Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

标准防火墙过滤器应用准则

 

应用防火墙过滤器概述

您可将标准防火墙过滤器应用于路由器上的回传接口或路由器的物理或逻辑接口。您可以将防火墙过滤器应用于单个接口或路由器上的多个接口。表 1根据要附加过滤器的点汇总防火墙过滤器的行为。

表 1: 按过滤器连接点的防火墙过滤器行为

过滤器连接点

过滤器行为

回传 接口

路由器’的回传接口lo0是路由引擎接口,并且不传输数据包。将防火墙过滤器应用于回传接口时,过滤器将评估由路由引擎接收或传送的本地数据包。

注意:

  • ACX5048 和 ACX5096 路由器不支持对路由引擎为回传接口过滤器传输的数据包进行评估。

物理 接口或逻辑 接口

当您将过滤器应用于路由器上的物理接口或逻辑接口(或接口上定义的聚合以太网束的成员)时,过滤器将评估通过该接口的所有数据包。

多 个接口

您可以使用同一防火墙过滤器一次或多次。

在 M 系列路由器(M120 和 M320 路由器除外)中,如果将防火墙过滤器应用于多个接口,则过滤器将作用于进入或退出这些接口的信息流的总和。

在 T 系列、M120、M320 和 MX 系列路由器上,接口分布在多个数据包转发组件中。在这些路由器上,您可以配置防火墙过滤器和服务过滤器,在应用于多个接口时,对每个接口的各个信息流执行操作,而不管多个接口上的信息流总和如何。

有关详细信息,请参阅接口特定防火墙过滤器实例概述

连接 了   单一接口和协议无关的防火墙 过滤器  

对于仅在以下硬件上托管的接口,您可以同时附加与协议无关family any的()防火墙过滤器和协议特定(family inetfamily inet6)防火墙过滤器。首先执行协议无关防火墙。

  • ACX 系列通用城域网路由器

  • M7i 和 M10i 多服务边缘路由器中的灵活 PIC 集中器(Fpc)

  • MX 系列中的模块化接口卡(Mic)和模块化端口集中器(Mpc)5G 通用路由平台

  • T 系列核心路由器

注意:

在以下硬件上托管的接口 不支持协议无关的防火墙过滤器:

  • M120 路由器中的转发引擎板(FEBs)

  • M320 路由器中的增强型 III Fpc

  • MX 系列路由器中的 FPC2 和 FPC3 模块

  • MX 系列路由器中密集端口集中器(Dpc)

  • PTX 系列数据包传输路由器

用于应用防火墙过滤器的语句层次结构

要将标准防火墙过滤器应用于逻辑接口,请为在filter[edit][edit logical-systems logical-system-name]层次结构级别下定义的逻辑接口配置语句。在filter语句下面,您可以包含一个或多个以下语句:group group-numberinput filter-nameinput-list filter-nameoutput filter-name、或output-list filter-name。您要在其中附加filter语句的层次结构级别取决于要配置的过滤器类型和设备类型。

MX 系列路由器上与协议无关的防火墙过滤器

要将协议无关的防火墙过滤器应用于 MX 系列路由器上的逻辑接口,请在逻辑filter单元下面直接配置语句:

逻辑接口上的所有其他防火墙过滤器

要在 MX 系列路由器上 除协议无关的过滤器之外的所有情况下将标准防火墙过滤器应用于逻辑接口,请在协议filter系列下配置以下声明:

防火墙过滤器应用限制

每个逻辑接口的输入和输出过滤器数

Input filters—虽然您可以多次使用相同的过滤器,但只能将一个输入过滤器或一个输入过滤器列表应用于一个接口。

  • 要指定单个防火墙过滤器以用于评估接口上接收的input filter-name数据包,请将语句包含在filter部分中。

  • 要指定用于评估接口上接收的input-list [ filter-names ]数据包的防火墙过滤器的有序列表,请将语句包含在filter部分中。您最多可以为过滤器 输入列表指定16个防火墙过滤器。

Output filters—虽然您可以多次使用相同的过滤器,但只能将一个输出过滤器或一个输出过滤器列表应用于一个接口。

  • 要指定用于评估接口上传输的output filter-name数据包的单个防火墙过滤器,请将语句包含在filter部分中。

  • 要指定用于评估接口上传输的output-list [ filter-names ]数据包的防火墙过滤器的有序列表,请将语句包含在filter部分中。您最多可以在一个 过滤器输出列表中指定16个防火墙过滤器。

列表中 MPLS 和2层 CCC 防火墙过滤器

input-list filter-names以下output-list filter-names例外外,所有接口都ccc支持mpls和协议系列的防火墙过滤器的和语句:

  • 管理接口和内部以太网接口fxpem0或)

  • 回传接口(lo0

  • USB 调制解调器接口umd()

MX 系列路由器和 EX 系列交换机上的第2层 CCC 防火墙过滤器

只有在 MX 系列路由器和 EX 系列交换机上,才能将第 2 层 CCC 无状态防火墙过滤器(在[edit firewall filter family ccc]层次结构级别上配置的防火墙过滤器)应用为输出过滤器。在 MX 系列路由器和 EX 系列交换机上,为family ccc语句配置的防火墙过滤器只能应用于输入过滤器。

PTX 系列数据包传输路由器上的 IPv6 防火墙过滤器

在 PTX10001-20C 路由器上,不能将 IPv6 防火墙过滤器应用于:

  • 隧道接口

  • IRB 接口

  • 出口接口

  • 接口特定过滤器,在[edit firewall family inet6 filter filter-name]层次结构级别配置。

  • 信息流监管器

  • Junos 遥测接口