Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクセス コントロール リスト(ファイアウォール フィルター)

概要 このトピックでは、Cloud-Native Routerのレイヤー3-レイヤー4アクセスコントロールリスト(ファイアウォールフィルター)について説明します。

Juniper Cloud-Native Routerリリースは、ステートレスファイアウォールフィルターをサポートします。ファイアウォールフィルターは、ルーターを通過してネットワークの宛先に向かう、またはルーティングエンジンに向かう過剰なトラフィックからクラウドネイティブルーターを保護する手段を提供します。ステートレスファイアウォールフィルターは、アクセスコントロールリスト(ACL)とも呼ばれ、トラフィックをステートフルに検査しません。代わりに、パケットの内容を静的に評価し、ネットワーク接続の状態を追跡しません。ステートレス ファイアウォール フィルターの基本的な目的は、パケット フィルタリングを使用してセキュリティを強化することです。パケットフィルタリングを使用すると、着信パケットまたは発信パケットのコンポーネントを検査し、指定した基準に一致するパケットに対して指定したアクションを実行できます。ステートレス ファイアウォール フィルターの一般的な用途は、悪意のあるパケットや信頼できないパケットからルーティングエンジンのプロセスとリソースを保護することです。

どのパケットがシステムを通過できるかに影響を与え、必要に応じてパケットに特別なアクションを適用するために、 フィルター条件と呼ばれる 1 つ以上のパケットフィルタリング規則のシーケンスを構成できます。フィルター項目は、一致を判断するために使用する 一致条件 と、一致したパケットに対して実行する アクション を指定します。ステートレス ファイアウォール フィルターを使用すると、レイヤー 3 およびレイヤー 4 ヘッダー フィールドの評価に基づいて、フラグメント パケットを含む特定のプロトコル ファミリーの任意のパケットを操作できます。詳細については、 ステートレス ファイアウォール フィルターの概要 のトピックを参照してください。

手記:

JCNR では、ステートレス ファイアウォール フィルターはイングレス インターフェイスにのみ適用できます。サポートされるインターフェイスのタイプには、ファブリック インターフェイス、サブインターフェイス、ポッド インターフェイス、インターフェイスが含まれます irb

手記:

JCNR は、ファミリーごとに最大 16 個のフィルター、フィルターごとに 16 個の条件をサポートします。

JCNRは、IPv4およびIPv6標準ファイアウォールフィルターを、表に示す一致条件とアクションでサポートしています。JCNR は、 レイヤー 2 アクセス コントロール リスト(ブリッジ ファミリー用のファイアウォール フィルター)もサポートしています。

表1:IPv4トラフィックのファイアウォールフィルター一致条件

一致条件

形容

宛先アドレス address

IPv4宛先アドレスフィールドに一致します。オプションのサブネットマスクでプレフィックスを指定できます。

宛先ポート number

UDPまたはTCP宛先ポート フィールドに一致します。

ポートベースの一致を設定する場合、同じフィルター条件内に または protocol tcp 一致ステートメントも設定protocol udpする必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、以下のテキスト同義語(ポート番号も記載されています)のいずれかを指定します: afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、 netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、 pop3 (110)、 pptp (1723)、 printer (515)、 radacct (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs (49)、 tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513)、また xdmcp (177)。

送信元アドレス address

パケットを送信する送信元ノードの IPv4 アドレスに一致します。オプションのサブネットマスクでプレフィックスを指定できます。

送信元ポート number

UDPまたはTCP送信元ポート フィールドに一致します。

ポートベースの一致を設定する場合、同じフィルター条件内に または protocol tcp 一致ステートメントも設定protocol udpする必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、一致条件で destination-port number 記載されているテキスト同義語の1つを指定します。

議定書 number

IPプロトコルタイプフィールドに一致します。数値の代わりに、 ah (51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、(0)、 hop-by-hop icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、(41)、 ipv6 ospf (89)、 pim (103)、 rsvp (46)、(132)、 tcp sctp (6)、 udp (17)、または vrrp (112)。

TCPフラグ value

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 一致ステートメントを設定する protocol tcp こともお勧めします。

ICMPタイプ number

ICMPメッセージタイプフィールドに一致します。

数値の代わりに、(0)、 echo-request (8)、 info-reply (16)、 info-request (15)、 mask-request (17)、 mask-reply (18)、(12)、 parameter-problem redirect (5)、 router-advertisement (9)、 router-solicit (10)、 source-quench (4)、(11)、 time-exceeded timestamp (13)、 timestamp-reply (14)、または unreachable (3) のいずれかのテキスト同義語(フィールド値も記載されています echo-reply )のいずれかを指定できます。

表2:IPv6トラフィックのファイアウォールフィルター一致条件

一致条件

形容

宛先アドレス address

IPv6宛先アドレスフィールドに一致します。オプションのサブネットマスクでプレフィックスを指定できます。

宛先ポート number

UDPまたはTCP宛先ポート フィールドに一致します。

ポートベースの一致を設定する場合、同じフィルター条件内に または protocol tcp 一致ステートメントも設定protocol udpする必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、以下のテキスト同義語(ポート番号も記載されています)のいずれかを指定します: afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、 netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、 pop3 (110)、 pptp (1723)、 printer (515)、 radacct (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs (49)、 tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513)、また xdmcp (177)。

送信元アドレス address

パケットを送信する送信元ノードの IPv6 アドレスに一致します。オプションのサブネットマスクでプレフィックスを指定できます。

送信元ポート number

UDPまたはTCP送信元ポート フィールドに一致します。

ポートベースの一致を設定する場合、同じフィルター条件内に または protocol tcp 一致ステートメントも設定protocol udpする必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、一致条件で destination-port number 記載されているテキスト同義語の1つを指定します。

TCPフラグ value

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

ICMPタイプ message-type

ICMPメッセージタイプフィールドに一致します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 certificate-path-advertisement (149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、 echo-reply (129)、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、 inverse-neighbor-discovery-advertisement (142)、(141)、 inverse-neighbor-discovery-solicitation (130 membership-query )、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、 neighbor-advertisement (136)、 neighbor-solicit (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 private-experimentation-100 (100)、(101)、 private-experimentation-101 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)、または time-exceeded (3).

表3:ファイアウォールフィルターアクション

アクションの種類

形容

サポートされているアクション

終了

特定のパケットに対するファイアウォールフィルターのすべての評価を停止します。ルーター(またはスイッチ)は指定されたアクションを実行し、パケットの検査に追加の用語は使用されません。

ファイアウォールフィルターの条件で指定できる終了アクションは 1 つだけです。フィルター条件内で複数の終了アクションを指定しようとすると、最新の終了アクションが既存の終了アクションに置き換わります。ただし、1 つの条件で 1 つの終了アクションと 1 つ以上の非終了アクションを指定できます。たとえば、項内では、acceptcountと を指定できますsyslog。終了アクションを含む条件の数に関係なく、システムが条件内で終了アクションを処理すると、ファイアウォールフィルター全体の処理が停止します。

accept —パケットを受け入れます

discard - Internet Control Message Protocol(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。破棄されたパケットは、ロギングとサンプリングに利用できます。

非終了

パケットに対して他の機能(カウンターのインクリメント、パケットヘッダーに関する情報のログ記録、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報送信など)を実行しますが、追加の用語はパケットの検査に使用されます。

注: JCNR は、終了アクションとともに追加された場合にのみ、非終了アクションとしてサポート count します。

数える counter-name

設定例

手記:

コンフィグレットリソースを使用して、cRPDポッドを設定します。

階層の下に firewall 、ステートレスファイアウォールフィルターを使用してJCNRコントローラを設定できます。IPv4ファミリーの設定例を以下に示します。

IPv6ファミリーの設定例を以下に示します。

フィルターはイングレスインターフェイスに適用されます。サポートされるインターフェイスには、ファブリック インターフェイス、サブインターフェイス、ポッド インターフェイス、インターフェイスが含まれます irb 。フィルターは、インターフェイスの入力にのみ適用できます。

トラブルシューティング

JCNR コントローラー・コマンド

JCNRコントローラで次のコマンドを使用して、ファイアウォール情報を表示できます。

ファミリーinet(IPv4)のすべてのファイアウォールフィルターを表示します

ファミリーinetの特定のファイアウォールフィルターを表示します

ファミリーinetのファイアウォールフィルターの特定のカウンタを表示します

ファミリーinet6(IPv6)のすべてのファイアウォールフィルターを表示します

以下のコマンドを使用して、カウンタ統計情報をクリアできます。

vRouterコマンド

次のコマンドを vRouter で使用して、ファイアウォール設定を表示できます。

その他の acl コマンドには、次のものがあります。

インターフェイスに関連付けられているフィルターを表示するには、コマンドを使用します vif --get