Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Рекомендации по применении стандартных фильтров межсетевых экранов

Обзор применения фильтров брандмауэра

Стандартный фильтр брандмауэра можно применить к интерфейсу обратной связи на маршрутизаторе или к физическому или логическому интерфейсу маршрутизатора. Фильтр межсетевых экранов можно применить к одному интерфейсу или к нескольким интерфейсам маршрутизатора. Табл. 1 суммирует поведение фильтров межсетевых экранов в зависимости от точки, к которой фильтр подключен.

Табл. 1: Поведение фильтра межсетевых экранов точкой вложения фильтра

Точка вложения фильтра

Поведение фильтра

Интерфейс обратной связи

Интерфейс обратной связи маршрутизатора, является интерфейсом для модуль маршрутизации и не содержит lo0 пакетов данных. При применении фильтра межсетевых экранов к интерфейсу обратной связи фильтр оценивает локальные пакеты, полученные или переданные модуль маршрутизации.

Прим.:
  • Маршрутизаторы ACX5048 и ACX5096 не поддерживают оценку пакетов, переданных механизмом маршрутации для фильтра интерфейса обратной связи.

Физический интерфейс или логический интерфейс

При применении фильтра к физическому интерфейсу маршрутизатора или логическому интерфейсу (или члену агрегированной группы Ethernet, определенной на интерфейсе), фильтр оценивает все пакеты данных, которые проходят через этот интерфейс.

Несколько интерфейсов

Один или более раз можно использовать один и тот же фильтр межсетевых экранов.

На M Series маршрутизаторах, за исключением M120 и M320, при применении фильтра межсетевых экранов к нескольким интерфейсам фильтр действует на основе суммы трафика, входного или выйдите из этих интерфейсов.

На серия T, M120, M320 и серия MX маршрутизаторов интерфейсы распределены между несколькими компонентами переададаторов пакетов. На этих маршрутизаторах можно настроить фильтры межсетевых экранов и фильтры служб, которые в случае работы с несколькими интерфейсами действуют на индивидуальных потоках трафика, в которые входит или выходит из каждого интерфейса, независимо от суммы трафика на нескольких интерфейсах.

Дополнительные сведения см. в обзоре экземпляров фильтра межсетевых экранов, определенных интерфейсам.

Подключен один интерфейс с фильтрами межсетевых экранов, зависяными от протокола и зависят от протокола

Для интерфейсов, подключенных только к следующему оборудованию, можно одновременно сое and a protocol-specific (или) фильтр межсетевых экранов, не зависящий от family anyfamily inetfamily inet6 протокола. Межсетевой экран, не завися от протокола, выполняется в первую очередь.

  • компактные маршрутизаторы для сетей MBH и агрегации АСХ

  • Гибкие концентраторы PIC (микросхемы PIC) M7i и M10i-маршрутизаторах Multiservice Edge Routers

  • Модульные интерфейсные карты (MCS) и модульные концентраторы портов (MMPC) на серия MX универсальных платформах маршрутов 5G

  • серия T маршрутизаторов ядра

Прим.:

Интерфейсы, оборудованные следующим оборудованием, не поддерживают фильтры межсетевых экранов, не зависящий от протокола:

  • Платы яда переад мощности (FEB) в M120 маршрутизаторах

  • Расширенные III FFP в M320 маршрутизаторах

  • Модули FPC2 и FPC3 в серия MX маршрутизаторах

  • Концентраторы портов с плотной плотностью (DDP) серия MX маршрутизаторах

  • Магистральные маршрутизирующие платформы PTX

Иерархия утверждения для применения фильтров межсетевых экранов

Для применения стандартного фильтра брандмауэра к логическому интерфейсу настройте утверждение для логического интерфейса, определенного на уровне иерархии или на filter[edit][edit logical-systems logical-system-name] иерархии. В утверждение filter можно включить один или несколько из следующих еха: group group-number, input filter-nameinput-list filter-name , или output filter-nameoutput-list filter-name . Уровень иерархии, прикрепляемый к утверждениям, зависит от типа фильтра и filter типа настраиваемого устройства.

Межсетевые экраны, независимые от протокола, серия MX маршрутизаторах

Для применения фильтра межсетевых экранов, независимого от протокола, к логическому интерфейсу маршрутизатора серия MX, настройте утверждение непосредственно под filter логическим блоком:

Все другие фильтры межсетевых экранов на логических интерфейсах

Для применения стандартного фильтра брандмауэра к логическому интерфейсу во всех случаях, кроме протоколо-независимого фильтра на маршрутизаторе серия MX, настройте утверждение для семейства filter протоколов:

Ограничения на применение фильтров межсетевых экранов

Количество входных и выходных фильтров для логического интерфейса

Input filters- Несмотря на то, что один и тот же фильтр можно использовать несколько раз, к интерфейсу можно применить только один входной фильтр или один список входных фильтров.

  • Чтобы указать один фильтр брандмауэра, который будет использоваться для оценки пакетов, полученных на интерфейсе, включите утверждение input filter-name в filter stтет.

  • Чтобы указать упорядоченный список фильтров межсетевых экранов, которые будут использоваться для оценки пакетов, полученных на интерфейсе, включите утверждение input-list [ filter-names ] в filter stтефейс. Для списка входных фильтров можно указать до 16 фильтров межсетевых экранов.

Output filters- Хотя можно использовать один и тот же фильтр несколько раз, к интерфейсу можно применить только один фильтр вывода или один список фильтров вывода.

  • Чтобы указать один фильтр межсетевых экранов, который будет использоваться для оценки пакетов, передаваемых через интерфейс, включите утверждение output filter-name в filter stтет.

  • Чтобы указать упорядоченный список фильтров межсетевых экранов, которые будут использоваться для оценки пакетов, передаваемых через интерфейс, включите утверждение output-list [ filter-names ] в filter stтефейс. В списке выходных данных можно указать до 16 фильтров межсетевых экранов.

MPLS и фильтры межсетевых экранов CCC 2-го уровня в списках

Утверждения input-list filter-names и для фильтров межсетевых экранов для семейок протоколов и протоколов поддерживаются на всех интерфейсах, за исключением output-list filter-namescccmpls следующего:

  • Интерфейсы управления и внутренние интерфейсы Ethernet fxpem0 (или)

  • Интерфейсы обратной связи lo0 ()

  • USB-модемные интерфейсы umd ()

Фильтры межсетевых экранов CCC уровня 2 на серия MX и коммутаторах серии EX

Только на серия MX маршрутизаторах и коммутаторах серии EX нельзя применить фильтр межсетевых экранов CCC 2-го уровня (фильтр межсетевых экранов, настроенный на уровне иерархии) в качестве фильтра [edit firewall filter family ccc] вывода. На серия MX маршрутизаторах и коммутаторах серии EX фильтры межсетевых экранов, настроенные под утверждение, могут применяться только family ccc в качестве входных фильтров.

Фильтры межсетевых экранов IPv6 на серия PTX пакетно-транспортных маршрутизаторах

На маршрутизаторах PTX10001-20C нельзя применить фильтры межсетевых экранов IPv6 к:

  • Интерфейсы туннелей

  • Интерфейсы IRB

  • Интерфейсы на выпадае

  • Фильтры, настраиваемые на уровне [edit firewall family inet6 filter filter-name] иерархии.

  • Службы управления трафиком

  • Интерфейс телеметрии Junos