firewall packet-filter 和 packet-filter 有什么区别?
- 0关注
- 0收藏,325浏览
问题描述:
MSR5040 firewall packet-filter 和 packet-filter 有什么区别?
配置了firewall是不是就变成会话级别了?可以实现单向访问?
- 2024-08-19提问
- 举报
-
(0)
packet-filter 和 traffic-filter 的区别:
packet-filter是华三(H3C)设备上的过滤工具,主要用于对数据流量进行过滤。它调用ACL(访问控制列表)来匹配数据包并执行过滤操作。traffic-filter是华为(Huawei)设备上的过滤工具,主要用于QoS(服务质量)功能。它对流量进行拥塞管理、标记和限速等操作,但不直接对设备自身产生的数据包进行过滤。
-
Firewall 和会话级别:
- 配置了防火墙(firewall)不一定会变成会话级别。防火墙通常用于控制数据包的流动,但不一定涉及会话状态跟踪。
- 如果您需要实现单向访问,可以使用ACL或其他过滤规则来限制流量的方向。例如,您可以配置ACL只允许从内部网络到外部网络的流量,而不允许反向流量。
- 2024-08-19回答
- 评论(0)
- 举报
-
(0)
暂无评论
功能上没啥区别,只不过一个是v5版本的命令,一个是v7版本的命令。
找不到5040,用其它型号的资料代替一下。
v5参考:
H3C MSR 系列路由器 命令参考(V5)-R2516-V1.14_安全命令参考_防火墙命令-新华三集团-H3C
1.1.12 firewall packet-filter
【命令】
firewall packet-filter { acl-number | name acl-name } { inbound | outbound } [ match-fragments { exactly | normally } ]
undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl-number:基本或高级访问控制列表号,取值范围为2000~4999。
name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
match-fragments { exactly | normally }:指定分片的匹配模式,只有高级访问控制列表才支持该参数,缺省的匹配模式为标准匹配模式。
· exactly:精确匹配模式。
· normally:标准匹配模式。
【描述】
firewall packet-filter命令用来配置接口的IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。
缺省情况下,不对通过接口的报文进行过滤。
在接口的一个方向上,只能应用一个IPv4 ACL来进行报文过滤。
相关配置可参考命令firewall fragments-inspect。
【举例】
# 使用ACL 2001在接口Serial2/0上对出方向的报文进行过滤。
<Sysname> system-view
[Sysname] interface serial 2/0
[Sysname-Serial2/0] firewall packet-filter 2001 outbound
v7参考:
1.1.13 packet-filter (interface view)
packet-filter命令用来在接口上应用ACL进行报文过滤。
undo packet-filter命令用来取消在接口上应用ACL进行报文过滤。
【命令】
packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound }
undo packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound }
【缺省情况】
接口不对报文进行过滤。
【视图】
三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/VSI虚接口视图
【缺省用户角色】
network-admin
【参数】
ipv6:指定ACL类型为IPv6 ACL。
mac:指定ACL类型为二层ACL。
acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
inbound:对收到的报文进行过滤。
outbound:对发出的报文进行过滤。
【使用指导】
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示不引用ACL进行报文过滤。
· 在引用的ACL中,若ACL规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
此功能在聚合成员端口上不生效。
【举例】
# 应用IPv4基本ACL 2001对接口GigabitEthernet1/0/1收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] packet-filter 2001 inbound
- 2024-08-19回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论