default-rule
構文
default-rule { (deny [block-message] | permit | reject [block-message]); }
階層レベル
[edit security application-firewall rule-sets rule-set-name]
説明
定義されたルールに一致しないパケットに対して実行するアクションを定義するデフォルトルールを設定します。
アプリケーションファイアウォールは、トラフィックのアプリケーションに基づいてトラフィックを許可、拒否、または拒否します。ファイアウォールは、動的アプリケーションを含む一致条件を指定するルールと、一致するトラフィックに対して実行するアクションを含む1つ以上のルールセットから構成されます。アプリケーション ファイアウォール規則セットには、既定の規則を 1 つ含める必要があります。デフォルト ルールは、ルールの 1 つに一致しないトラフィックに対して実行するアクションを定義します。
Junos OS リリース 18.2R1 以降、アプリケーションファイアウォール(AppFW)機能は非推奨になりました。この変更の一環として、この階層とその下にあるすべての構成オプションは、後方互換性を確保し、 [edit security application-firewall]
構成を新しい構成に適合させる機会を提供するために、すぐには削除されませんが、非推奨とされました。
オプション
deny
- ファイアウォールでトラフィックをブロックします。デバイスはパケットをドロップします。送信者にメッセージは返されません。block-message
- (オプション)アプリケーションファイアウォールルールで、ブロックされたトラフィックに関する情報をユーザーに提供します。このルールセットのオプションの内容profile
に応じて、オプションを含めるblock-message
と、既定のメッセージまたはカスタマイズされたメッセージが表示されるか、拒否された HTTP または HTTPS トラフィックにユーザーをリダイレクトします。それ以外のトラフィックはすべてサイレントにドロップされます。
permit
- ファイアウォールでのトラフィックを許可します。reject
- ファイアウォールでトラフィックをブロックします。TCP トラフィックの場合、デフォルトでは、デバイスはパケットをドロップし、場合によっては送信元ホストとサーバーに TCP リセット(RST)メッセージを返します。UDP およびその他のプロトコル トラフィックの場合、デフォルトでは、デバイスはパケットをドロップし、ICMP の「宛先到達不能、ポート到達不能」メッセージをクライアントとサーバーの両方に返します。block-message
- (オプション)アプリケーションファイアウォールルールで、ブロックされたトラフィックに関する情報をユーザーに提供します。このルール セットのprofile
オプションのコンテンツに応じて、オプションを含めるblock-message
と、既定のメッセージまたはカスタマイズされたメッセージが表示されるか、拒否された HTTP または HTTPS トラフィックに対してユーザーをリダイレクトします。その他のトラフィックはすべて、 オプションのデフォルトアクションで指定されているとおりに破棄されますreject
。
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース11.1で導入されたステートメント。ステートメントは、Junos OSリリース12.1X44-D10で更新されました reject
。 block-message
Junos OSリリース12.1X45-D10で追加された オプション。