Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Firewall-Filtern (CLI-Prozedur)

Sie konfigurieren Firewall-Filter auf Switches der EX-Serie zur Steuerung des Datenverkehrs, der in Ports auf dem Switch eingeht oder VLANs im Netzwerk und Layer-3-Schnittstellen (geroutet) eingibt und beendet. Um einen Firewall-Filter zu konfigurieren, müssen Sie den Filter konfigurieren und ihn dann auf eine Port-, VLAN- oder Layer-3-Schnittstelle anwenden.

Konfigurieren eines Firewall-Filters

Bevor Sie einen Firewall-Filter auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle anwenden können, müssen Sie einen Firewall-Filter mit den erforderlichen Details konfigurieren, z. B. Familientyp für den Firewall-Filter, Name des Firewall-Filters und Übereinstimmungsbedingungen. Eine Übereinstimmungsbedingung in der Firewall-Filterkonfiguration kann mehrere Begriffe enthalten, die die Kriterien für die Übereinstimmungsbedingung definieren. Für jeden Begriff müssen Sie eine Aktion angeben, die ausgeführt werden soll, wenn ein Paket mit den Bedingungen des Begriffs übereinstimmt. Informationen zu verschiedenen Übereinstimmungsbedingungen und -aktionen finden Sie unter Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie.

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Adresstyp der Produktfamilie für den Firewall-Filter:
    • Für einen Firewall-Filter, der auf einen Port oder ein VLAN angewendet wird, geben Sie den Adresstyp ethernet-switching der Familie an, der Layer-2-Pakete (Ethernet) und Layer-3-Pakete (IP) filtern soll, z. B.:

    • Für einen Firewall-Filter, der auf eine Layer-3-Schnittstelle (Routing) angewendet wird:

      • Zum Filtern von IPv4-Paketen geben Sie z. B. den Adresstyp inetder Familie an:

      • Zum Filtern von IPv6-Paketen geben Sie z. B. den Adresstyp inet6der Familie an:

      Anmerkung:

      Sie können Firewall-Filter für IPv4- und IPv6-Datenverkehr auf derselben Layer 3-Schnittstelle konfigurieren.

  2. Geben Sie den Filternamen an:

    Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und maximal 64 Zeichen aufweisen. Jeder Filtername muss eindeutig sein.

  3. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen anwenden und die einzelnen Firewall-Zähler spezifisch für jede Schnittstelle benennen möchten, konfigurieren Sie die interface-specific Option:
  4. Einen Begriffnamen angeben:

    Der Begriff Name kann Buchstaben, Zahlen und Bindestriche (-) enthalten und maximal 64 Zeichen haben.

    Ein Firewall-Filter kann einen oder mehrere Begriffe enthalten. Jeder Begriffname muss innerhalb eines Filters eindeutig sein.

    Anmerkung:

    Die maximale Anzahl der pro Firewall-Filter zulässigen Bedingungen für Switches der EX-Serie lautet:

    • 512 für EX2200-Switches

    • 1.436 für EX3300-Switches

      Anmerkung:

      Wenn Sie auf EX3300-Switches Im selben Commit-Vorgang Filter mit einer großen Anzahl von Bedingungen (in der Reihenfolge von 1000 oder mehr) hinzufügen und löschen, sind nicht alle Filter installiert. Sie müssen in einem Commit-Vorgang Filter hinzufügen und Filter in einem separaten Commit-Vorgang löschen.

    • 7.168 für EX3200- und EX4200-Switches

    • Auf EX4300-Switches werden die folgenden Begriffe für eingehenden und ausgehenden Datenverkehr unterstützt, für Firewall-Filer, die auf einem Port, VLAN und layer 3-Schnittstelle konfiguriert sind:

      • Für eingehenden Datenverkehr:

        • 3.500 Begriffe für Firewall-Filter, die an einem Port konfiguriert sind

        • 3.500 Begriffe für Firewall-Filter, die auf einem VLAN konfiguriert sind

        • 7.000 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

        • 3.500 Begriffe für Firewall-Filer, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      • Für ausgehenden Datenverkehr:

        • 512 Begriffe für Firewall-Filter, die an einem Port konfiguriert sind

        • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

        • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

        • 512 Begriffe für Firewall-Filer, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      Anmerkung:

      Sie können diese maximale Anzahl von Begriffen nur konfigurieren, wenn Sie einen Firewall-Filtertyp (Port, VLAN oder Router (Layer 3) Firewall-Filter) auf dem Switch konfigurieren und wenn die Sturmkontrolle nicht auf allen Schnittstellen im Switch aktiviert ist.

    • 1.200 für EX4500- und EX4550-Switches

    • 1.400 für EX6200-Switches

    • 32.768 für EX8200-Switches

    Wenn Sie versuchen, einen Firewall-Filter zu konfigurieren, der diese Grenzwerte überschreitet, gibt der Switch beim Commit der Konfiguration eine Fehlermeldung zurück.

  5. Geben Sie für jeden Firewall-Filterbegriff die Übereinstimmungsbedingung(n) an, die Sie einbeziehen möchten. Das folgende Beispiel zeigt, wie Pakete von einer bestimmten IP-Adresse und einem port übereinstimmen:

    Sie können mindestens eine Übereinstimmungsbedingung in einer einzigen from Anweisung angeben. Damit eine Übereinstimmung auftritt, muss das Paket mit allen Bedingungen des Begriffs übereinstimmen.

    Die from Anweisung ist optional, aber wenn sie in einem Begriff enthalten ist, kann die from Anweisung nicht leer sein. Wenn Sie die from Anweisung weglassen, werden alle Pakete als übereinstimmend angesehen.

  6. Geben Sie für jeden Firewallfilterbegriff die zu ergreifenden Aktionen an, wenn das Paket allen Bedingungen in diesem Begriff entspricht.

    Sie können Aktionen und/oder Aktionsmodifizierer angeben:

    • Um eine Filteraktion anzugeben, beispielsweise um Pakete zu verwerfen, die den Bedingungen des Filterbegriffs entsprechen:

      Pro Filterbegriff können Sie nicht mehr als eine Aktion angeben.

    • So geben Sie beispielsweise einen Aktionsmodifizierer an, um Pakete in einer Weiterleitungsklasse zu zählen und zu klassifizieren:

      In einer then Anweisung können Sie die folgenden Aktionsmodifikatoren angeben:

      • analyzer analyzer-name– Spiegelung des Portdatenverkehrs zu einem angegebenen Zielport oder VLAN, das mit einer Protokollanalyseanwendung verbunden ist. Ein analyzer muss unter dem Adresstyp der ethernet-switching Familie konfiguriert werden. Siehe Konfigurieren der Portspiegelung zur Datenverkehrsanalyse (CLI-Prozedur).

      • count counter-name— Anzahl der Pakete, die diesen Filterbegriff passieren.

        Anmerkung:

        Wir empfehlen, dass Sie für jeden Begriff einen Zähler in einem Firewall-Filter konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen entsprechen.

      • forwarding-class class— Klassifizieren Sie Pakete in einer Weiterleitungsklasse.

      • loss-priority priority— Legen Sie die Priorität für das Ablegen eines Pakets fest.

      • policer policer-name— Begrenzung der Übertragungsrate auf den Datenverkehr anwenden.

      • interface interface-name— Leiten Sie den Datenverkehr an die angegebene Schnittstelle weiter und umgehen Sie die Switching-Suche.

      • log— Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine.

    Wenn Sie die then Anweisung auslassen oder keine Aktion angeben, werden Pakete akzeptiert, die alle Bedingungen in der from Anweisung erfüllen. Sie müssen jedoch immer einen Aktions- und/oder Aktionsmodifizierer in der then Anweisung explizit konfigurieren. Sie können nicht mehr als eine Aktion enthalten, aber Sie können eine beliebige Kombination von Aktionsmodifikatoren verwenden. Damit eine Aktion oder ein Action Modifier wirksam wird, müssen alle Bedingungen in der from Anweisung übereinstimmen.

    Anmerkung:

    Implizites Verwerfen gilt auch für einen Firewall-Filter, der auf die Loopback-Schnittstelle angewendet wird, lo0.

    Bei Ethernet-Switches der EX8200-Serie von Juniper Networks, die implizite oder explizite discard Aktionen auf einer Loopback-Schnittstelle für IPv4-Datenverkehr konfigurieren, werden Next-Hop-Resolve-Pakete akzeptiert und dürfen den Switch passieren. Für IPv6-Datenverkehr müssen Sie jedoch eine Regel explizit konfigurieren, damit die IPv6-Resolve-Pakete des nächsten Hops den Switch passieren können.

Einen Begriff speziell für IPv4- oder IPv6-Datenverkehr konfigurieren

So konfigurieren Sie einen Begriff in einer Firewallfilterkonfiguration speziell für IPv4-Datenverkehr:

  1. Vergewissern Sie sich, dass weder ether-type ipv6ip-version ipv6 der Begriff in der Konfiguration noch der Begriff angegeben ist. Standardmäßig gilt eine Konfiguration, die weder eine noch ether-type ipv6ip-version ipv6 einen Begriff enthält, für IPv4-Datenverkehr.
  2. (Optional) Führen Sie eine dieser Aufgaben aus:
    • Definieren Sie ether-type ipv4 in einem Begriff in der Konfiguration.

    • Definieren Sie ip-version ipv4 in einem Begriff in der Konfiguration.

    • Definieren Sie sowohl als ip-version ipv4 auch ether-type ipv4 in einem Begriff in der Konfiguration.

    • Vergewissern Sie sich, dass weder ether-type ipv6ip-version ipv6 ein Begriff in der Konfiguration angegeben ist noch angegeben ist: Standardmäßig gilt eine Konfiguration, die weder ether-type ipv6 IPv4-Datenverkehr ip-version ipv6 enthält noch in einem Begriff enthält, wenn sie nicht enthalten ether-type ipv6 ist, oder ip-version ipv6.

  3. Stellen Sie sicher, dass andere Übereinstimmungsbedingungen des Begriffs für IPv4-Datenverkehr gültig sind.

So konfigurieren Sie einen Begriff in einer Firewallfilterkonfiguration speziell für IPv6-Datenverkehr:

  1. Führen Sie eine dieser Aufgaben aus:

    • Definieren Sie ether-type ipv6 in einem Begriff in der Konfiguration.

    • Definieren Sie ip-version ipv6 in einem Begriff in der Konfiguration.

    • Definieren Sie sowohl als ip-version ipv4 auch ether-type ipv6 in einem Begriff in der Konfiguration.

      Anmerkung:

      Standardmäßig gilt eine Konfiguration, die weder eine noch ether-type ipv6ip-version ipv6 einen Begriff enthält, für IPv4-Datenverkehr.

  2. Stellen Sie sicher, dass andere Übereinstimmungsbedingungen des Begriffs für IPv6-Datenverkehr gültig sind.

Anmerkung:

Wenn der Begriff eine der Übereinstimmungsbedingungen ether-type ipv6 oder ip-version ipv6, ohne dass eine andere IPv6-Übereinstimmungsbedingung angegeben ist, enthält, wird der gesamte IPv6-Datenverkehr zugeordnet.

Anmerkung:

Um einen Firewall-Filter für IPv4- und IPv6-Datenverkehr zu konfigurieren, müssen Sie zwei separate Begriffe enthalten, einen für IPv4-Datenverkehr und einen für IPv6-Datenverkehr.

Anwenden eines Firewallfilters auf einen Port auf einem Switch

Sie können einen Firewall-Filter auf einen Port auf einem Switch anwenden, um eingehenden oder ausgehenden Datenverkehr auf dem Switch zu filtern. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle in Denkbedingungen, Aktionen und Aktionsmodifizierern für Switches der EX-Serie angegebenen Übereinstimmungsbedingungs-, Aktions- und Aktionsmodifikatoren festlegen. Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die übereinstimmenden Pakete im eingehenden oder ausgehenden Datenverkehr an.

So wenden Sie einen Firewall-Filter auf einen Port an, um eingehenden oder ausgehenden Datenverkehr zu filtern:

Anmerkung:

Informationen zum Anwenden eines Firewallfilters auf eine Verwaltungsschnittstelle finden Sie unter Anwenden eines Firewallfilters auf eine Verwaltungsschnittstelle auf einem Switch

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine sinnvolle Beschreibung des Firewallfilters und der Schnittstelle an, auf die der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Geben Sie die Einheitennummer und den Adresstyp der Familie für die Schnittstelle an:

    Bei Firewall-Filtern, die auf Ports angewendet werden, muss der Adresstyp der Produktfamilie lauten ethernet-switching.

  3. So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die einen Port betreten:

    So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die einen Port verlassen:

    Anmerkung:

    Pro Port können Sie nicht mehr als einen Firewall-Filter pro Richtung anwenden.

Anwenden eines Firewallfilters auf eine Verwaltungsschnittstelle auf einem Switch

Sie können einen Firewall-Filter auf eine Verwaltungsschnittstelle konfigurieren und anwenden, um den Datenverkehr zu steuern, der die Schnittstelle auf einem Switch betritt oder verlässt. Sie können Dienstprogramme wie SSH oder Telnet verwenden, um eine Verbindung zur Verwaltungsschnittstelle über das Netzwerk herzustellen und dann Verwaltungsprotokolle wie SNMP zu verwenden, um statistische Daten vom Switch zu sammeln. Ähnlich wie bei der Konfiguration eines Firewall-Filters auf anderen Arten von Schnittstellen können Sie einen Firewall-Filter auf einer Verwaltungsschnittstelle mit allen Übereinstimmungsbedingungs-, Aktions- und Aktionsmodifizierern konfigurieren, die in Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie mit Ausnahme der folgenden Aktionsmodifikatoren angegeben sind:

  • loss-priority

  • forwarding-class

Sie können auf jedem Switch der EX-Serie einen Firewall-Filter auf die Management-Ethernet-Schnittstelle anwenden. Sie können auch einen Firewall-Filter auf die Virtual Management Ethernet (VME)-Schnittstelle auf dem EX4200-Switch anwenden. Weitere Informationen über die Management-Ethernet-Schnittstelle und die VME-Schnittstelle finden Sie unter Schnittstellenübersicht für Switches.

So wenden Sie einen Firewall-Filter auf der Verwaltungsschnittstelle an, um eingehenden oder ausgehenden Datenverkehr zu filtern:

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine sinnvolle Beschreibung des Firewallfilters und der Schnittstelle an, auf die der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Geben Sie die Einheitennummer und den Adresstyp der Familie für die Verwaltungsschnittstelle an:
    Anmerkung:

    Bei Firewall-Filtern, die auf Verwaltungsschnittstellen angewendet werden, kann der Adresstyp der Produktfamilie entweder inet oder .inet6

  3. So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die in eine Verwaltungsschnittstelle gelangen:

    So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die eine Verwaltungsschnittstelle verlassen:

    Anmerkung:

    Pro Verwaltungsschnittstelle können Sie nicht mehr als einen Firewall-Filter pro Richtung anwenden.

Anwenden eines Firewallfilters auf ein VLAN in einem Netzwerk

Sie können einen Firewall-Filter auf ein VLAN in einem Netzwerk anwenden, um den eingehenden oder ausgehenden Datenverkehr im Netzwerk zu filtern. Wenn Sie einen Firewall-Filter auf ein VLAN anwenden möchten, geben Sie den VLAN-Namen und die ID an, und wenden Sie den Firewall-Filter dann auf das VLAN an. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle in Denkbedingungen, Aktionen und Aktionsmodifizierern für Switches der EX-Serie angegebenen Übereinstimmungsbedingungs-, Aktions- und Aktionsmodifikatoren festlegen. Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die übereinstimmenden Pakete im eingehenden oder ausgehenden Datenverkehr an.

So wenden Sie einen Firewall-Filter auf ein VLAN an:

  1. Geben Sie den VLAN-Namen und die VLAN-ID an, und geben Sie eine sinnvolle Beschreibung des Firewallfilters und des VLANs an, auf das der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Anwenden von Firewall-Filtern zum Filtern von Paketen, die das VLAN betreten oder verlassen:
    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die in das VLAN gelangen:

      (Auf EX4300-Switches) So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die in das VLAN gelangen:

    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die das VLAN verlassen:

      (Auf EX4300-Switches) So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die das VLAN verlassen:

    Anmerkung:

    Pro VLAN können Sie nicht mehr als einen Firewall-Filter pro Richtung anwenden.

Anwenden eines Firewallfilters auf eine Layer-3-Schnittstelle (Routing)

Sie können einen Firewall-Filter auf eine Layer-3-Schnittstelle (geroutet) anwenden, um den eingehenden oder ausgehenden Datenverkehr auf dem Switch zu filtern. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle in Denkbedingungen, Aktionen und Aktionsmodifizierern für Switches der EX-Serie angegebenen Übereinstimmungsbedingungs-, Aktions- und Aktionsmodifikatoren festlegen. Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die übereinstimmenden Pakete im eingehenden oder ausgehenden Datenverkehr an.

So wenden Sie einen Firewall-Filter auf eine Layer-3-Schnittstelle auf einem Switch an:

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine sinnvolle Beschreibung des Firewallfilters und der Schnittstelle an, auf die der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Geben Sie die Einheitennummer, den Adresstyp der Familie und die Adresse für die Schnittstelle an:

    Bei Firewall-Filtern, die auf Layer-3-Schnittstellen angewendet werden, muss der Adresstyp der Familie (für IPv4-Datenverkehr) oder inet6 (für IPv6-Datenverkehr) sein inet .

  3. Sie können Firewall-Filter anwenden, um Pakete zu filtern, die eine Layer-3-Schnittstelle (geroutet) betreten oder verlassen:
    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die in eine Layer-3-Schnittstelle gelangen:

    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die eine Layer-3-Schnittstelle verlassen:

    Anmerkung:

    Wenn Sie einen Filter auf eine einem bestimmten VLAN zugeordnete IRB-Schnittstelle anwenden, wird der Filter auf jeder Layer-3-Schnittstelle mit einer entsprechenden VLAN-ID ausgeführt. Dies liegt daran, dass der Filter an allen Layer-3-Schnittstellen mit dem entsprechenden VLAN-Tag übereinstimmt.

    Anmerkung:

    Pro Layer-3-Schnittstelle können Sie pro Richtung nicht mehr als einen Firewall-Filter anwenden.