Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

О множественных фильтрах межсетевых экранов в вложенной конфигурации

Вызов: Упростите администрирование фильтров межсетевых экранов

Обычно к интерфейсу применяется один фильтр межсетевых экранов в направлении ввода или вывода или обоих направлениях. Однако этот подход может оказаться не практичным, если имеется маршрутизатор (или коммутатор), настроенный с множеством и даже сотен интерфейсов. В такой масштабной среде необходимо иметь возможность изменять термины фильтрации, общие для нескольких интерфейсов, без необходимости перенастройки фильтра каждого затрагиваемого интерфейса.

В общем, решением является применение к одному интерфейсу эффективной "цепной" структуры из нескольких фильтров межсетевых экранов без степлексных функций. Термины фильтрации можно разделять на несколько фильтров межсетевых экранов, настроенных таким образом, что можно применить уникальный фильтр к каждому интерфейсу (или коммутатору) маршрутизатора, а также применить общие фильтры к интерфейсам нескольких (или коммутаторов) интерфейсов при необходимости. Система Junos OS политик предоставляет два варианта управления приложениями нескольких отдельных фильтров межсетевых экранов к отдельным интерфейсам маршрутизатора (или коммутатора). Одним из вариантов является применение нескольких фильтров в качестве одного списка ввода или списка выходных данных. Другой вариант заключается в ссылке на фильтр межсетевых экранов без сточки зрения другого фильтра межсетевых экранов без сточки зрения состояния.

Решение: Настройка вложенных ссылок на фильтры межсетевых экранов

Наиболее структурированный способ избежать настройки дублирующихся терминов фильтрации, общих для нескольких фильтров межсетевых экранов– это настройка нескольких фильтров межсетевых экранов таким образом, чтобы каждый фильтр включал в себя общие термины фильтрации, ссылаясь на отдельный фильтр, который содержит общие термины фильтрации. Интерфейс Junos OS использует термины фильтра в порядке, в котором они появляются в определении фильтра, для оценки пакетов, которые транзитом интерфейса. Если требуется изменить термины фильтрации, общие для нескольких интерфейсов, необходимо изменить только один фильтр межсетевых экранов.

Прим.:

Подобно альтернативному подходу (применяя список фильтров межсетевых экранов), настройка вложенного фильтра межсетевых экранов объединяет несколько фильтров межсетевых экранов в новое определение фильтра межсетевых экранов.

Конфигурация вложенных фильтров межсетевых экранов

Настройка вложенного фильтра межсетевых экранов для каждого интерфейса маршрутизатора (или коммутатора) включает в себя отделение общих правил фильтрации пакетов от правил фильтрации пакетов, определенных интерфейсу:

  • Для каждого набора правил фильтрации пакетов, общих для нескольких интерфейсов, настройте отдельный фильтр межсетевых экранов, содержащий общие термины фильтрации.

  • Для каждого интерфейса маршрутизатора (или коммутатора) настройте отдельный фильтр межсетевых экранов, который содержит:

    • Все термины фильтрации, уникальные для этого интерфейса.

    • Дополнительный термин фильтрации, содержащий ссылку на фильтр filter межсетевых экранов, которые содержат общие термины фильтрации.

Применение вложенных фильтров межсетевых экранов к интерфейсу маршрутизатора или коммутатора

Применение вложенных фильтров межсетевых экранов не отличается от непредученного фильтра межсетевых экранов. Для каждого интерфейса можно включить утверждение (или и то и другое) в stренд, чтобы указать соответствующий inputoutput вложенный фильтр filter межсетевых экранов.

Применение вложенных фильтров межсетевых экранов к интерфейсу, общие термины фильтрации и фильтры межсетевых экранов, специфические для интерфейса, применяются через один вложенный фильтр межсетевых экранов, который включает в себя другие фильтры посредством утверждения в рамках отдельного срока filter фильтрации.