Filter的方向包括進入和外出,在HiPER中分別用“In”和“Out”來表示,Filter方向用來指出是在封包進入或離開HiPER時對其進行過濾。Filter的方向與資料流程方向、及其應用埠(物理埠或虛埠)密切相關,它們的涵義如下:
進入(In)— 當封包從指定埠進入HiPER時執行過濾。封包來自與指定埠相連的網路,希望穿過HiPER到達另一埠並轉發。當指定埠接收到封包之後,將首先進行Filter策略的匹配檢查,如果有匹配策略,且該策略定義的動作是轉發,那麼將對該封包進行路由處理;否則將直接丟棄該封包。
外出(Out)— 當封包從指定埠離開HiPER時執行過濾。封包來自與另一埠相連的網路,已經穿過HiPER到達指定埠,並希望從該埠轉發。當指定埠接收到封包之後,將進行Filter策略的匹配檢查,並根據匹配策略定義的動作處理該封包:轉發或丟棄。
以下將通過兩個實例來說明Filter方向與資料流程方向、以及應用埠的關係,如圖1、2所示。圖1、2中,都是通過HiPER連接兩個網路:網路A和網路B,其中,LAN口連接到網路A,WAN口連接到網路B。
- filter-1.gif (5.25 KiB) 被瀏覽 18979 次
圖1:Filter方向示意圖1
如圖1所示,如果要求過濾從網路A發起經過HiPER轉發到網路B的流量,那麼,從HiPER的LAN口來看,是接收到封包;而從WAN口來看,則是發送封包。因此,當在LAN口啟用Filter功能時,其方向需定義為In;當在WAN口啟用Filter功能時,其方向需定義為Out。
- filter-2.gif (5.29 KiB) 被瀏覽 18979 次
圖2:Filter方向示意圖2
如圖2所示,如果要求過濾從網路B發起經過HiPER轉發到網路A的流量,那麼,從HiPER的WAN口來看,是接收到封包;而從LAN口來看,則是發送封包。因此,當在WAN口啟用Filter功能時,其方向需定義為In;當在LAN口啟用Filter功能時,其方向需定義為Out。
由上可以看出,Filter方向為 In或Out,將導致在HiPER內部是先進行路由處理還是先進行Filter匹配檢查。Filter方向為In時,HiPER將首先進行Filter策略的匹配檢查,再進行路由處理。Filter方向為Out時,HiPER是先進行路由處理選擇外出介面,再在該介面進行Filter策略的匹配檢查。因此,一般情況下,為了提高HiPER的效率,避免對將被丟棄的封包進行路由處理,建議將Filter應用于與封包源端所在網路相連(靠近)的介面,此時Filter方向為In。
提示:
一般情況下,由於HiPER會啟用NAT功能,所有的局域網電腦將僅使用一個或幾個公網位址連接到Internet,因此,通常都是過濾從企業內部局域網到Internet的流量。同時,由於一般都是LAN口接局域網,因此通常都是在LAN口啟用Filter,其方向為In
