Diretrizes para configurar filtros de serviço
Hierarquia de declarações para configurar filtros de serviço
Para configurar um filtro de serviço, inclua a service-filter service-filter-name
declaração no nível de [edit firewall family (inet | inet6)]
hierarquia:
[edit] firewall { family (inet
|inet6
) {service-filter
service-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
As declarações individuais apoiadas pela service-filter service-filter-name
declaração são descritas separadamente neste tópico e são ilustradas no exemplo de configurar e aplicar um filtro de serviço.
Famílias de protocolo de filtro de serviço
Você pode configurar filtros de serviço para filtrar apenas tráfego IPv4 (family inet
) e tráfego IPv6 (family inet6
). Nenhuma outra família de protocolo é apoiada por filtros de serviço.
Nomes de filtro de serviço
Sob a family inet
declaração ou family inet6
declaração, você pode incluir service-filter service-filter-name
declarações para criar e nomear filtros de serviço. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
Termos do filtro de serviço
Sob a service-filter service-filter-name
declaração, você pode incluir term term-name
declarações para criar e filtrar nomes.
Você deve configurar pelo menos um termo em um filtro de firewall.
Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
A ordem em que você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de
insert
modo de configuração para reordenar os termos de um filtro de firewall.
Condições de correspondência do filtro de serviço
Os termos do filtro de serviço oferecem suporte apenas a um subconjunto das condições de correspondência IPv4 e IPv6 que são suportadas para filtros de firewall sem estado padrão.
Se você especificar um endereço IPv6 em uma condição de correspondência (as address
condições, destination-address
ou source-address
condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, veja "Visão geral do IPv6" na Biblioteca de protocolos de roteamento do Junos OS para dispositivos de roteamento.
Ações de terminação de filtro de serviço
Ao configurar um termo de filtro de serviço, você deve especificar uma das seguintes ações de terminação de filtro:
service
skip
Essas ações são exclusivas dos filtros de serviço.
Os termos do filtro de serviço oferecem suporte apenas a um subconjunto das ações não sufocantes IPv4 e IPv6 que são suportadas para filtros de firewall sem estado padrão:
count counter-name
log
port-mirror
sample
Os filtros de serviço não suportam a ação next .