Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vergleich von Routing-Richtlinien und Firewall-Filtern

Obwohl Routing-Richtlinien und Firewall-Filter eine gemeinsame Architektur haben, unterscheiden sich ihre Zwecke, Implementierung und Konfiguration. Tabelle 1 beschreibt ihren Zweck. Tabelle 2 Vergleicht die Implementierungsdetails für Routing-Richtlinien und Firewall-Filter und hebt die Gemeinsamkeiten und Unterschiede in ihrer Konfiguration hervor.

Tabelle 1: Zweck von Routing-Richtlinien und Firewall-Filtern

Richtlinien

Quelle

Zweck der Richtlinie

Routing-Richtlinien

Routing-Informationen werden von internen Netzwerk-Peers generiert.

Um die Größe und den Inhalt der Routing-Tabellen zu steuern, welche Routen angekündigt werden und welche Routen als die besten angesehen werden, um verschiedene Ziele zu erreichen.

Firewall-Filter

Pakete werden von internen und externen Geräten generiert, über die feindliche Angriffe verübt werden können.

Zum Schutz Ihres Routers und Netzwerks vor übermäßigem eingehendem Datenverkehr oder feindlichen Angriffen, die den Netzwerkservice stören können, und um zu steuern, welche Pakete von welchen Routerschnittstellen weitergeleitet werden.

Tabelle 2: Unterschiede bei der Implementierung von Routing-Richtlinien und Firewall-Filtern

Richtlinienarchitektur

Implementierung von Routing-Richtlinien

Implementierung von Firewall-Filtern

Kontrollpunkte

Steuern Sie Routinginformationen, die in der Routing-Tabelle mit einer Import-Routing-Richtlinie platziert und von der Routing-Tabelle mit einer Export-Routing-Richtlinie angekündigt werden.

Steuerpakete, die auf einer Routerschnittstelle mit einem Eingangs-Firewall-Filter akzeptiert und von einer Schnittstelle mit einem Ausgabe-Firewall-Filter weitergeleitet werden.

Konfigurationsaufgaben:

  • Richtlinie definieren

  • Richtlinie anwenden

Definieren Sie eine Richtlinie, die Ausdrücke, Übereinstimmungsbedingungen und Aktionen enthält.

Wenden Sie eine oder mehrere Export- oder Importrichtlinien auf ein Routingprotokoll an. Sie können auch einen Richtlinienausdruck anwenden, der boolesche logische Operatoren mit mehreren Import- oder Exportrichtlinien verwendet.

Sie können auch eine oder mehrere Exportrichtlinien auf die Weiterleitungstabelle anwenden.

Definieren Sie eine Richtlinie, die Ausdrücke, Übereinstimmungsbedingungen und Aktionen enthält.

Wenden Sie einen Eingabe- oder Ausgabe-Firewallfilter auf eine physische Schnittstelle oder physische Schnittstellengruppe an, um Datenpakete zu filtern, die von einer physischen Schnittstelle empfangen oder an diese weitergeleitet werden (nur auf Routing-Plattformen mit einem anwendungsspezifischen integrierten Schaltkreis (ASIC) des Internetprozessors II).

Sie können auch einen Eingabe- oder Ausgabe-Firewall-Filter auf die Loopback-Schnittstelle der Routing-Plattform anwenden, bei der es sich um die Schnittstelle zur Routing-Engine (auf allen Routing-Plattformen) handelt. Auf diese Weise können Sie lokale Pakete filtern, die von der Routing-Engine empfangen oder weitergeleitet werden.

Bedingungen

Konfigurieren Sie beliebig viele Begriffe. Definieren Sie für jeden Begriff einen Namen.

Begriffe werden in der Reihenfolge ausgewertet, in der Sie sie angeben.

Die Auswertung einer Richtlinie endet, nachdem ein Paket die Kriterien in einem Begriff erfüllt und die definierte oder standardmäßige Richtlinienaktion "Akzeptieren" oder "Ablehnen" ausgeführt wurde. Die Route wird nicht anhand nachfolgender Begriffe in derselben Richtlinie oder nachfolgender Richtlinien ausgewertet.

Konfigurieren Sie beliebig viele Begriffe. Definieren Sie für jeden Begriff einen Namen.

Begriffe werden in der Reihenfolge ausgewertet, in der Sie sie angeben.

Die Auswertung eines Firewall-Filters endet, nachdem ein Paket die Kriterien in einem Begriff erfüllt und die definierte oder Standardaktion ausgeführt wurde. Das Paket wird nicht anhand nachfolgender Begriffe im Firewallfilter ausgewertet.

Spielbedingungen

Geben Sie null oder mehr Kriterien an, die eine Route erfüllen muss. Sie können Kriterien basierend auf Quelle, Ziel oder Eigenschaften einer Route angeben. Sie können auch die folgenden Übereinstimmungsbedingungen angeben, für die eine weitere Konfiguration erforderlich ist:

  • AS-Pfadausdruck (Autonomous System): Eine Kombination aus AS-Nummern und Operatoren für reguläre Ausdrücke.

  • Community: Eine Gruppe von Zielen, die sich ein gemeinsames Eigentum teilen.

  • Präfixliste: Eine benannte Liste von Präfixen.

  • Routenliste: Eine Liste von Zielpräfixen.

  • Unterroutine – Eine Routing-Richtlinie, die wiederholt von anderen Routing-Richtlinien aufgerufen wird.

Geben Sie null oder mehr Kriterien an, die ein Paket erfüllen muss. Sie müssen verschiedene Felder im Header des Pakets abgleichen. Die Felder sind in die folgenden Kategorien unterteilt:

  • Numerische Werte, z. B. Port- und Protokollnummern.

  • Präfixwerte, z. B. IP-Quell- und Zielpräfixe.

  • Bitfeldwerte: Gibt an, ob bestimmte Bits in den Feldern festgelegt sind, z. B. IP-Optionen, TCP-Flags (Transmission Control Protocol) und IP-Fragmentierungsfelder. Sie können die Felder mit booleschen logischen Operatoren angeben.

Aktionen

Geben Sie null oder eine Aktion an, die ausgeführt werden soll, wenn eine Route alle Kriterien erfüllt. Sie können die folgenden Aktionen angeben:

  • Akzeptieren: Akzeptiert die Route in der Routing-Tabelle und gibt sie weiter. Nachdem diese Maßnahme ergriffen wurde, endet die Auswertung der nachfolgenden Bedingungen und Richtlinien.

  • Ablehnen: Akzeptieren Sie die Route nicht in der Routing-Tabelle, und geben Sie sie nicht weiter. Nachdem diese Maßnahme ergriffen wurde, endet die Auswertung der nachfolgenden Bedingungen und Richtlinien.

Zusätzlich zu den vorhergehenden Aktionen können Sie auch null oder mehr der folgenden Aktionstypen angeben:

  • Nächster Begriff: Wertet den nächsten Begriff in der Routingrichtlinie aus.

  • Nächste Richtlinie: Wertet die nächste Routing-Richtlinie aus.

  • Aktionen, die Merkmale bearbeiten, die einer Route zugeordnet sind, wenn das Routingprotokoll sie in der Routing-Tabelle platziert oder in der Routing-Tabelle ankündigt.

  • Trace-Aktion, die Routenübereinstimmungen protokolliert.

Geben Sie null oder eine Aktion an, die ausgeführt werden soll, wenn ein Paket alle Kriterien erfüllt. (Es wird empfohlen, eine Aktion immer explizit zu konfigurieren.) Sie können die folgenden Aktionen angeben:

  • Accept (Akzeptieren): Akzeptiert ein Paket.

  • Verwerfen: Verwirft ein Paket im Hintergrund, ohne eine ICMP-Nachricht zu senden.

  • Ablehnen: Verwirft ein Paket und sendet eine ICMP-Zielmeldung, dass das ICMP-Ziel nicht erreichbar ist.

  • Routing-Instanz: Geben Sie eine Routing-Tabelle an, an die Pakete weitergeleitet werden.

  • Nächster Begriff: Wertet den nächsten Begriff im Firewallfilter aus.

    HINWEIS:

    Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden .next term Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term

Zusätzlich zu Null oder den vorhergehenden Aktionen können Sie auch null oder mehr Aktionsmodifikatoren angeben. Sie können die folgenden Aktionsmodifikatoren angeben:

  • Count: Fügen Sie das Paket zu einer Zählsumme hinzu.

  • Weiterleitungsklasse: Legen Sie die Paketweiterleitungsklasse auf einen angegebenen Wert zwischen 0 und 3 fest.

  • IPsec-Sicherheitszuordnung: Geben Sie in Verbindung mit den Übereinstimmungsbedingungen für Quell- und Zieladresse eine IP Security (IPsec) Security Association (SA) für das Paket an.

  • Log: Speichern Sie die Header-Informationen eines Pakets in der Routing-Engine.

  • Loss priority (Verlustpriorität): Setzen Sie das PLP-Bit (Packet Loss Priority) auf einen bestimmten Wert, 0 oder 1.

  • Policer: Wenden Sie Verfahren zur Ratenbegrenzung auf den Datenverkehr an.

  • Sample: Stichprobendaten des Paketdatenverkehrs.

  • Syslog: Protokollieren Sie eine Warnung für das Paket.

Standardrichtlinien und -aktionen

Wenn eine eingehende oder ausgehende Route eintrifft und eine mit der Route verknüpfte Richtlinie nicht explizit konfiguriert ist, wird die in der Standardrichtlinie angegebene Aktion für das zugeordnete Routingprotokoll ausgeführt.

Die folgenden Standardaktionen gibt es für Routingrichtlinien:

  • Wenn eine Richtlinie keine Übereinstimmungsbedingung angibt, stimmen alle Routen mit der Richtlinie überein.

  • Wenn eine Übereinstimmung auftritt, die Richtlinie jedoch keine Annahme-, Ablehnungs-, nächste oder nächste Richtlinienaktion angibt, tritt eine der folgenden Aktionen ein:

    • Der nächste Term wird, falls vorhanden, ausgewertet.

    • Wenn keine anderen Begriffe vorhanden sind, wird die nächste Richtlinie ausgewertet.

    • Wenn keine anderen Richtlinien vorhanden sind, wird die in der Standardrichtlinie angegebene Aktion ausgeführt.

  • Wenn keine Übereinstimmung mit einem Begriff in einer Richtlinie auftritt und nachfolgende Begriffe in derselben Richtlinie vorhanden sind, wird der nächste Begriff ausgewertet.

  • Wenn keine Übereinstimmung mit Ausdrücken in einer Richtlinie auftritt und nachfolgende Richtlinien vorhanden sind, wird die nächste Richtlinie ausgewertet.

  • Wenn am Ende einer Richtlinie keine Übereinstimmung auftritt und keine anderen Richtlinien vorhanden sind, wird die in der Standardrichtlinie angegebene Aktion zum Akzeptieren oder Ablehnen ausgeführt.

Wenn ein eingehendes oder ausgehendes Paket auf einer Schnittstelle eintrifft und kein Firewallfilter für die Schnittstelle konfiguriert ist, wird die Standardrichtlinie übernommen (das Paket wird akzeptiert).

Die folgenden Standardaktionen gibt es für Firewallfilter:

  • Wenn ein Firewallfilter keine Übereinstimmungsbedingung angibt, werden alle Pakete als übereinstimmend betrachtet.

  • Wenn eine Übereinstimmung auftritt, der Firewallfilter jedoch keine Aktion angibt, wird das Paket akzeptiert.

  • Wenn eine Übereinstimmung auftritt, wird die definierte oder Standardaktion ausgeführt und die Auswertung beendet. Nachfolgende Begriffe im Firewallfilter werden nicht ausgewertet, es sei denn, die Aktion ist angegeben.next term

    HINWEIS:

    Kann unter Junos OS Evolved nicht als letzter Begriff der Aktion angezeigt werden .next term Ein Filterbegriff, bei dem als Aktion angegeben, aber keine Übereinstimmungsbedingungen konfiguriert sind, wird nicht unterstützt.next term

  • Wenn keine Übereinstimmung mit einem Begriff in einem Firewallfilter auftritt und nachfolgende Begriffe im selben Filter vorhanden sind, wird der nächste Begriff ausgewertet.

  • Wenn bis zum Ende eines Firewallfilters keine Übereinstimmung auftritt, wird das Paket verworfen.