- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置流量监管器
- play_arrow 了解流量监管器
- 监管器实施概述
- ARP 监管器概述
- 示例:配置 ARP 监管器
- 了解监管器和令牌桶算法的优势
- 确定流量监管器的适当突发大小
- 使用流量监管控制网络访问概述
- 流量监管器类型
- 监管器和防火墙过滤器操作的顺序
- 了解监管数据包的帧长度
- 支持的监管标准
- 分层监管器配置概述
- 了解增强型分层监管器
- 基于每秒数据包数 (pps) 的监管器概述
- 应用流量监管器的准则
- 聚合以太网接口的监管器支持概述
- 示例:为物理接口上的聚合流量配置物理接口监管器
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- ACX 系列路由器上的分层监管器概述
- 在 ACX 系列路由器上配置分层监管器的准则
- ACX 系列路由器上的分层监管器模式
- 处理 ACX 系列路由器上的分层监管器
- 对 ACX 系列路由器上的分层监管器执行的操作
- 在 ACX 系列路由器上配置聚合父监管器和子监管器
- play_arrow 配置监管器速率限制和操作
- play_arrow 配置第 2 层监管器
- play_arrow 在第 3 层配置双色和三色流量监管器
- play_arrow 在第 3 层配置逻辑和物理接口流量监管器
- play_arrow 在交换机上配置监管器
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
策略框架概述
Junos® 操作系统 (Junos OS) 提供了一个 策略框架,该框架是 Junos OS 策略的集合,允许您控制路由信息和数据包流。
Junos OS 策略架构简单明了。但是,每个策略的实际实施增加了策略的复杂性,并增加了路由器功能的功能和灵活性。配置策略会对路由器内部和通过路由器的路由信息或数据包流产生重大影响。例如,您可以配置不允许将与特定客户关联的路由放置在路由表中的路由策略。由于此路由策略,客户路由不会用于将数据包转发到各个目标,路由协议也不会将路由通告给邻居。
在配置策略之前,请确定要使用它完成的目标,并彻底了解如何使用各种匹配条件和操作实现目标。此外,请确保您了解正在配置的策略的默认策略和操作。
路由策略和防火墙过滤器
策略框架由以下策略组成:
路由策略 — 允许您控制路由协议与路由表之间以及路由表与转发表之间的路由信息。所有路由协议都使用 Junos OS 路由表来存储它们获知的路由,并确定它们应该在其协议数据包中通告哪些路由。路由策略允许您控制路由协议存储在路由表中以及从路由表中检索哪些路由。
防火墙过滤器 策略 — 允许您控制将路由器传输到网络目标的数据包以及发往路由器并由路由器发送的数据包。
注:此处使用术语 防火墙过滤器策略 来强调防火墙过滤器是一种策略,并且与路由策略有一些基本的相似之处。但是,在本手册的其余部分中提及防火墙过滤器策略时,将使用术语 防火墙过滤器 。
创建路由策略的原因
在以下典型情况下,您可能希望通过创建自己的路由策略来抢占路由策略框架中的默认路由策略:
您不希望协议将所有路由导入路由表。如果路由表不了解某些路由,则它们永远不能用于转发数据包,也永远不能重新分发到其他路由协议中。
您不希望路由协议导出它获知的所有活动路由。
您希望路由协议通告从其他路由协议获知的活动路由,该协议有时称为 路由重新分发。
您希望操作路由特征,例如首选项值、AS 路径或社区。您可以操作路由特征以控制选择哪条路由作为到达目标的活动路由。通常,活动路由也会播发给路由器的邻居。
您想要更改默认 BGP 路由抖动抑制参数。
您希望执行按数据包的负载平衡。
您希望启用 服务等级 (CoS)。
受策略影响的路由器流
Junos OS 策略会影响以下路由器流:
路由协议与路由表之间以及路由表与转发表之间的路由信息流。路由引擎处理此流程。路由信息 是路由协议从路由器的邻居处获知的路由信息。此信息存储在路由表中,随后由路由协议向路由器的邻居通告。路由策略允许您控制此信息的流动。
数据包流入和流出路由器的物理接口。数据包转发引擎处理此流程。数据包 是在从源转发到目标时通过路由器的数据块。当路由器在接口上收到数据包时,它会通过在转发表中查找到达目标的最佳路由来确定数据包的转发位置。然后,路由器通过相应的接口将数据包转发到目的地。防火墙过滤器允许您控制这些数据包的流动。
本地数据包从路由器的物理接口流向路由引擎。路由引擎处理此流程。本地数据包 是发往路由器或由路由器发送的数据块。本地数据包通常包含路由协议数据、用于 IP 服务(如 Telnet 或 SSH)的数据,以及用于管理协议(如互联网控制消息协议 (ICMP))的数据。当路由引擎收到本地数据包时,它会将数据包转发到相应的进程或内核(两者都是路由引擎的一部分)或数据包转发引擎。防火墙过滤器允许您控制这些本地数据包的流动。
注:在本章的其余部分,除非另有明确说明,否则术语 数据包 同时指数据和本地数据包。
图 1 说明了流经路由器的流量。尽管流量彼此非常不同,但它们也是相互依存的。路由策略确定在转发表中放置哪些路由。反过来,转发表在确定转发数据包的适当物理接口方面发挥着不可或缺的作用。
您可以配置路由策略来控制路由协议在路由表中放置的路由,以及控制路由协议从路由表播发哪些路由(请参阅 图 2)。路由协议仅通告来自路由表的活动路由。( 活动路由 是从路由表中的所有路由中选择到达目标的路由。
您还可以使用路由策略执行以下操作:
更改特定路径特征,以便控制选择哪条路径作为到达目的地的活动路径。通常,活动路由也会播发给路由器的邻居。
更改为默认 BGP 路由抖动抑制值。
执行按数据包的负载平衡。
启用服务等级 (CoS)。
您可以配置防火墙过滤器来控制数据包流的以下方面(请参阅 图 3):
物理接口上接受哪些数据包以及从物理接口传输哪些数据包。要控制数据包的流动,请将防火墙过滤器应用于物理接口。
哪些本地数据包从物理接口传输到路由引擎。要控制本地数据包,请在环路接口(路由引擎接口)上应用防火墙过滤器。
防火墙过滤器提供了一种保护路由器的方法,防止过多的流量将路由器传输到网络目标或发往路由引擎。控制本地数据包的防火墙过滤器还可以保护您的路由器免受拒绝服务攻击等外部事件的影响。
控制点
所有策略都提供两个点,您可以在这两个点上控制通过路由器的路由信息或数据包(请参阅 图 4)。这些控制点允许您控制以下内容:
将路由信息放入路由表之前和之后的路由信息。
转发表查找前后的数据包。
路由引擎接收之前和之后的本地数据包。图 4 ( 似乎只描绘了一个控制点,但由于本地数据包的双向流,实际上存在两个控制点。
由于存在两个控制点,因此您可以配置在路由信息或数据包与各自表交互之前和之后控制路由信息或数据包的策略,以及在与路由引擎交互之前和之后控制本地数据包的策略。导入路由策略 控制放置在路由表中的路由信息,而 导出路由策略 控制从路由表播发的路由信息。输入防火墙过滤器 控制在路由器接口上接收的数据包,而 输出防火墙过滤器 控制从路由器接口传输的数据包。
策略组件
所有策略都由您配置的以下组件组成:
匹配条件 — 用于比较路由或数据包的条件。您可以配置一个或多个条件。如果所有条件都匹配,则应用一个或多个操作。
操作 - 如果所有条件都匹配,会发生什么情况。您可以配置一个或多个操作。
术语 - 定义匹配条件和操作的命名结构。您可以定义一个或多个术语。
策略框架软件根据术语内的匹配条件评估每个传入和传出路由或数据包。如果满足匹配条件中的条件,则执行定义的操作。
通常,策略框架软件会将路由或数据包与策略中第一个术语中的匹配条件进行比较,然后继续执行下一个术语,依此类推。因此,您在策略中排列术语的顺序是相关的。
术语内匹配条件的顺序无关紧要,因为路由或数据包必须与术语中的所有匹配条件匹配才能执行操作。
