Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Firewall-Filtern

Sie können Firewall-Filter in einem Switch konfigurieren, um den Datenverkehr zu steuern, der in Layer-3-Schnittstellen (geroutet) gelangt oder beendet. Um einen Firewall-Filter zu verwenden, müssen Sie den Filter konfigurieren und ihn dann auf eine Layer-3-Schnittstelle anwenden.

Konfigurieren eines Firewall-Filters

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Adresstyp der Familie, den Filternamen, den Begriffsnamen und mindestens eine Übereinstimmungsbedingung, z. B. Übereinstimmung mit Paketen, die eine bestimmte Quelladresse enthalten:

    Geben Sie den Adresstyp inet der Familie für IPv4 oder inet6 für IPv6 an.

    Die Filter- und Termnamen können Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Jeder Filtername muss eindeutig sein. Ein Filter kann einen oder mehrere Begriffe enthalten, und jeder Begriffname muss innerhalb eines Filters eindeutig sein.

  2. Konfigurieren Sie zusätzliche Übereinstimmungsbedingungen. Passen Sie beispielsweise Pakete an, die einen bestimmten Quellport enthalten:

    Sie können mindestens eine Übereinstimmungsbedingung in einer einzigen from Anweisung angeben. Damit eine Übereinstimmung auftritt, muss das Paket mit allen Bedingungen des Begriffs übereinstimmen. Die from Anweisung ist optional, aber wenn sie in einem Begriff enthalten ist, kann sie nicht leer sein. Wenn Sie die from Anweisung weglassen, werden alle Pakete als übereinstimmend angesehen.

  3. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen anwenden und die für jede Schnittstelle spezifischen Zähler anzeigen möchten, konfigurieren Sie die interface-specific Option:
  4. Geben Sie in jedem Firewallfilterbegriff die zu ergreifenden Aktionen an, wenn das Paket allen Bedingungen in diesem Begriff entspricht. Sie können Aktions- und Aktionsmodifizierer angeben:
    • Um eine Filteraktion anzugeben, beispielsweise um Pakete zu verwerfen, die den Bedingungen des Filterbegriffs entsprechen:

      Pro Begriff können Sie nicht mehr als eine Aktion (accept, discard, routing-instancerejectodervlan) angeben.

    • Wenn Sie Aktionsmodifikatoren angeben möchten, können Sie beispielsweise Pakete zu einer Weiterleitungsklasse zählen und klassifizieren. Zum Beispiel:

    Wenn Sie die then Anweisung auslassen oder keine Aktion angeben, werden Pakete akzeptiert, die alle Bedingungen in der from Anweisung erfüllen. Sie sollten jedoch immer eine Aktion in der then Anweisung explizit konfigurieren. Sie können nicht mehr als eine Aktionsaussage enthalten, aber Sie können eine beliebige Kombination von Aktionsmodifikatoren verwenden. Damit eine Aktion oder ein Action Modifier wirksam wird, müssen alle Bedingungen in der from Anweisung übereinstimmen.

    Anmerkung:

    Implizites Verwerfen gilt auch für einen Firewall-Filter, der auf die Loopback-Schnittstelle angewendet wird, lo0.

Anmerkung:

Eine vollständige Liste der Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren finden Sie unter Firewall-Filter-Übereinstimmungsbedingungen und -aktionen (QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700, EX4600, EX4650). Beachten Sie, dass Sie auf dem OCX1100-Switch nur die Bedingungen verwenden können, die für IPv4- und IPv6-Schnittstellen gültig sind.

Anwenden eines Firewallfilters auf eine Layer-3-Schnittstelle (Routing)

So wenden Sie einen Firewall-Filter auf eine Layer-3-Schnittstelle an:

  1. Geben Sie eine sinnvolle Beschreibung des Firewallfilters in der Konfiguration der Schnittstelle an, auf die der Filter angewendet wird:
  2. Sie können Firewall-Filter anwenden, um Pakete zu filtern, die eine Layer-3-Schnittstelle betreten oder verlassen:
    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die in eine Layer-3-Schnittstelle gelangen:

    • So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die eine Layer-3-Schnittstelle verlassen:

    Anmerkung:

    Sie können für eine bestimmte Richtung (Eingang oder Ausgang) nur einen Filter auf eine Schnittstelle anwenden.