einzelnen Wert
Nur für IPv4- und IPv6-Datenverkehr sowie für VPLS- und Layer-2-Bridging-Datenverkehr auf Routern der MX-Serie können Sie eine einzelne Übereinstimmungsbedingung verwenden, um eine einzelne Adresse oder einen Präfixwert entweder mit dem Quell- oder dem Ziel-IP-Adressfeld abzugleichen.
- Übereinstimmung mit einem IP-Adressfeld im IPv4- oder IPv6-Datenverkehr
- Übereinstimmung mit dem IP-Adressfeld in VPLS oder Layer 2 Bridging Traffic
Übereinstimmung mit einem IP-Adressfeld im IPv4- oder IPv6-Datenverkehr
Für IPv4- oder IPv6-Datenverkehr können Sie eine einzelne Übereinstimmungsbedingung verwenden, um denselben Adress- oder Präfixwert wie die Übereinstimmung für das Quell- oder Ziel-IP-Adressfeld anzugeben. Anstatt separate Filterbegriffe zu erstellen, die dieselbe Adresse für die source-address Übereinstimmungsbedingungen und destination-address angeben, verwenden Sie nur die Übereinstimmungsbedingung address . Eine Übereinstimmung tritt auf, wenn entweder die Quell-IP-Adresse oder die Ziel-IP-Adresse mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
Wenn Sie das except Schlüsselwort mit der address Übereinstimmungsbedingung verwenden, tritt eine Übereinstimmung auf, wenn sowohl die Quell-IP-Adresse als auch die Ziel-IP-Adresse mit dem angegebenen Wert übereinstimmen, bevor die Ausnahme angewendet wird.
In einem Firewallfilterbegriff, der entweder die Übereinstimmungsbedingung source-address oder die destination-address Übereinstimmungsbedingung angibt, können Sie nicht auch die address Übereinstimmungsbedingung angeben.
Übereinstimmung mit dem IP-Adressfeld in VPLS oder Layer 2 Bridging Traffic
Nur für VPLS- oder Layer-2-Bridging-Datenverkehr auf Routern der MX-Serie können Sie eine einzelne Übereinstimmungsbedingung verwenden, um dieselbe Adresse oder denselben Präfixwert wie die Übereinstimmung für das Quell- oder Ziel-IP-Adressfeld anzugeben. Anstatt separate Filterbegriffe zu erstellen, die dieselbe Adresse für die source-ip-address Übereinstimmungsbedingungen und destination-ip-address angeben, verwenden Sie nur die Übereinstimmungsbedingung ip-address . Eine Übereinstimmung tritt auf, wenn entweder die Quell-IP-Adresse oder die Ziel-IP-Adresse mit der angegebenen Adresse oder dem angegebenen Präfix übereinstimmt.
Wenn Sie das except Schlüsselwort mit der ip-address Übereinstimmungsbedingung verwenden, tritt eine Übereinstimmung auf, wenn sowohl die Quell-IP-Adresse als auch die Ziel-IP-Adresse mit dem angegebenen Wert übereinstimmen, bevor die Ausnahme angewendet wird.
In einem Firewallfilterbegriff, der entweder die Übereinstimmungsbedingung source-ip-address oder die destination-ip-address Übereinstimmungsbedingung angibt, können Sie nicht auch die ip-address Übereinstimmungsbedingung angeben.
Abgleichen eines Adressfelds mit nicht zusammenhängenden Präfixen
Geben Sie nur für IPv4-Datenverkehr eine einzelne Übereinstimmungsbedingung an, um das Feld für die IP-Quell- oder Zieladresse mit einem beliebigen Präfix abzugleichen. Die Präfixe müssen nicht zusammenhängend sein. Das heißt, die Präfixe unter der source-address Übereinstimmungsbedingung "oder destination-address " müssen nicht benachbart oder benachbart zueinander sein.
Im folgenden Beispiel tritt eine Übereinstimmung auf, wenn eine Zieladresse entweder mit dem 10.0.0.0/8 Präfix oder dem 192.168.0.0/32 Präfix übereinstimmt:
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
Die Reihenfolge, in der Sie die Präfixe innerhalb der Übereinstimmungsbedingung angeben, ist nicht von Bedeutung. Pakete werden anhand aller Präfixe in der Übereinstimmungsbedingung ausgewertet, um zu bestimmen, ob eine Übereinstimmung auftritt. Wenn sich Präfixe überschneiden, werden Regeln für die längste Übereinstimmung verwendet, um zu bestimmen, ob eine Übereinstimmung auftritt. Eine Übereinstimmungsbedingung von nicht zusammenhängenden Präfixen enthält eine implizite 0/0 except Anweisung, was bedeutet, dass jedes Präfix, das nicht mit einem Präfix übereinstimmt, das in der Übereinstimmungsbedingung enthalten ist, explizit als nicht übereinstimmend betrachtet wird.
Da die Präfixe reihenfolgeunabhängig sind und Regeln für längste Übereinstimmungen verwenden, subsumieren längere Präfixe kürzere, solange sie vom gleichen Typ sind (unabhängig davon, ob Sie angeben except oder nicht). Dies liegt daran, dass alles, was mit dem längeren Präfix übereinstimmt, auch mit dem kürzeren übereinstimmt.
Betrachten Sie das folgende Beispiel:
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
Innerhalb der source-address Übereinstimmungsbedingung werden zwei Adressen ignoriert. Der 172.16.3.0/16 Wert wird ignoriert, da er unter die Adresse 172.16.0.0/10fällt, die vom gleichen Typ ist. Der 10.2.2.2 except Wert wird ignoriert, da er durch den impliziten 0.0.0.0/0 except Übereinstimmungswert subsumiert wird.
Angenommen, die folgende Quell-IP-Adresse wird von diesem Firewallfilter ausgewertet:
Quell-IP-Adresse 172.16.1.2—Diese Adresse stimmt mit dem 172.16.0.0/10 Präfix überein, und daher wird die Aktion in der then Anweisung ausgeführt.
Quell-IP-Adresse 172.16.2.2—Diese Adresse stimmt mit dem 172.16.2.0/24 Präfix überein. Da dieses Präfix negiert wird (d. h. das except Schlüsselwort enthält), tritt eine explizite Diskrepanz auf. Der nächste Begriff im Filter wird ausgewertet, falls vorhanden. Wenn keine Begriffe mehr vorhanden sind, wird das Paket verworfen.
Quell-IP-Adresse 10.1.2.3—Diese Adresse stimmt mit keinem der in der Bedingung source-address enthaltenen Präfixe überein. Stattdessen stimmt es mit dem impliziten Wert 0.0.0.0/0 except am Ende der Liste der Präfixe überein, die unter der source-address Übereinstimmungsbedingung konfiguriert sind, und wird als Nichtübereinstimmung betrachtet.
Die 172.16.3.0/24 Anweisung wird ignoriert, da sie unter die Adresse 172.16.0.0/10fällt – beide sind vom gleichen Typ.
Die 10.2.2.2 except Anweisung wird ignoriert, da sie von der impliziten 0.0.0.0/0 except Anweisung am Ende der Liste der Präfixe subsumiert wird, die unter der source-address Übereinstimmungsbedingung konfiguriert sind.
Wenn ein Firewallfilterbegriff die from address address Übereinstimmungsbedingung und ein nachfolgender Begriff die from source-address address Übereinstimmungsbedingung für dieselbe Adresse enthält, können Pakete von letzterem Begriff verarbeitet werden, bevor sie von dazwischenliegenden Begriffen ausgewertet werden. Infolgedessen können Pakete, die von den dazwischenliegenden Bedingungen abgelehnt werden sollten, stattdessen akzeptiert werden, oder Pakete, die akzeptiert werden sollten, könnten stattdessen abgelehnt werden.
Um dies zu verhindern, empfehlen wir Folgendes. Ersetzen Sie für jeden Firewallfilterbegriff, der die from address address Übereinstimmungsbedingung enthält, diesen Begriff durch zwei separate Begriffe: eine, die die from source-address address Übereinstimmungsbedingung enthält, und eine andere, die die from destination-address address Übereinstimmungsbedingung enthält.
Abgleichen eines Adressfelds mit einer Präfixliste
Sie können eine Liste von IPv4- oder IPv6-Adresspräfixen definieren, die in einer Routingrichtlinienanweisung oder in einer zustandslosen Firewallfilterübereinstimmungsbedingung verwendet werden sollen, die Paketadressfelder auswertet.
Um eine Liste von IPv4- oder IPv6-Adresspräfixen zu definieren, schließen Sie die prefix-list prefix-list Anweisung ein.
prefix-list name {
ip-addresses;
apply-path path;
}
Sie können die Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Nachdem Sie eine Präfixliste definiert haben, können Sie sie verwenden, wenn Sie eine Übereinstimmungsbedingung für Firewallfilter basierend auf einem IPv4- oder IPv6-Adresspräfix angeben.
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}