Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration von Firewall-Filtern

Sie können Firewall-Filter in einem Switch konfigurieren, um Datenverkehr zu steuern, der Layer 3-Schnittstellen (Routed) ein- oder austritt. Um einen Firewall-Filter zu verwenden, müssen Sie diesen Filter konfigurieren und dann auf eine Layer 3-Schnittstelle anwenden.

Konfigurieren eines Firewall-Filters

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Familienadressentyp, den Filternamen, den Begriffsnamen und mindestens eine Übereinstimmungsbedingung– zum Beispiel Für Pakete, die eine bestimmte Quelladresse enthalten:

    Geben Sie den Familienadressentyp inet für IPv4 oder inet6 für IPv6 an.

    Der Filter und die Begriffsnamen können Buchstaben, Zahlen und Abstriche (-) enthalten und können bis zu 64 Zeichen lang sein. Jeder Filtername muss eindeutig sein. Ein Filter kann einen oder mehrere Begriffe enthalten, und jeder Begriffsname muss in einem Filter eindeutig sein.

  2. Weitere Bedingungen konfigurieren. Beispielsweise übereinstimmungen auf Paketen, die einen bestimmten Quellport enthalten:

    Sie können mindestens eine Übereinstimmungsbedingungen in einer einzigen Anweisung from angeben. Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in dem Begriff erfüllen. Die Aussage ist optional. Wenn from sie jedoch in einen Begriff aufgenommen wird, darf sie nicht leer sein. Wenn Sie die Aussage from weglassen, gelten alle Pakete als übereinstimmend.

  3. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen anwenden und Zähler für jede Schnittstelle sehen möchten, konfigurieren Sie die interface-specific Option:
  4. Geben Sie in jedem Firewall-Filterbegriff die Aktionen an, die durchgeführt werden sollen, wenn das Paket allen Bedingungen in diesem Begriff entspricht. Sie können eine Aktion und eine Aktion ändern:
    • Um eine Filteraktion anzugeben, z. B. zum Verwerfen von Paketen, die den Bedingungen des Filterbegriffs übereinstimmen:

      Sie können pro Begriff nicht mehr als eine Aktion ( accept , , oder ) discardrejectrouting-instancevlan angeben.

    • Um Aktionen zu ändern, zum Beispiel zur Zählerzahl und Klassifizierung von Paketen zu einer Weiterleitungsklasse. Zum Beispiel:

    Wenn Sie die Aussage weglassen oder keine Aktion angeben, werden Pakete, die allen Bedingungen in der then Aussage from übereinstimmen, akzeptiert. In der Anweisung sollten Sie jedoch immer eine Aktion then explizit konfigurieren. Sie können nicht mehr als eine Aussage beinhalten, aber Sie können eine beliebige Kombination von Aktionsmodfizierern verwenden. Damit eine Aktion oder eine Aktion ändert, müssen alle Bedingungen in der Aussage from übereinstimmen.

    Anmerkung:

    Implizites Verwerfen kann auch auf einen Firewall-Filter angewendet werden, der auf die Loopbackschnittstelle angewendet lo0 wird.

Anmerkung:

Eine vollständige Liste mit Bedingungen, Aktionen und Aktionsmodfizierern finden Sie Bedingungen und Aktionen für Firewall-Filter (QFX5100, QFX5110, QFX5120, QFX5200, QFX5700, EX4600 EX4650) unter. Beachten Sie, dass auf OCX1100-Switch nur die Bedingungen verwendet werden können, die für IPv4- und IPv6-Schnittstellen gültig sind.

Anwenden eines Firewallfilters auf eine Layer 3-Schnittstelle (Routed)

So wenden Sie einen Firewall-Filter auf eine Layer 3-Schnittstelle an:

  1. Geben Sie einen sinnvollen Beschreibung des Firewall-Filters in der Konfiguration der Schnittstelle, auf die der Filter angewendet wird, an:
  2. Sie können Firewall-Filter anwenden, um Pakete zu filtern, die eine Layer 3-Schnittstelle eingeben oder verlassen:
    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die in eine Layer 3-Schnittstelle eingeben:

    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die eine Layer-3-Schnittstelle verlassen:

    Anmerkung:

    Sie können nur einen Filter auf eine Schnittstelle für eine bestimmte Richtung anwenden (Ingress oder Egress).