Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

防火墙过滤器概述

 

防火墙过滤器提供的规则可用于定义是接受还是丢弃经过接口的数据包。如果接受数据包,则可以配置对数据包执行的其他操作,如服务等级(CoS)标记(将类似类型的信息流组合在一起,并将每种类型的信息流视为具有自己的服务优先级级别的类)和信息流监管(控制发送或接收的信息流的最大速率)。您可以配置防火墙过滤器,以确定在数据包进入或退出3层(路由)接口之前是接受还是丢弃。

入口防火墙过滤器应用于进入接口的数据包,而出口防火墙过滤器则应用于正在退出接口的数据包。

注意

防火墙过滤器有时称为访问控制列表(acl)。

您可以在哪里应用过滤器

您可以在 IPv4 或 IPv6 第3层(路由)接口和回传接口上的入口和出口方向应用路由器防火墙过滤器,后者将过滤发送至交换机本身或由交换机生成的流量。

将过滤器应用于输入方向上的回传接口,以防止交换机出现意外信息流。您还可能希望在输出方向上将过滤器应用于回传接口,以便为源于交换机本身的数据包设置转发类和 DSCP 位值。此功能让您可以非常精细地控制 CPU 生成的数据包的分类。例如,您可能希望为不同路由协议生成的流量分配不同的 DSCP 值和转发类,以便其他设备能够以差异方式处理这些协议的流量。

注意

在 QFX5220 交换机上,您只能将过滤器应用于入向定向接口。

注意

如果您将入口和出口过滤器应用于同一接口,则会首先处理入口过滤器。

要应用防火墙过滤器:

  1. 配置防火墙过滤器。
  2. 将防火墙过滤器应用于第3层接口并指定方向。如果指定input方向,将在入口上过滤流量。如果指定output方向,流量将在出口上过滤。
注意

您只能将一个防火墙过滤器应用于给定方向的第3层接口。例如,对于给定family inet接口,您可以将一个过滤器应用于输入,一个用于输出。

OCX 交换机支持每种类型的附件点的最大防火墙过滤器术语数表 1

表 1: 支持的防火墙过滤器编号

过滤器类型最大过滤器数

入口

1536

进出

1024

防火墙过滤器组件

在防火墙过滤器中,首先定义系列地址类型(inet对于 IPv4 或inet6 IPv6),然后定义一个或多个用于指定过滤标准的术语,以及在发生匹配时要采取的措施。

每个术语都由以下组件构成:

  • 匹配条件—指定数据包必须包含的值,以便视为匹配。

  • 操作—指定当数据包符合匹配条件时应采取的措施。过滤器可接受、丢弃或拒绝匹配的数据包,然后执行其他操作,例如计数、分类和监管。如果没有为术语指定任何操作,则默认值为接受匹配数据包。

防火墙过滤器处理

如果过滤器中有多个词,则条款的顺序至关重要。如果数据包与第一项匹配,交换机将执行该术语定义的操作,并且不会评估其他任何条款。如果交换机在数据包和第一项之间未找到匹配项,则会将数据包与下一术语进行比较。如果数据包和第二项之间不存在匹配项,系统会继续将数据包与过滤器中的每个后续术语进行比较,直到找到匹配项。如果数据包与过滤器中的任何术语都不匹配,默认情况下交换机会丢弃该数据包。