상태 비저장 방화벽 필터 애플리케이션 지점

방화벽 필터를 정의한 후에는 이를 애플리케이션 지점에 적용해야 합니다. 이러한 애플리케이션 포인트에는 논리적 인터페이스, 물리적 인터페이스, 라우팅 인터페이스 및 라우팅 인스턴스가 포함됩니다.

대부분의 경우 방화벽 필터를 입력 필터나 출력 필터 또는 두 가지 모두로 동시에 적용할 수 있습니다. 입력 필터는 지정된 인터페이스에서 수신되는 패킷에 대해 작업을 수행하는 반면, 출력 필터는 지정된 인터페이스를 통해 전송되는 패킷에 대해 작업을 수행합니다.

일반적으로 여러 용어를 가진 하나의 필터를 단일 논리적 인터페이스, 수신 트래픽, 아웃바운드 트래픽 또는 둘 다에 적용합니다. 그러나 여러 방화벽 필터(단일 또는 여러 용어)를 함께 연결하여 인터페이스에 적용해야 하는 경우가 있습니다. 입력 목록을 사용하여 인터페이스의 수신 트래픽에 여러 방화벽 필터를 적용할 수 있습니다. 출력 목록을 사용하여 인터페이스의 아웃바운드 트래픽에 여러 방화벽 필터를 적용할 수 있습니다. 입력 목록 또는 출력 목록에 최대 16개의 필터를 포함할 수 있습니다.

설정할 수 있는 필터와 카운터의 수에는 제한이 없지만 몇 가지 실질적인 고려 사항이 있습니다. 카운터가 많을수록 더 많은 용어가 필요하며, 커밋 작업 중에 많은 수의 용어를 처리하는 데 시간이 오래 걸릴 수 있습니다. 그러나 4000개 이상의 용어 및 카운터가 있는 필터는 성공적으로 구현되었습니다.

표 1 방화벽 필터를 적용할 수 있는 각 지점에 대해 설명합니다. 각 애플리케이션 지점에 대해 표에는 해당 지점에서 지원되는 방화벽 필터 유형, 필터를 적용할 수 있는 라우터(또는 스위치) 계층 수준 및 플랫폼별 제한 사항이 설명되어 있습니다.

표 1: Stateless Firewall Filter Configuration and Application Summary(무상태 방화벽 필터 구성 및 애플리케이션 요약)
필터 유형	애플리케이션 포인트	제한
무상태 방화벽 필터 문을 `[edit firewall]` 포함하여 `filter filter-name` 계층 수준을 구성합니다. filter `filter-name`; 주: 명령문을 포함하지 `family` 않으면 방화벽 필터가 기본적으로 IPv4 트래픽을 처리합니다.	논리적 인터페이스 `[edit interfaces interface-name unit unit-number family inet]` 또는 `output filter-name` 문을 포함하여 `input filter-name` 계층 수준에서 적용합니다. filter { input `filter-name`; output `filter-name`; } 주: 암시적 `inet` 프로토콜 체계로 구성된 필터는 입력 필터 목록 또는 출력 필터 목록에 포함될 수 없습니다. 주: T4000 유형 5 FPC에서 레이어 2 애플리케이션 포인트(즉, 논리적 인터페이스 수준)에 연결된 필터는 DSCP, DSCP V6, `inet-precedence`, 등과 같은 레이어 3 분류자에 의해 설정된 패킷의 포워딩 클래스와 일치할 수 없습니다 `mpls-exp`.	다음 라우터에서 지원됩니다. T 시리즈 라우터 M320 라우터 향상된 CFEB(CFEB-e)가 장착된 M7i 라우터 향상된 CFEB-e가 장착된 M10i 라우터 MX 시리즈 라우터의 다음 MPC(Modular Port Concentrator)에서도 지원됩니다. 10기가비트 이더넷 MPC 60기가비트 이더넷 큐잉 MPC 60기가비트 이더넷 향상된 큐잉 MPC 100기가비트 이더넷 MPC EX 시리즈 스위치에서도 지원
무상태 방화벽 필터 `[edit firewall family family-name]` 다음 명령문을 포함하여 계층 수준에서 구성합니다. filter `filter-name`; 는 `family-name` 다음 프로토콜 제품군 중 하나일 수 있습니다. `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	논리적 인터페이스의 프로토콜 제품군 `[edit interfaces interface-name unit unit-number family family-name]`, `input-list`, `output`또는 `output-list` 문을 포함하여 `input`계층 수준에서 적용합니다. filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	프로토콜 제품군 `bridge` 은 MX 시리즈 라우터에서만 지원됩니다.
무상태 방화벽 필터	라우팅 엔진 루프백 인터페이스
서비스 필터 `[edit firewall family (inet \| inet6)]` 다음 명령문을 포함하여 계층 수준에서 구성합니다. service-filter `service-filter-name`;	패밀리 `inet` 또는 `inet6` 논리적 인터페이스 문을 사용하여 `service-set` 계층 수준에서 서비스 필터를 서비스 세트에 `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` 대한 입력 또는 출력 필터로 적용합니다. service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } 다음 문을 포함하여 계층 수준에서 서비스 세트를 `[edit services]` 구성합니다. `service-set service-set-name`;	적응형 서비스(AS) 및 멀티서비스(MS) PIC에서만 지원됩니다.
사후 서비스 필터 `[edit firewall family (inet \| inet6)]` 다음 명령문을 포함하여 계층 수준에서 구성합니다. service-filter `service-filter-name`;	패밀리 `inet` 또는 `inet6` 논리적 인터페이스 `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` 서비스 필터를 입력 필터로 적용하는 문을 포함하여 `post-service-filter` 계층 수준에서 적용합니다. service { input { post-service-filter `filter-name`; } }	사후 서비스 필터는 서비스 처리 후 서비스 인터페이스로 되돌아오는 트래픽에 적용됩니다. 필터는 서비스 세트가 구성되고 선택된 경우에만 적용됩니다.
간단한 필터 `[edit firewall family inet]` 다음 명령문을 포함하여 계층 수준에서 구성합니다. simple-filter `filter-name`	논리적 인터페이스의 패밀리 `inet` `[edit interfaces interface-name unit unit-number family inet]` 다음 문을 포함하여 계층 수준에서 적용합니다. simple-filter `simple-filter-name`;	단순 필터는 입력 필터로만 적용할 수 있습니다. 다음 플랫폼에서만 지원됩니다. M120, M320 및 T 시리즈 라우터의 기가비트 이더넷 지능형 큐잉(IQ2) PIC. MX 시리즈 라우터(및 EX 시리즈 스위치)의 향상된 큐잉 EQ DPC(Dense Port Concentrator).
RPF(Reverse Packet Forwarding) 검사 필터 다음 문을 포함하여 계층 수준에서 구성합니다 `[edit firewall family (inet \| inet6)]` . filter `filter-name`;	패밀리 `inet` 또는 `inet6` 논리적 인터페이스 `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` 다음 문을 포함하여 계층 수준에서 적용합니다. rpf-check fail-filter `filter-name` 을 클릭하여 상태 비저장 방화벽 필터를 RPF 검사 필터로 적용합니다. rpf-check { fail-filter `filter-name`; mode loose; }	MX 시리즈 라우터 및 EX 시리즈 스위치에서만 지원됩니다.