Juniper EX 網路交換器 Firewall Filters 功能介紹與設定

知識庫編號：1008

Firewall Filters (ACL)管理原理與配置

為了保護和網絡交換機，Firewall Filter 可以被套用到交換機的 Control Plane 或 Packet

Forwarding Engine (PFE)。

Firewall Filter 的種類

EX switch firewall filter(ACL)支援多種類型的 Filters. 雖然語法相同但是依套用的地方不同會

產生不同的功用。

(1) Port (Layer 2) firewall filter

Port firewall filters 套用到 Layer 2 switch 介面. 你可以套用 port firewall filters 只在 Inbound

的方向.

(2) VLAN firewall filter

Virtual LAN (VLAN) firewall filters 提供進入 Vlan 封包的存取控制 可以套用 VLAN firewall

filters 在 Vlan Inbound 或 Outbound 的方向。

(3) Router (Layer 3) firewall filter

Router firewall filter 在 Inbound 與 Outbound 的方向，套用在 Layer 3 介面或是 Routed VLAN

Interfaces (RVI). 你也可以套用 router firewall filter 在 Inbound 的方向在 loopback interface。

你可以設定並且套用一個或多個 firewall filter 在介面上或是 Vlan 或是 Router 介面,依照方

向性(Inbound 或 Outbound).

Juniper EX 網路交換器 Firewall Filters 功能介紹與設定

知識庫編號：1008

Filter Term 解釋

類似政策的觀念，一個 Filter 可由多個 Term 組成，並且每一個 Term 被依順序性檢查，假如

有比對到其中一個 Team 的就不會再比對下去。預設有一條隱性的 Filter 在最後面阻擋全部流

量。

一個 Terminating 的行為包含:

(1) accept

允許封包通過

(2) discard

默默的把封包丟棄

(3) reject

丟棄封包並且送出 ICMP error message 的封包 (預設: administratively prohibited)

(4)其他的行為

類似 log, count, syslog, 等

Filter 匹配的條件

(1) Layer 2 Filter

通常使用到 TCP /UDP /ICMP /IP /Port 號碼或服務類型，另外還有 Layer 2 的 MAC 位址還有

Vlan tags。

(2) Layer 3 Filter

通常使用到 TCP /UDP /ICMP /IP /Port 號碼或服務類型。

Juniper EX 網路交換器 Firewall Filters 功能介紹與設定

知識庫編號：1008

設定範例

如圖,有 2 個 VLANs 如下:

VLAN 10

給內部員工使用網段為 200.2.2/24

VLAN 20

給訪客使用網段為 66.66.66/24

0 2 4 6 8 10 12 14 16 18 20 221 3 5 7 9 11 13 15 17 19 21 23

EX2200 24 PoE

SYS

ALM

POE

EN

DX

SPD

0 1 2 3

0 2 4 6 8 10 12 14 16 18 20 221 3 5 7 9 11 13 15 17 19 21 23

EX2200 24 PoE

SYS

ALM

POE

EN

DX

SPD

0 1 2 3

0 2 4 6 8 10 12 14 16 18 20 221 3 5 7 9 11 13 15 17 19 21 23

EX4200 24PoE

Guest Network

Vlan 20Host 4

Host 1

200.2.2.1/24Vodkila

10.10.1.3

Rum

10.10.1.5

Bourbon

10.10.1.7

200.2.2.4/24

Scotch

10.10.1.9

200.2.2.10/24

Ge-0/0/0

10.3.9.9/24

Ge-0/0/3

10.3.9.3/24

在 Vodkila 的 SW 上有一個往 Internet 的 Default GW,可以讓有的 Vlan 都可以上 Internet。

目標是在保護網路及提供不同的存取給內部員工跟訪客.

首先我們需要套用 Filter 從 Internet 到 Vodkila 的資料，之後我們開始針對我們的目標建立 Filter

在這一個 Case 中全部 Outbound 到 Internet 的資料都被允許，只有一些 Inbound 的資料被 Filter

我們的目標如下:

(1) 只允許 TCP 的資料可以被送到 Internet.

(2) 允許 TCP fragments.

(3) 只允許“traceroutes” 和 “return” 的 UDP 封包進來.

(4) 允許 Ping 和 traceroute 的封包送出去 .

(5) 允許 Traceroute 的封包送進來.

Juniper EX 網路交換器 Firewall Filters 功能介紹與設定

知識庫編號：1008

首先我們定義 Filter 的名稱叫做 Internet-In。

第一個 Deny TCP 的規則在 Inbound 的方向，從任何地方到目的地是內部的網段，我們也可以

執行 Count 並且給它一個名稱叫 deny-i-tcp。

設定如下:

lab@RUM# set firewall family inet filter Internet-In

lab@RUM# show firewall family inet

term deny-inbound-tcp {

from {

destination-address {

200.2.2.0/24;

66.66.66.0/24;

}

protocol tcp;

tcp-initial;

}

then {

count deny-i-tcp;

discard;

}

}

下一步，我們建立一個 Term 用來允許封包從 Internet 過來。由於 Inbound 的 TCP 封包已經被

上一個 Term deny 了，在這邊允許 Outbound 的 TCP 封包

設定如下:

term allow-outbound-tcp {

from {

200.2.2.0/24;

66.66.66.0/24;

}

protocol tcp;

}

then {

count allow-o-tcp;

accept;

}

}

Juniper EX 網路交換器 Firewall Filters 功能介紹與設定

知識庫編號：1008

TCP fragments 的條件設定如下:

term allow-tcp-frags {

from {

is-fragment;

protocol tcp;

}

then {

count tcp-frags;

accept;

}

}

下一步 Internet 的網段被允許收到進來的 UDP 封包(沒有被分割) 並且被執行 Count。這步驟

允許從 Outbound 的 UDP session 被送回來。

設定如下:

term allow-udp {

from {

destination-address {

200.2.2.0/24;

66.66.66.0/24;

}

protocol udp;

}

then {

accept;

count count-udp;

}

最後，ping 和 traceroute 被允許 Outbound 和 Count，由於這是一個 input filter，回來的封包都

被允許(包含 echo replies 和 time exceeds message)，同時 unreachable 的訊息要被允許在任一個

可能發生的 Outbound 錯誤回應的地方。

Juniper EX 網路交換器 Firewall Filters 功能介紹與設定

知識庫編號：1008

設定如下:

term allow-some-icmp-outbound {

from {

destination-address {

200.2.2.0/24;

66.66.66.0/24;

}

protocol icmp;

icmp-type [ echo-reply time-exceeded unreachable ];

}

then {

count icmp;

accept;

}

}

最後 deny Term 被加在最後一個 Filter，因為這是一個預設的行為，這一個範例展示被 deny

的資料都必須被 Count

設定的方法如下:

term denied-traffic {

then {

count denied;

discard;

}

}

Juniper EX 網路交換器 Firewall Filters 功能介紹與設定

知識庫編號：1008

Vodkila 被套用 filter 在 input 的方向在與 Scotch 連結的介面上

設定如下:

[edit interfaces ge-0/0/8]

lab@Vodkila# show

unit 0 {

family inet {

filter {

input Internet-In;

}

address 10.3.9.8/24;

}

}

lab@Vodkila# commit

觀察資料 match Filter 的狀況 可以利用之前在每個 Filter 所設定的 Count 來觀察

觀察結果如下:

lab@Vodkila# run show firewall

Filter: Internet-In

Counters:

Name Bytes Packets

allow-o-tcp 1904 28

count-udp 576 9

denied 408 4

deny-i-tcp 642 9

icmp 812 8

tcp-frags 0 0

若您的問題未能獲得解決，請簡述您的問題，寄至湛揚科技技術服務信箱，我們會盡快為您處理。

湛揚科技技術服務信箱：jnsupport@t-tech.com.tw