Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Условия гибкого совпадения фильтра межсетевых экранов

Стандартные условия совпадения фильтра межсетевых экранов зависят от семейства протоколов подстраивемого трафика. Например, термины, доступные для трафика протокола моста, отличаются от терминов, доступных для семейок протоколов inet или inet6. Поля, доступные для совпадения в каждом семейство протоколов, являются, однако, фиксированными или предварительно определенными. Это означает, что фильтры могут соответствовать только шаблонам в предварительно определенных полях.

При помощи гибких условий совпадения можно создать фильтры межсетевых экранов, которые запускают совпадение на уровнях 2, 3-го, 4-го уровня или в местах полезной нагрузки. Оттуда можно задать дополнительные критерии смещения, тем самым разрешая совпадения шаблонов в пользовательских, пользовательских местоположениях в пакете.

Термины фильтра гибких совпадений применяются к интерфейсам MPC или MIC как входные или выходные фильтры так же, как и любые другие термины фильтра межсетевых экранов. Термины фильтра гибких совпадений можно также создавать в качестве шаблонов на [edit firewall] уровне иерархии. Эти шаблоны можно использовать в гибком термине совпадения.

Для маршрутизаторов серии MX гибкие условия совпадения поддерживаются только с MCS или MCS. Для сред, в которых наряду с MPC и MPC устанавливаются FFPC, PIC и DPC, необходимо применять критерии фильтра межсетевых экранов только к интерфейсам MPC или MIC.

Прим.:

Для серия MX маршрутизаторов с MPC необходимо инициализировать счетчик фильтров только для фильтров, соответствующих Trio-match, MIB путем прохода соответствующего SNMP-MIB. Например, для любого фильтра, настроенного или измененного в отношении фильтров, только для Trio, необходимо выполнить команду, такую как: show snmp mib walk (ascii | decimal) object-id. Это вынуждает Junos счетчики фильтров и убедиться в том, что статистика фильтра отображается (это потому, что при первом опросе для фильтрации статистики могут отображаться не все счетчики). Фильтры для совпадений только для Trio содержат хотя бы одно условие совпадения или действие, поддерживаемое только микросхемой Trio.

Это руководство применимо ко всем enhanced-mode фильтрам межсетевых экранов. Он также применяется к гибким условиям фильтра совпадения для смещения или маски смещения, а также к условиям совпадения фильтра межсетевых экранов для Условия совпадения фильтра межсетевых экранов для трафика IPv4gre-key трафика IPv6 с любым из следующих условий: payload-protocol, extension headers, is_fragment. Это также применимо к фильтрам с одним из Действия по прерываниям фильтра межсетевых экранов следующих: encapsulate или decapsulate любой из Неустанавляющие действия фильтра межсетевых экранов следующих: policy-mapи clear-policy-map .

Иерархия утверждения

Термины фильтра гибких совпадений доступны в трех вариантах, как показано в Табл. 1 . Разброс flexible-match настроен на уровне [edit firewall] иерархии. Используется для определения гибких шаблонов совпадений. И flexible-filter-match-maskflexible-match-range настраиваются в [edit firewall family [inet|inet6|bridge|ethernet-switching|ccc|vpls] filter <filter-name> term <term-name> from] иерархии. Используйте фильтр family ethernet-switching для EX9200 коммутаторов.

Типы совпадений с гибким фильтром

Табл. 1: Типы совпадений с гибким фильтром

Гибкий тип совпадения фильтра

Доступные атрибуты

Описание

flexible-match

<name>

Создайте шаблон с гибким соответствием, который < имя >attribute.

 

bit-length

Длина данных, совпадаемая в битах, не требуется для строкового ввода (0.32)

Для коммутаторов QFX5120 и EX4650, 16 и 32 являются единственным допустимым длиной бита.

bit-offset

Смещение битов после смещения (match-start + byte) (0.7)

byte-offset

Смещение byte после точки начала совпадения

match-start

Точка начала, чтобы найти совпадение в пакете

flexible-match-mask

bit-length

Длина данных, которые должны быть совме в битах, не требуется для строки ввода (0.128)

bit-offset

Смещение битов после смещения (match-start + byte) (0.7)

byte-offset

Смещение byte после точки начала совпадения

flexible-mask-name

Выберите гибкое совпадение в предварительно заранее задаированном поле шаблона. Требуется, если match-start не настроено.

mask-in-hex

Замаскировать биты в данных пакета, которые необходимо совмессировать.

match-start

Точка начала, чтобы найти совпадение в пакете. Требуется, если flexible-mask-name не настроено.

prefix

Значение данных/строк, которые необходимо найти.

flexible-match-range

bit-length

Длина данных, совпадает в битах. (0.32) Требуется, если flexible-range-name не настроен.

bit-offset

Смещение битов после смещения (match-start + byte). (0..7)

byte-offset

Смещение byte после точки начала совпадения

flexible-range-name

Выберите гибкое совпадение в заранее

match-start

Точка начала, чтобы найти совпадение в пакете. Требуется, если flexible-range-name не настроено.

range

Диапазон значений, которые необходимо найти.

range-except

Диапазон не совпадать значений.

Расположение для начала гибких фильтров

Условия гибкого фильтра совпадения сконструированы путем предоставления места начала или якорной точки в пакете. Точки начала могут быть любым из: уровня 2, уровня 3, уровня 4 или полезной нагрузки, в зависимости от используемого семейства протоколов. Табл. 2 отображает доступное гибкое расположение для начала фильтра для семейства протоколов. Эти доступные места начала использования используются в качестве расположения match-start для гибких условий фильтра совпадения.

В этих местах начала могут использоваться конкретные byte и биты смещения, чтобы разрешить фильтру соответствовать шаблонам в очень определенных местоположениях в пакете.

Табл. 2: Расположение для начала гибких фильтров

Семейство протоколов

Доступные места начала

inet

layer-3, layer-4 and payload

Для коммутаторов QFX5120 и EX4650 поддержка фильтров уровня 2 и 3 (только) была добавлена в Junos версии 20.1R1.

inet6

layer-3, layer-4 and payload

Для коммутаторов QFX5120 и EX4650 поддержка фильтров уровня 2 и 3 (только) была добавлена в Junos версии 20.1R1.

bridge

layer-2, layer-3, layer-4 and payload

ccc

layer-2, layer-3, layer-4 and payload

mpls

layer-3 and payload

vpls

layer-2, layer-3, layer-4 and payload

ethernet-switching

(EX9200 коммутаторы) layer-2, layer-3, layer-4 and payload

Для коммутаторов QFX5120 и EX4650 поддержка фильтров уровня 2 и 3 (только) была добавлена в Junos версии 20.1R1. Ниже приведен пример использования смещения пакета уровня 2 и длины совпадения.

Примеры совпадений с гибким фильтром

В следующем примере показано использование и контекст для flexible-match-mask .

Имя <-имя> для гибкого имени маски, которое заранее задавалось шаблоном для условия гибкого совпадения. Шаблоны могут быть определены, чтобы указать, на каком месте (позиции) в пакете должно быть выполнено условие гибкого совпадения.

Маска <> маски в хекси– имеет hexademal формат. Например, сконфигурированная маска указывает совпадение для четырех битов в первом битах в первом (как указано 0xf0fc<маска-имя>),а также для первых шести битов второго. Если пакетом является пакет IPv4 и <-именем> выскакивает первые два bytes в загоне L3, поиск ведется в поле версии IP и поле DSCP. В качестве другого примера сконфигурированная маска определяет поиск всего первого и двух 0xffc0 битов второго. Если <-именем>назовав первые два bytes в поле L3, а пакетом является пакет IPv6, заданы поля версии IP и DSCP в поле "Traffic Class".

Строка <pattern> для префикса – это строка ASCII. Если в строке сначала два символа, строка обрабатывается в качестве кодивного числа, 0x кодив соответствующие биты. Например, настроенный префикс в комбинации с маской и <масш-именем>следуя первые два bytes в поле L3, показывает поиск в первых четырех битах (поле версии равно 4) и в поле 0x40c00xf0fc01001100 00 IPv4 DSCP (DSCP равен cs6). Или, используя настроенный префикс в комбинации с маской и <масш-именем>следуя первые два bytes в поле L3, указывает поиск в первых четырех битах (поле версии равно 6), а в поле 0x6c000xffc001101100 00 IPv6 DSCP (DSCP равен cs6).

В первом примере определяется шаблон маски, который выбирает первые два (16 бит) из загона L3 для гибкого совпадения:

В следующем примере определяется шаблон маски, который выбирает от третьего по шестой (32 бита) пакета полезной нагрузки для гибкого совпадения:

В этом примере показана совпадение символов ASCII для строки JNPR (символы ASCII: 0x4a, 0x4e0x50 , в третьем – 0x52 шестом пакетах полезной нагрузки. Фильтр использует шаблон FM-FOUR-PAYLOAD-BYTES маски, определенный в предыдущем примере.

В этом примере показана поиск фильтра семейства ccc для DSCP, равного DSCP, независимо от того, являются ли инкапсулированные пакеты cs6ef IPv4 или IPv6. Он использует шаблон FM-FIRST-TWO-L3-BYTES маски, определенный в первом примере.

В этом примере показано, как использовать совпадение длины, начиная с смещения пакета уровня 2, в фильтре межсетевых экранов для QFX5120-32C, QFX5120-48Y или EX4650 с Junos release 20.1R1. Здесь используется битовая длина 32 битов и семейства (а также поддерживается, как это используется смещение ethernet-switchinginet уровня inet6 3).

Таблица истории выпусков
Версия
Описание
20.1R1
Для коммутаторов QFX5120 и EX4650 поддержка фильтров уровня 2 и 3 (только) была добавлена в Junos версии 20.1R1.