Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Понимание того, как оцениваться фильтры межсетевых экранов

Фильтр межсетевых экранов состоит из одного или нескольких терминов, и очень важен порядок терминов в пределах фильтра межсетевых экранов. Прежде чем настраивать фильтры межсетевых экранов, необходимо понять, как Juniper Networks ethernet-коммутаторы серии EX оценивать термины в составе фильтра межсетевых экранов и как пакеты оцениваются по условиям.

Если фильтр межсетевых экранов состоит из одного термина, фильтр оценивается следующим образом:

  • Если пакет соответствует всем условиям, то в этом then утверждениях принимаются меры.

  • Если пакет соответствует всем условиям и в этом документе не заданы действия, по thenaccept умолчанию принимаются меры.

Когда фильтр межсетевых экранов состоит из нескольких терминов, фильтр межсетевых экранов оценивается последовательно:

  1. Пакет оценивается в оценках условий from в утверждениях в первом термине.

  2. Если пакет соответствует всем условиям в этом термине, то в этом выражении принимаются меры и then анализ завершается. Последующие термины фильтра не оцениваться.

  3. Если пакет не соответствует всем условиям в термине, то он оценивается в соответствие с условиями, заявлными from во втором термине.

    Этот процесс продолжается до тех пор, пока пакет не будет совпадать с условиями утверждения в одном из последующих терминов, либо не будет больше терминов from фильтра.

  4. Если пакет проходит через все термины фильтра без совпадения, пакет отбрасывается.

Рис. 1 показывает, как коммутатор серии EX оценивает термины в пределах фильтра межсетевых экранов.

Рис. 1: Оценка терминов в пределах фильтра межсетевых экрановОценка терминов в пределах фильтра межсетевых экранов

Если термин не содержит утверждения, пакет считается совпадать, и в нем принимаются fromthen действия.

Если термин не содержит утверждения или если действие не было настроено в этом выражении и пакет соответствует условиям в его выражении, пакет thenthenfrom принимается.

Каждый фильтр межсетевых экранов содержит неявное утверждение в конце фильтра, эквивалентное следующему явному deny термину фильтра:

Следовательно, если пакет проходит через все термины в фильтре, не совпадая ни с любыми условиями, пакет отбрасывается. При настройке фильтра межсетевых экранов без терминов все пакеты, которые проходят через фильтр, отбрасываются.