了解如何评估防火墙过滤器
防火墙过滤器由一个或多个术语组成,术语在 过滤器 中的顺序非常重要。在配置防火墙过滤器之前,您应该了解交换机如何评估过滤器中的术语,以及如何根据术语评估数据包。
当防火墙过滤器由单个术语组成时,将按如下方式评估过滤器:
如果数据包符合所有条件,则执行语句中的 操作。
then如果数据包符合所有条件,并且语句中未指定 任何操作,则执行默认操作 。
thenaccept如果数据包不符合所有条件,交换机将丢弃该数据包。
当防火墙过滤器由多个术语组成时,将按顺序评估过滤器:
在第一个术语中,将根据语句中的 条件评估数据包。
from如果数据包与术语中的所有条件匹配,则执行语句中的 操作并结束评估。
then不计算筛选器中的后续项。如果数据包与术语中的所有条件不匹配,则在第二个术语中根据语句中的 条件评估数据包。
from此过程一直持续到数据包在后续术语之一中匹配语句中的所有 条件,或者过滤器中不再有术语。
from如果数据包在不匹配的情况下通过过滤器中的所有术语,交换机将丢弃它。
注:
语句中 条件的顺序并不重要,因为数据包必须与所有条件匹配才能被视为匹配。from
图 1 显示了交换机如何评估防火墙过滤器中的术语。
图 1: 防火墙过滤器中的术语评估
如果未在术语中包含语句,则所有数据包都将匹配该术语并由语句处理。fromthen 如果术语不包含 语句,或者语句中未配置 操作,则该术语接受任何匹配的数据包。thenthen
每个防火墙过滤器在过滤器末尾都包含一个隐 式语句,该语句等效于以下显式过滤器术语:deny
term implicit-rule {
then discard;
}
因此,与防火墙过滤器中的任何术语都不匹配的数据包将被丢弃。如果配置的过滤器没有术语,则通过过滤器的所有数据包都将被丢弃。
注:
长度至少为 64 字节的数据包支持防火墙过滤。