Инструкции по настройке фильтров межсетевых экранов
Данная тема охватывает следующую информацию:
Иерархия утверждения для настройки фильтров межсетевых экранов
Для настройки стандартного фильтра межсетевых экранов можно включить следующие утверждения. Для стандартного фильтра межсетевых экранов IPv4 это family inet утверждение является необязательным. Для стандартного фильтра межсетевых экранов IPv6 family inet6 эта процедура является обязательной.
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
Можно включить конфигурацию межсетевых экранов на одном из следующих уровней иерархии:
[edit][edit logical-systems logical-system-name]
Для фильтрации межсетевых экранов без с состоянием состояния необходимо разрешить выходной туннельный трафик через фильтр брандмауэра, примененный к вводимом трафику интерфейса, который является интерфейсом следующего перехода, к месту назначения туннеля. Фильтр межсетевых экранов влияет только на пакеты, которые по туннелю выходят из маршрутизатора (или коммутатора).
Семейства протоколов фильтрации межсетевых экранов
Конфигурация фильтра брандмауэра характерна для конкретного семейства протоколов. Под утверждением включим одно из следующих правил, чтобы указать семейство протоколов, для которого firewall необходимо фильтровать трафик:
family any- Фильтрация трафика, не зависят от протокола.family inet-Фильтрация трафика протокола Internet Protocol версии 4 (IPv4).family inet6- Фильтрация трафика протокола Internet версии 6 (IPv6).family mpls-Фильтрация MPLS трафика.family vpls- Фильтрация трафика виртуальных частных lan-сервисов (VPLS).family ccc- Фильтровать трафик с перекрестным подключением (CCC) цепи уровня 2.family bridge-Фильтровать трафик с ремированиями уровня 2 только серия MX универсальных edge маршрутизаторов.family ethernet-switching-Фильтрация трафика уровня 2 (Ethernet).
Утверждение необходимо только для указания семейства family family-name протоколов, иных, чем IPv4. Для настройки фильтра межсетевых экранов IPv4 можно настроить фильтр на уровне иерархии, не включив утверждение, так как уровни иерархии [edit firewall]family inet[edit firewall][edit firewall family inet] эквивалентны.
Для фильтра семейства мостов критерии соответствия ip-протокола поддерживаются только для IPv4, а не для IPv6. Это применимо к картам линии, которые поддерживают микросхемы Trio Junos, например, для линк-карт MPC MPC 3D.
Имена и параметры фильтра брандмауэра
Под family family-name утверждением можно включить утверждения для создания и имен filter filter-name межсетевых экранов фильтров. Имя фильтра может содержать буквы, цифры и дефис (-) и длиной до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").
На уровне иерархии следующие утверждения являются [edit firewall family family-name filter filter-name] необязательными:
accounting-profileinstance-shared(серия MX маршрутизаторы с модульными концентраторами портов (только MPCS)interface-specificphysical-interface-filter
Термины фильтра межсетевых экранов
В этом filter filter-name выражении можно включить утверждения для создания и имен term term-name фильтра.
Необходимо настроить как минимум один термин в фильтре межсетевых экранов.
В фильтре межсетевых экранов необходимо указать уникальное имя для каждого термина. Термин "имя" может содержать буквы, цифры и дефис (-) и может содержать до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").
Важен порядок указания терминов в конфигурации фильтра межсетевых экранов. Термины фильтра межсетевых экранов оцениваться в порядке их настройки. По умолчанию новые термины всегда добавляются к концу существующего фильтра. Команду configuration
insertmode можно использовать для переубора условий фильтра межсетевых экранов.
На уровне иерархии утверждение не действует в том же [edit firewall family family-name filter filter-name term term-name] термине, что и или filter filter-namefromthen утверждения. Если он включен на этом уровне иерархии, утверждение filter filter-name используется для вложения межсетевых экранов в фильтры.
Условия совпадения фильтра межсетевых экранов
Условия совпадения фильтра межсетевых экранов специфически для типа фильтруемого трафика.
За исключением трафика IPv4 MPLS IPv6 с тегами, в этом выражении необходимо указать условия совпадения from этого термина. Для трафика MPLS IPv4 с тегами, в этом выражении определяются условия совпадения, специфические для адреса IPv4, а также условия совпадения порта IPv4 в этом ip-version ipv4protocol (tcp | udp) выражении.
Для MPLS IPv6 с тегами в этом выражении определяются условия совпадения, специфические для адресов IPv6, а также условия совпадения портов IPv6 в этом ip-version ipv6protocol (tcp | udp) выражении.
Табл. 1 описывает типы трафика, для которого можно настраивать фильтры межсетевых экранов.
Тип трафика |
Уровень иерархии, при котором заданы условия совпадения |
|---|---|
Протокол не зависит от протокола |
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для независимого от протокола трафика". |
IPv4 |
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика IPv4". |
IPv6 |
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика IPv6". |
MPLS |
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для MPLS трафика". |
Адреса IPv4 в MPLS потоках |
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6. |
Порты IPv4 в MPLS потоках |
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6. |
Адреса IPv6 в MPLS потоках |
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6. |
Порты IPv6 в MPLS потоках |
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6. |
Vpls |
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика VPLS". |
Уровень 2 CCC |
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика CCC уровня 2". |
Замыкание 2-го уровня (серия MX только маршрутизаторы и коммутаторы серии EX) |
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов для трафика с помощью 2-го уровня. |
Если адрес IPv6 указан в состоянии совпадения (условия совпадения), используйте синтаксис для текстовых представлений, описанных в addressdestination-addresssource-address RFC 4291, IP-архитектуре версии 6. Дополнительные сведения об адресах IPv6 см. в обзоре IPv6 и поддерживаемых стандартах IPv6.
Действия по фильтру межсетевых экранов
В утверждениях для термина фильтра брандмауэра можно указать действия, которые необходимо принять для пакета, который соответствует then термину.
Табл. 2 суммирует типы действий, которые можно задать в термине фильтра межсетевых экранов.
Тип действия |
Описание |
Комментарий |
|---|---|---|
Прекращения |
Останавливает все оценки фильтра межсетевых экранов для конкретного пакета. Маршрутизатор (или коммутатор) выполняет указанное действие, и для проверки пакета не используются дополнительные условия. В термине фильтра межсетевых экранов можно задать только одно действие. Тем не менее, можно указать одно действие, завершающее действие, одним или более неудающим действием в одном и том же сроке. Например, в термине можно указать |
|
Безустанавка |
Выполняет другие функции пакета (например, приращение счетчика, ведение журнала информации о загоне пакета, выборка пакетных данных или отправка информации удаленному хосту с помощью функции системного журнала), но для проверки пакета используются любые дополнительные условия. |
Все неустанавливающие действия включают неявное действие принятия. Данное действие при приеме осуществляется в том случае, если в том же сроке не было настроено ни одного другого действия. См. "Действия, неудавающие действие фильтра межсетевых экранов". |
Управление потоком |
Только для стандартных фильтров межсетевых экранов действие направляет маршрутизатору (или коммутатору) выполнение настроенных действий на пакете, а затем, вместо того, чтобы прервать фильтр, использует следующий термин фильтра для оценки Например, при настройке термина с неустановимым действием его действие меняется с неявного на |
Действие, прервав действие, нельзя настроить в том же В стандартной конфигурации фильтра брандмауэра поддерживается до 1024 Прим.:
На Junos OS Evolved |