了解如何评估防火墙过滤器
防火墙过滤器由一个或多个术语组成, 防火墙过滤器 中术语的顺序非常重要。在配置防火墙过滤器之前,您应该了解瞻博网络 EX 系列以太网交换机如何评估防火墙过滤器中的术语,以及如何根据条款评估数据包。
当防火墙过滤器由单个术语组成时,将按如下方式评估过滤器:
如果数据包符合所有条件,则执行语句中的 操作。
then
如果数据包符合所有条件,并且语句中未指定 任何操作,则执行默认操作 。
then
accept
当防火墙过滤器由多个术语组成时,将按顺序评估防火墙过滤器:
在第一个术语中,将根据语句中的 条件评估数据包。
from
如果数据包与术语中的所有条件匹配,则执行语句中的 操作并结束评估。
then
不计算筛选器中的后续项。如果数据包与术语中的所有条件不匹配,则在第二个术语中根据语句中的 条件评估数据包。
from
此过程一直持续到数据包与语句中的 条件匹配后续术语之一,或者过滤器中没有更多术语。
from
如果数据包在没有匹配项的情况下通过过滤器中的所有术语,则该数据包将被丢弃。
图 1 显示了 EX 系列交换机如何评估防火墙过滤器中的术语。
如果术语不包含 语句,则认为数据包匹配,并执行术语语句中的 操作。from
then
如果术语不包含 语句,或者语句中尚未配置 操作,并且数据包与术语语句中的 条件匹配,则接受数据包。then
then
from
每个防火墙过滤器在过滤器末尾都包含一个隐 式语句,该语句等效于以下显式过滤器术语:deny
term implicit-rule { then discard; }
因此,如果数据包在不匹配任何条件的情况下通过过滤器中的所有术语,则该数据包将被丢弃。如果配置的防火墙过滤器没有期限,则通过该过滤器的所有数据包都将被丢弃。