Vergleich von Routing-Richtlinien und Firewall-Filtern
Obwohl Routing-Richtlinien und Firewall-Filter eine gemeinsame Architektur haben, unterscheiden sich ihre Zwecke, Implementierung und Konfiguration. Tabelle 1 beschreibt ihren Zweck. Tabelle 2 Vergleicht die Implementierungsdetails für Routing-Richtlinien und Firewall-Filter und hebt die Gemeinsamkeiten und Unterschiede in ihrer Konfiguration hervor.
Richtlinien |
Quelle |
Zweck der Richtlinie |
---|---|---|
Routing-Richtlinien |
Routing-Informationen werden von internen Netzwerk-Peers generiert. |
Um die Größe und den Inhalt der Routing-Tabellen zu steuern, welche Routen angekündigt werden und welche Routen als die besten angesehen werden, um verschiedene Ziele zu erreichen. |
Firewall-Filter |
Pakete werden von internen und externen Geräten generiert, über die feindliche Angriffe verübt werden können. |
Zum Schutz Ihres Routers und Netzwerks vor übermäßigem eingehendem Datenverkehr oder feindlichen Angriffen, die den Netzwerkservice stören können, und um zu steuern, welche Pakete von welchen Routerschnittstellen weitergeleitet werden. |
Richtlinienarchitektur |
Implementierung von Routing-Richtlinien |
Implementierung von Firewall-Filtern |
---|---|---|
Kontrollpunkte |
Steuern Sie Routinginformationen, die in der Routing-Tabelle mit einer Import-Routing-Richtlinie platziert und von der Routing-Tabelle mit einer Export-Routing-Richtlinie angekündigt werden. |
Steuerpakete, die auf einer Routerschnittstelle mit einem Eingangs-Firewall-Filter akzeptiert und von einer Schnittstelle mit einem Ausgabe-Firewall-Filter weitergeleitet werden. |
Konfigurationsaufgaben:
|
Definieren Sie eine Richtlinie, die Ausdrücke, Übereinstimmungsbedingungen und Aktionen enthält. Wenden Sie eine oder mehrere Export- oder Importrichtlinien auf ein Routingprotokoll an. Sie können auch einen Richtlinienausdruck anwenden, der boolesche logische Operatoren mit mehreren Import- oder Exportrichtlinien verwendet. Sie können auch eine oder mehrere Exportrichtlinien auf die Weiterleitungstabelle anwenden. |
Definieren Sie eine Richtlinie, die Ausdrücke, Übereinstimmungsbedingungen und Aktionen enthält. Wenden Sie einen Eingabe- oder Ausgabe-Firewallfilter auf eine physische Schnittstelle oder physische Schnittstellengruppe an, um Datenpakete zu filtern, die von einer physischen Schnittstelle empfangen oder an diese weitergeleitet werden (nur auf Routing-Plattformen mit einem anwendungsspezifischen integrierten Schaltkreis (ASIC) des Internetprozessors II). Sie können auch einen Eingabe- oder Ausgabe-Firewall-Filter auf die Loopback-Schnittstelle der Routing-Plattform anwenden, bei der es sich um die Schnittstelle zur Routing-Engine (auf allen Routing-Plattformen) handelt. Auf diese Weise können Sie lokale Pakete filtern, die von der Routing-Engine empfangen oder weitergeleitet werden. |
Bedingungen |
Konfigurieren Sie beliebig viele Begriffe. Definieren Sie für jeden Begriff einen Namen. Begriffe werden in der Reihenfolge ausgewertet, in der Sie sie angeben. Die Auswertung einer Richtlinie endet, nachdem ein Paket die Kriterien in einem Begriff erfüllt und die definierte oder standardmäßige Richtlinienaktion "Akzeptieren" oder "Ablehnen" ausgeführt wurde. Die Route wird nicht anhand nachfolgender Begriffe in derselben Richtlinie oder nachfolgender Richtlinien ausgewertet. |
Konfigurieren Sie beliebig viele Begriffe. Definieren Sie für jeden Begriff einen Namen. Begriffe werden in der Reihenfolge ausgewertet, in der Sie sie angeben. Die Auswertung eines Firewall-Filters endet, nachdem ein Paket die Kriterien in einem Begriff erfüllt und die definierte oder Standardaktion ausgeführt wurde. Das Paket wird nicht anhand nachfolgender Begriffe im Firewallfilter ausgewertet. |
Spielbedingungen |
Geben Sie null oder mehr Kriterien an, die eine Route erfüllen muss. Sie können Kriterien basierend auf Quelle, Ziel oder Eigenschaften einer Route angeben. Sie können auch die folgenden Übereinstimmungsbedingungen angeben, für die eine weitere Konfiguration erforderlich ist:
|
Geben Sie null oder mehr Kriterien an, die ein Paket erfüllen muss. Sie müssen verschiedene Felder im Header des Pakets abgleichen. Die Felder sind in die folgenden Kategorien unterteilt:
|
Aktionen |
Geben Sie null oder eine Aktion an, die ausgeführt werden soll, wenn eine Route alle Kriterien erfüllt. Sie können die folgenden Aktionen angeben:
Zusätzlich zu den vorhergehenden Aktionen können Sie auch null oder mehr der folgenden Aktionstypen angeben:
|
Geben Sie null oder eine Aktion an, die ausgeführt werden soll, wenn ein Paket alle Kriterien erfüllt. (Es wird empfohlen, eine Aktion immer explizit zu konfigurieren.) Sie können die folgenden Aktionen angeben:
Zusätzlich zu Null oder den vorhergehenden Aktionen können Sie auch null oder mehr Aktionsmodifikatoren angeben. Sie können die folgenden Aktionsmodifikatoren angeben:
|
Standardrichtlinien und -aktionen |
Wenn eine eingehende oder ausgehende Route eintrifft und eine mit der Route verknüpfte Richtlinie nicht explizit konfiguriert ist, wird die in der Standardrichtlinie angegebene Aktion für das zugeordnete Routingprotokoll ausgeführt. Die folgenden Standardaktionen gibt es für Routingrichtlinien:
|
Wenn ein eingehendes oder ausgehendes Paket auf einer Schnittstelle eintrifft und kein Firewallfilter für die Schnittstelle konfiguriert ist, wird die Standardrichtlinie übernommen (das Paket wird akzeptiert). Die folgenden Standardaktionen gibt es für Firewallfilter:
|