Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Dynamische Firewall-Filter verstehen

Firewall-Filter stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle auf einem Router durchlaufen, akzeptiert oder abgelehnt werden. Die Funktion zur Verwaltung von Anwendern unterstützt vier Kategorien von Firewall-Filtern:

  • Klassische Filter sind statische Filter, die dynamisch auf eine Schnittstelle angewendet werden. Sie werden zum Zeitpunkt des Commits kompiliert, und dann, wenn ein Service aktiviert wird, wird ein schnittstellenspezifischer Filter erstellt und an eine logische Schnittstelle angehängt. Diese dynamische Anwendung wird ausgeführt, indem Eingabe- oder Ausgabefilter mit einem dynamischen Profil verknüpft werden. Wenn ein dynamisches Profil ausgelöst wird, wendet es den Filter auf eine Schnittstelle an. Da klassische Filter statisch sind, können sie keine Anwender-spezifischen Begriffe (auch als Regeln bezeichnet) enthalten.

  • Parametrisierte Filter ermöglichen es Ihnen, benutzerdefinierte Filter für jede Anwender-Sitzung zu implementieren. In parametrisierten Filtern verwenden Sie Variablen, um einen Filter zu definieren. Wenn Services für einen Anwender aktiviert werden, werden die Variablen durch tatsächliche Werte wie Richtlinienraten, Zieladressen oder Ports ersetzt und zum Erstellen von Filtern verwendet.

  • Mit Ascend-Data-Filters können Sie dynamische Filter basierend auf Werten erstellen, die vom RADIUS-Server im Ascend-Data-Filter-Attribut (RADIUS-Attribut 242) empfangen wurden. Der Filter wird auf dem RADIUS-Server konfiguriert und enthält Regeln, die speziell auf die Bedingungen für den Datenverkehr abgestimmt sind und eine Aktion definieren, die der Router ausführen soll. Wenn Dienste für einen Anwender aktiviert werden, wird ein Filter basierend auf den Werten im Attribut "RADIUS" erstellt. Sie können auch Ascend-Data-Filters verwenden, um statische Filter zu erstellen, indem Sie das Attribut Ascend-Data-Filter in einem dynamischen Profil konfigurieren.

  • Schnelle Update-Filter ähneln klassischen Filtern. Filter für schnelle Updates unterstützen jedoch Anwender-spezifische und nicht schnittstellenspezifische Filterwerte. Schnelle Aktualisierungsfilter ermöglichen auch das inkrementelle Hinzufügen oder Entfernen einzelner Filterbegriffe zu Filtern, ohne dass der gesamte Filter für jede Änderung neu kompiliert werden muss. Filter für schnelle Updates sind für Netzwerkumgebungen unerlässlich, in denen mehrere Anwender dieselbe logische Schnittstelle nutzen.

Sie konfigurieren Firewall-Filter, um zu bestimmen, ob Datenverkehr akzeptiert oder abgelehnt werden soll, bevor er in eine Schnittstelle ein- oder ausgeht, auf die der Firewall-Filter angewendet wird. Ein Eingangs - (oder Eingangs-) Firewall-Filter wird auf Pakete angewendet, die in ein Netzwerk gelangen. Ein Ausgabe - (oder Ausgangs-) Firewall-Filter wird auf Pakete angewendet, die ein Netzwerk verlassen. Sie können Firewall-Filter konfigurieren, um Pakete einer Filterung oder Class-of-Service-Markierung (CoS) zu unterziehen (Gruppierung ähnlicher Datenverkehrstypen und Behandlung jedes Datenverkehrstyps als Klasse mit eigener Servicepriorität).

Zugehörige Dokumentation