Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zu dynamischen Firewall-Filtern

Firewall-Filter stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle auf einem Router übertragen, akzeptiert oder abgelehnt werden sollen. Die Abonnentenverwaltungsfunktion unterstützt vier Kategorien von Firewallfiltern:

  • Klassische Filter sind statische Filter, die dynamisch auf eine Schnittstelle angewendet werden. Sie werden zur Zeit des Commits kompiliert, und dann, wenn ein Dienst aktiviert wird, wird ein schnittstellenspezifischer Filter erstellt und an eine logische Schnittstelle angehängt. Diese dynamische Anwendung wird ausgeführt, indem Eingabe- oder Ausgabefilter einem dynamischen Profil zugeordnet werden. Wenn ein dynamisches Profil ausgelöst wird, wendet es den Filter auf eine Schnittstelle an. Da klassische Filter statisch sind, können sie keine abonnentenspezifischen Begriffe (auch Regeln genannt) enthalten.

  • Mit parametrisierten Filtern können Sie benutzerdefinierte Filter für jede Abonnentensitzung implementieren. In parametrisierten Filtern verwenden Sie Variablen, um einen Filter zu definieren. Wenn Services für einen Teilnehmer aktiviert werden, werden die Variablen durch tatsächliche Werte wie Polizeiraten, Zieladressen oder Ports ersetzt und zum Erstellen von Filtern verwendet.

  • Mit Ascend-Data-Filters können Sie dynamische Filter basierend auf Werten erstellen, die vom RADIUS-Server im Ascend-Data-Filter-Attribut (RADIUS-Attribut 242) empfangen werden. Der Filter wird auf dem RADIUS-Server konfiguriert und enthält Regeln, die speziell den Bedingungen für Datenverkehr entsprechen und eine Aktion definieren, die der Router ausführen soll. Wenn Dienste für einen Abonnenten aktiviert werden, wird ein Filter basierend auf den Werten im RADIUS-Attribut erstellt. Sie können auch Ascend-Data-Filters verwenden, um statische Filter zu erstellen, indem Sie das Ascend-Data-Filter-Attribut in einem dynamischen Profil konfigurieren.

  • Schnellaktualisierungsfilter ähneln klassischen Filtern. Filter für schnelle Updates unterstützen jedoch abonnentenspezifische und keine schnittstellenspezifischen Filterwerte. Mit Schnellaktualisierungsfiltern können auch einzelne Filterbegriffe inkrementell hinzugefügt oder aus Filtern entfernt werden, ohne dass der gesamte Filter für jede Änderung neu kompiliert werden muss. Filter für schnelle Updates sind für Netzwerkumgebungen, in denen mehrere Teilnehmer dieselbe logische Schnittstelle verwenden, unerlässlich.

Sie konfigurieren Firewallfilter, um zu bestimmen, ob Datenverkehr akzeptiert oder abgelehnt werden soll, bevor er in eine Schnittstelle ein- oder ausgeht, auf die der Firewallfilter angewendet wird. Ein Eingangs-Firewall-Filter wird auf Pakete angewendet, die in ein Netzwerk gelangen. Ein Ausgabe- (oder Ausgangs-) Firewallfilter wird auf Pakete angewendet, die ein Netzwerk verlassen. Sie können Firewall-Filter so konfigurieren, dass Pakete einer Filterung oder CoS-Markierung (Class-of-Service) unterzogen werden (Gruppierung ähnlicher Datenverkehrstypen und Behandlung jedes Datenverkehrstyps als Klasse mit eigener Priorität der Servicestufe).

Zugehörige Dokumentation