Packet Filters简介
Packet Filters也称为包过滤器,它在BIG-IP中的作用为数据包过滤器通过指定 BIG-IP ®系统接口是否应根据指定的标准接受或拒绝某些数据包来增强网络安全性。数据包过滤器对传入流量实施访问策略。它们仅适用于传入流量。
可以通过使用 BIG-IP 配置实用程序创建数据包过滤规则来实施数据包过滤。数据包过滤规则的主要目的是定义用户希望 BIG-IP 系统在过滤数据包时使用的标准。可以在数据包过滤器规则中指定的条件示例包括:
-
数据包的源IP地址
-
数据包的目的IP地址
-
数据包的目的端口
用户可以在表达式中指定应用包过滤规则的条件。创建包过滤规则时,用户可以指示 BIG-IP 系统为用户构建表达式,在这种情况下,用户只需从预定义的列表中选择条件,或者用户可以编写自己的表达式文本,使用语法
tcpdump效用。
包过滤规则与 iRules ®无关
用户还可以配置适用于用户创建的所有数据包过滤规则的全局数据包过滤。
全局设置
包过滤的全局设置分为两类:属性和豁免。BIG-IP ®系统将全局设置应用于进入 BIG-IP 系统的所有数据包。
请注意,全局设置之一“数据包过滤”启用数据包过滤。当用户禁用此设置时,不会运行任何数据包过滤设置或数据包过滤规则,并且 BIG-IP 系统默认允许所有流量。
全局属性
用户可以为数据包过滤配置三个特定的全局属性。
包过滤启用
在 BIG-IP ®系统上实施数据包过滤之前,用户必须启用数据包过滤功能。用户可以通过更改
包过滤
设置为
启用
. 包过滤的默认设置是
已禁用
.
未处理数据包的控制
有时数据包与用户在创建的数据包过滤规则中指定的任何条件都不匹配。为此,用户必须配置
未处理的数据包操作
属性,指定当数据包不匹配数据包过滤规则标准时 BIG-IP 系统应采取的操作。
此设置的可能值为
接受
,
丢弃
, 和
拒绝
. 默认值为
接受
.
更改 Unhandled Packet Action 属性的默认值可能会产生不良后果。在将此值更改为丢弃要么 拒绝,请确保用户希望 BIG-IP 系统接受的任何流量都符合数据包过滤规则中指定的条件。
其他选项
使用 Options 属性,用户可以配置另外两个选项:
过滤已建立的连接
当用户启用(选中)此选项时,BIG-IP 系统会过滤所有入口数据包,即使这些数据包是现有连接的一部分。默认设置为禁用(未选中)。请注意,选中此选项通常不会增强安全性,并且会影响系统性能。
在数据包拒绝时发送 ICMP 错误
当用户启用(选中)此选项时,当入口数据包被拒绝时,系统会发送 ICMP 类型 3(目标不可达)代码 13(管理禁止)数据包。当用户禁用(清除)此选项时,BIG-IP 系统会发送一个依赖于协议的 ICMP 拒绝数据包。此选项的默认设置为禁用(清除)。
全域豁免
用户可以为数据包过滤设置许多豁免。在过滤数据包时,BIG-IP ®系统始终应用这些豁免,有效地覆盖用户之前在单个数据包过滤规则中设置的某些标准。
VLAN
使用
VLAN
设置,用户可以配置 BIG-IP 系统,使来自一个或多个指定 VLAN 的流量免于包过滤。在这种情况下,系统不会尝试将来自指定 VLAN 的数据包匹配到任何数据包过滤规则。相反,BIG-IP 系统始终接受来自指定 VLAN 的流量。
例如,如果用户指定 VLAN 内部,则来自 VLAN 内部的传入数据包不会受到数据包过滤,即使数据包符合数据包过滤规则的条件。
可能的值为:
始终接受
当用户选择此值时,会出现 VLAN 列表设置。然后,用户可以指定一个或多个 VLAN,从这些 VLAN 中的流量应免于数据包过滤。
没有
当用户选择此值时,来自所有 VLAN 的流量都将根据现有的数据包过滤规则标准进行数据包过滤。这是默认值。
协议
随着
协议
设置,用户
可以指定 ARP 和某些 ICMP 消息是否免于包过滤。个别设置如下:
始终接受 ARP
当用户
启用(选中)此设置时,系统会自动接受所有 ARP 数据包,因此不会对其进行数据包过滤。默认设置已启用(选中)。
始终接受重要的 ICMP
当用户
启用(选中)此设置时,系统会自动接受 IPv4 的以下 ICMP 数据包类型,因此不会对它们进行数据包过滤:
-
UNREACH
-
SOURCEQUENCH
-
REDIRECT
-
TIMEXCEED
默认设置已启用。
MAC 地址
用户可以使用
MAC 地址
设置以使来自某些 MAC 地址的流量免于数据包过滤。可能的值为:
始终接受
选择此值时,会出现 MAC 地址列表设置。然后,用户可以指定一个或多个 MAC 地址,从中可以免除数据包过滤的流量。
None
当用户选择此值时,来自所有 MAC 地址的流量都将根据现有的数据包过滤规则标准进行数据包过滤。这是默认值。
IP 地址
用户可以使用
IP 地址
设置以使来自某些 IP 地址的流量免于数据包过滤。可能的值为:
始终接受
当用户选择此值时,会出现 IP 地址列表设置。然后用户可以指定一个或多个 IP 地址,来自其的流量应免于数据包过滤。
None
当用户选择此值时,来自所有 IP 地址的流量都将根据现有的数据包过滤规则标准进行数据包过滤。这是默认值。
VLAN
使用
VLAN
设置,用户可以配置 BIG-IP ®系统,使来自一个或多个指定 VLAN 的流量免于包过滤。在这种情况下,系统不会尝试将来自指定 VLAN 的数据包匹配到任何数据包过滤规则。相反,BIG-IP 系统始终接受来自指定 VLAN 的流量。
例如,如果用户指定 VLAN 内部,则来自 VLAN 内部的传入数据包不会受到数据包过滤,即使数据包符合数据包过滤规则的条件。
可能的值为:
始终接受
当用户选择此值时,
VLAN 列表
出现设置。然后,用户可以指定一个或多个 VLAN,从这些 VLAN 中的流量应免于数据包过滤。
None
当用户选择此值时,来自所有 VLAN 的流量都将根据现有的数据包过滤规则标准进行数据包过滤。这是默认值。
包过滤规则的顺序
用户使用
命令
设置以指定用户希望 BIG-IP ®系统应用现有数据包过滤规则的顺序。此设置是必需的。此设置的可能值为:
First
如果用户希望此数据包过滤规则成为 BIG-IP 系统应用的第一条规则,请选择此值。
Last
如果用户希望此数据包过滤规则成为 BIG-IP 系统应用的最后一条规则,请选择此值。
After
如果用户希望系统从列表中选择的数据包过滤器之后应用此数据包过滤器,请选择此值,然后从列表中选择一个数据包过滤器规则。请注意,当用户配置了三个以上的数据包过滤规则时,此设置最有用。
关于包过滤规则中的动作设置
当数据包符合用户在数据包过滤规则中指定的条件时,BIG-IP ®系统可以采取特定操作。用户使用
行动
环境 用户可以选择以下操作之一:
接受
选择
接受,
如果用户希望系统接受数据包,并停止处理其他数据包过滤规则(如果存在)。这是默认设置。
丢弃
选择
丢弃,
如果用户希望系统丢弃数据包,并停止处理其他数据包过滤规则(如果存在)。
拒绝
选择
拒绝,
如果用户希望系统丢弃该数据包,同时也向发送者发送一个拒绝数据包,表示该数据包被拒绝。请注意,当用户选择
拒绝
操作取决于用户如何配置常规数据包过滤器选项属性,在数据包拒绝时发送 ICMP 错误。
继续
选择
继续,
如果用户只是希望系统确认数据包以用于记录或统计目的。设置
行动
值
继续
不影响 BIG-IP 系统处理数据包的方式;系统继续评估与规则匹配的流量,从列出的下一个数据包过滤规则开始。
费率等级分配
使用
费率等级
设置,用户可以将速率等级分配给与数据包过滤规则中定义的条件相匹配的流量。请注意,此设置仅在用户启用了速率整形功能时适用。
此设置的默认值为无。如果用户之前使用速率调整功能创建了速率等级,则可以从费率等级列表查看。
一个或多个 VLAN
用户使用
应用到 VLAN
设置以显示 VLAN 列表,然后选择 VLAN 或 VLAN 组名称。从列表中选择 VLAN 意味着数据包过滤规则仅过滤来自该 VLAN 的入口流量。例如,如果用户选择值
*所有 VLAN
,BIG-IP ®系统将数据包过滤规则应用于进入 BIG-IP 系统的所有流量。
同样,如果用户选择VLAN 内部,BIG-IP 系统仅将数据包过滤规则应用于来自 VLAN 内部的流量。默认值为*所有 VLAN.
如果用户选择 VLAN 组的名称而不是单个 VLAN,则数据包过滤规则将应用于该 VLAN 组中的所有 VLAN。
日志记录
如果用户想在每次数据包匹配规则时生成日志消息,用户可以为数据包过滤规则启用日志记录。通过此配置,用户可以在 BIG-IP 配置实用程序中显示日志记录屏幕并查看与数据包过滤相关的事件。
关于过滤器表达式创建
为了匹配传入的数据包,BIG-IP 系统必须使用过滤器表达式。一种
过滤器表达式
指定用户希望 BIG-IP 系统在过滤数据包时使用的标准。例如,BIG-IP 系统可以根据数据包标头中的源或目标 IP 地址过滤数据包。
使用 BIG-IP 配置实用程序,用户可以通过以下两种方式之一创建过滤器表达式:
-
用户可以使用过滤器表达式框编写自己的表达式。
-
用户可以指定希望 BIG-IP 系统在过滤数据包时使用的一组标准(例如源或目标 IP 地址)。当用户使用此方法时,BIG-IP 系统会为用户构建过滤器表达式。
用户可以拥有任意数量的规则,仅受可用内存的限制。当然,用户拥有的语句越多,理解和维护用户的数据包过滤器就越具有挑战性。