Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

ファイアウォールフィルターの評価方法について

 

ファイアウォールフィルタは1つまたは複数の条件で構成され、ファイアウォールフィルター内の条件の順序が重要になります。ファイアウォールフィルターを構成する前に、ジュニパーネットワークス EX シリーズイーサネットスイッチがファイアウォールフィルター内の条件を評価する方法と、これらの条件に対するパケットの評価方法を理解しておく必要があります。

ファイアウォールフィルターを1つの条件で構成する場合、このフィルターは次のように評価されます。

  • パケットがすべての条件に一致した場合、 thenステートメント内のアクションが実行されます。

  • パケットがすべての条件に一致し、 thenステートメントにアクションが指定されていない場合は、デフォルトのアクション 同意が行われます。

ファイアウォールフィルターが複数の条件で構成されている場合、ファイアウォールフィルターは順番に評価します。

  1. 最初の用語では、パケットはfromステートメントの条件に対して評価されます。
  2. パケットがすべての条件に一致した場合、 thenステートメント内のアクションが実行され、評価が終了します。フィルター内の後続の条件は評価されません。
  3. パケットが条件の一部に一致しない場合、そのパケットはfromステートメント内の2つ目の条件に対して評価されます。

    このプロセスは、パケットが後続の条件のいずれかfromでステートメント内の条件に一致するか、またはフィルターに条件が含まれていない限り、続けられます。

  4. パケットが一致しないでフィルター内のすべての条件を通過すると、パケットは破棄されます。

図 1EX シリーズスイッチがファイアウォールフィルター内の条件を評価する方法について説明します。

図 1: ファイアウォールフィルター内の条件の評価
ファイアウォールフィルター内の条件の評価

用語にfrom文が含まれていない場合は、パケットが一致していると見なさthenれ、条件文のアクションが実行されます。

条件にthen文が含まれていない場合、またはthen文でアクションが設定されていない場合、パケットが条件from文の中で、そのパケットは受け入れられます。

すべてのファイアウォールフィルターにdenyは、フィルタの最後に暗黙的なステートメントが含まれています。これは、以下の明示的フィルタ用語と同等です。

そのため、パケットがフィルター内のすべての条件を満たしていないと、どの条件も一致しない場合、パケットは破棄されます。条件を満たしていないファイアウォールフィルターを構成すると、そのフィルターを通過するすべてのパケットが破棄されます。

関連項目