路由策略和防火墙过滤器的比较
尽管路由策略和防火墙过滤器共享一个架构,但它们的用途、实施和配置是不同的。 表 1 描述了它们的目的。 表 2 比较路由策略和防火墙过滤器的实施详细信息,突出显示其配置的异同。
策略 |
原文 |
策略目的 |
---|---|---|
路由策略 |
路由信息由内部网络对等方生成。 |
控制路由表的大小和内容、播发哪些路由以及哪些路由被认为是到达各个目标的最佳选择。 |
防火墙过滤器 |
数据包由内部和外部设备生成,通过这些设备可以进行恶意攻击。 |
保护您的路由器和网络免受过多的传入流量或可能中断网络服务的恶意攻击,并控制从哪些路由器接口转发哪些数据包。 |
策略架构 |
路由策略实施 |
防火墙过滤器实施 |
---|---|---|
控制点 |
使用导入路由策略控制放置在路由表中并使用导出路由策略从路由表播发的路由信息。 |
控制在具有输入防火墙过滤器的路由器接口上接受的数据包,以及从具有输出防火墙过滤器的接口转发的数据包。 |
配置任务:
|
定义包含术语、匹配条件和操作的策略。 将一个或多个导出或导入策略应用于路由协议。您还可以应用策略表达式,该表达式将布尔逻辑运算符与多个导入或导出 策略配合使用。 您还可以将一个或多个导出策略应用于转发表。 |
定义包含术语、匹配条件和操作的策略。 将一个输入或输出防火墙过滤器应用于物理接口或物理接口组,以过滤由物理接口接收或转发到物理接口的数据包(仅在具有互联网处理器 II 应用专用集成电路 [ASIC] 的路由平台上)。 您还可以将一个输入或输出防火墙过滤器应用于路由平台的环路接口,即路由引擎的接口(在所有路由平台上)。这允许您过滤路由引擎接收或转发的本地数据包。 |
条款 |
根据需要配置任意数量的术语。为每个术语定义一个名称。 术语将按照您指定的顺序进行评估。 在数据包与术语中的条件匹配并执行定义或默认策略操作(接受或拒绝)后,策略评估结束。不会根据同一策略或后续策略中的后续术语评估路由。 |
根据需要配置任意数量的术语。为每个术语定义一个名称。 术语将按照您指定的顺序进行评估。 在数据包与术语中的条件匹配并执行定义的或默认操作后,防火墙过滤器的评估结束。不会根据防火墙过滤器中的后续术语评估数据包。 |
匹配条件 |
指定路由必须匹配的零个或多个条件。您可以根据路由的源、目标或属性指定条件。您还可以指定以下需要更多配置的匹配条件:
|
指定数据包必须匹配的零个或多个条件。您必须匹配数据包标头中的各个字段。这些字段分为以下类别:
|
操作 |
指定在路由符合所有条件时要执行的零个或一个操作。您可以指定以下操作:
除了上述操作外,您还可以指定以下零种或多种类型的操作:
|
指定在数据包符合所有条件时要执行的零个或一个操作。(我们建议您始终显式配置操作。您可以指定以下操作:
除了零个或前面的操作之外,还可以指定零个或多个操作修饰符。您可以指定以下动作修饰符:
|
默认策略和操作 |
如果传入或传出路由到达,并且未显式配置与路由相关的策略,则会为关联的路由协议执行默认策略指定的操作。 路由策略存在以下默认操作:
|
如果传入或传出数据包到达接口,并且未为接口配置防火墙过滤器,则采用默认策略(接受数据包)。 防火墙过滤器存在以下默认操作:
|