Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ステートフルファイアウォール

Junos Network Secure の概要

ルーターは、ファイアウォールを使用してトラフィックのフローを追跡および制御します。アダプティブ サービスとマルチサービス PIC では、と呼ばれるファイアウォールが採用されています。パケットを単独で検査するファイアウォールとは対照的に、ステートフルファイアウォールは、過去の通信やその他のアプリケーションから得られた状態情報を使用して、新しい通信試行を動的に制御することで、追加のセキュリティレイヤーを提供します。

メモ:

ACXシリーズルーターでは、ステートフルファイアウォール構成はACX500屋内ルーターでのみサポートされています。

に関連するステートフルファイアウォールグループ .フローは、次の 5 つのプロパティによって識別されます。

  • 送信元アドレス

  • 送信元ポート

  • 宛先アドレス

  • 宛先ポート

  • プロトコル

一般的な伝送制御プロトコル (TCP) またはユーザー データグラム プロトコル (UDP) の会話は、開始フローと応答側フローの 2 つのフローで構成されます。ただし、FTP 会話などの一部の会話は、2 つの制御フローと多数のデータ フローで構成される場合があります。

ファイアウォールルールは、会話の確立を許可するかどうかを制御します。メッセージ交換が許可されると、メッセージ交換のライフ サイクル中に作成されたフローを含め、メッセージ交換内のすべてのフローが許可されます。

ステートフルファイアウォールは、強力なルール主導の会話処理パスを使用して設定します。A は、方向、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、IP プロトコル値、およびアプリケーション プロトコルまたはサービスで構成されます。設定した特定の値に加えて、ルールオブジェクト、アドレス、またはポートに値を割り当てることで、任意の入力値 any に一致させることができます。最後に、オプションでルールオブジェクトを否定して、タイプ固有の一致の結果を無効にすることができます。

ファイアウォールルールは方向性があります。新しいカンバセーションごとに、ルーター ソフトウェアは、ルールで指定された方向に一致する開始フローをチェックします。

ファイアウォールルールが順序付けられます。ソフトウェアは、設定にルールを組み込んだ順序でルールをチェックします。ファイアウォールが初めて一致を検出すると、ルーターはそのルールで指定されたアクションを実装します。まだチェックされていないルールは無視されます。

メモ:

Junos OS リリース 14.2 以降、MS-MPC および MS-MIC インターフェイス カードは、Junos ネットワーク セキュア ステートフル ファイアウォールの IPv6 トラフィックをサポートします。

詳細については、 ステートフルファイアウォールルールの設定を参照してください。

アプリケーションプロトコルに対するステートフルファイアウォールのサポート

アプリケーションプロトコルデータを検査することで、ASまたはマルチサービスPICファイアウォールは、セキュリティポリシーをインテリジェントに適用し、必要最小限のパケットトラフィックのみがファイアウォールを通過できるようにします。

ファイアウォールルールは、インターフェイスに関連して設定されます。デフォルトでは、ステートフルファイアウォールは、インターフェイスの背後にあるホストから開始されたすべてのセッションがルーターを通過することを許可します。

メモ:

ステートフルファイアウォールALGは、ACX500ルーターではサポートされていません。

ステートフルファイアウォールの異常チェック

ステートフルファイアウォールは、以下のイベントを異常として認識し、処理のために IDS ソフトウェアに送信します。

  • IP異常:

    • IP バージョンが正しくありません。

    • IP ヘッダー長フィールドが小さすぎます。

    • IP ヘッダー長は、パケット全体よりも大きく設定されます。

    • ヘッダーのチェックサムが正しくありません。

    • IP 全長フィールドがヘッダー長より短くなっています。

    • パケットの IP オプションが正しくありません。

    • インターネット制御メッセージ プロトコル(ICMP)パケット長エラー。

    • TTL(Time-to-live)は0になります。

  • IP アドレスの異常:

    • IP パケット送信元がブロードキャストまたはマルチキャストである。

    • 陸上攻撃(送信元IPは宛先IPと等しい)。

  • IP フラグメント化異常:

    • IP フラグメントのオーバーラップ。

    • IP フラグメントが欠落しています。

    • IP フラグメント長エラー。

    • IP パケットの長さが 64 キロバイト (KB) を超えています。

    • 小さなフラグメント攻撃。

  • TCP 異常:

    • TCP ポート 0。

    • TCP シーケンス番号 0 およびフラグ 0。

    • TCP シーケンス番号 0 と FIN/PSH/RST フラグが設定されています。

    • 間違った組み合わせのTCPフラグ(TCP FIN/RST または SYN/(URG|フィン|RST)。

    • TCP チェックサムが正しくありません。

  • UDP異常:

    • UDP 送信元または宛先ポート 0。

    • UDP ヘッダー長のチェックに失敗しました。

    • UDPチェックサムが正しくありません。

  • ステートフルTCPまたはUDPチェックで検出された異常:

    • SYNの後に、イニシエータからのACKのないSYN-ACKパケットが続きます。

    • SYNの後にRSTパケットが続きます。

    • SYN-ACK を使用しない SYN。

    • 非 SYN ファースト フロー パケット。

    • SYN パケットの ICMP 到達不能エラー。

    • UDP パケットの ICMP 到達不能エラー。

  • ステートフルファイアウォールルールに従ってパケットを破棄。

メモ:

ACX500ルーターは、IPフラグメント化異常をサポートしていません。

ステートフルな異常検知をステートレスな検知と組み合わせて採用すると、IDS は以下のような幅広い攻撃に対して早期警告を出すことができます。

  • TCPまたはUDPネットワークプローブとポートスキャン

  • SYNフラッド攻撃

  • IPフラグメント化ベースの攻撃(ティアドロップ、ボンク、ボインクなど)

ステートフルファイアウォールルールの設定

ステートフルファイアウォールルールを設定するには、 階層レベルで ステートメントを含め rule rule-name ます [edit services stateful-firewall]

メモ:

ACX500ルーターは、[edit services stateful-firewall rule rule-name term term-name from]階層レベルのアプリケーションとアプリケーションセットをサポートしていません。
メモ:

ACX500ルーターでsyslogを有効にするには、[]階層レベルでCLIステートメントを含め stateful-firewall-logs ますedit services service-set service-set-name syslog host local class
メモ:

edit services stateful-firewall 階層はSRXシリーズではサポートされていません。

各ステートフルファイアウォールルールは、 階層レベルで設定された [edit firewall] フィルターに類似した一連の条件で構成されています。用語は以下で構成されます。

  • from ステートメント:含めるおよび除外する一致条件とアプリケーションを指定します。この from ステートメントは、ステートフルファイアウォールルールではオプションです。

  • then statement—ルーターソフトウェアが実行するアクションとアクション修飾子を指定します。この then ステートメントは、ステートフルファイアウォールルールでは必須です。

ACX500シリーズルーターは、ステートフルファイアウォールルールの構成時に以下をサポートしていません。

  • match-direction (output | input-output)

  • post-service-filter インターフェイス サービスの入力階層レベルで有効にします。

  • IPv6 送信元アドレスと宛先アドレス

  • application-setsapplicationallow-ip-options を [edit services stateful-firewall] 階層レベルで指定します。

  • アプリケーション層ゲートウェイ(ALG)。

  • マルチサービスモジュラーインターフェイスカード(MS-MIC)内およびインラインサービス(-si)とのサービスのチェイニング。

  • サービス クラス

  • 次の show services stateful-firewall CLI コマンドはサポートされていません。

    • show services stateful-firewall conversations—会話を表示する

    • show services stateful-firewall flow-analysis- フローテーブルエントリを表示

    • show services stateful-firewall redundancy-statistics- 冗長性統計情報を表示します

    • show services stateful-firewall sip-call- SIP コール情報の表示

    • show services stateful-firewall sip-register- SIPレジスタ情報を表示

    • show services stateful-firewall subscriber-analysis- サブスクライバ テーブルのエントリを表示します。

次のセクションでは、ステートフルファイアウォールルールのコンポーネントを設定する方法について説明します:

ステートフルファイアウォールルールの一致方向の設定

各ルールには、 match-direction ルールの一致を適用する方向を指定するステートメントを含める必要があります。一致を適用する場所を設定するには、 階層レベルで ステートメントを含め match-direction ます [edit services stateful-firewall rule rule-name]

メモ:

ACX500 シリーズ ルーターは、 をサポートしていません match-direction (output | input-output)

を設定する match-direction input-outputと、両方向から開始されたセッションがこのルールに一致する可能性があります。

一致方向は、ASまたはマルチサービスPICを通過するトラフィックフローに関して使用されます。パケットがPICに送信されると、方向情報も一緒に伝送されます。

インターフェイス サービス セットでは、パケットの方向は、パケットがサービス セットが適用されているインターフェイスに入るか出るかによって決まります。

ネクストホップ サービス セットでは、パケットの方向は、AS またはマルチサービス PIC へのパケットのルーティングに使用されるインターフェイスによって決まります。内部インターフェイスを使用してパケットをルーティングする場合は、パケットの方向が入力されます。外部インターフェイスを使用してパケットをPICに誘導する場合、パケットの方向が出力されます。内部インターフェイスと外部インターフェイスの詳細については、 サービス インターフェイスに適用されるサービス セットの設定を参照してください。

PIC では、フロー ルックアップが実行されます。フローが見つからない場合は、ルール処理が実行されます。このサービス セット内のルールは、一致が見つかるまで順番に考慮されます。ルールの処理中に、パケットの方向がルールの方向と比較されます。パケットの方向と一致する方向情報を持つルールのみが考慮されます。ほとんどのパケットは、双方向フローの作成につながります。

ステートフルファイアウォールルールでの一致条件の設定

ステートフルファイアウォールの一致条件を設定するには、 階層レベルで ステートメントを含め from ます [edit services stateful-firewall rule rule-name term term-name]

メモ:

ACX500ルーターは、[edit services stateful-firewall rule rule-name term term-name from]階層レベルのアプリケーションとアプリケーションセットをサポートしていません。

送信元アドレスと宛先アドレスは、IPv4 または IPv6 のいずれかです。

ファイアウォールフィルターを設定するのと同じ方法で、送信元アドレスまたは宛先アドレスのいずれかを一致条件として使用できます。詳細については 、「 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド」を参照してください。ワイルドカード値 any-unicastを使用できます。これはすべてのユニキャスト アドレスの一致を示し、 any-ipv4はすべての IPv4 アドレスの一致を示し、 はすべての IPv6 アドレス any-ipv6の一致を示します。

または、 階層レベルで ステートメントを設定しprefix-list、ステートフルファイアウォールルールに または ステートメントを含めるdestination-prefix-listsource-prefix-listことで、送信元または[edit policy-options]宛先のプレフィックスのリストを指定することもできます。例については、 例:ステートフルファイアウォールルールの設定を参照してください。

この用語を省略 from すると、ステートフルファイアウォールはすべてのトラフィックを受け入れ、デフォルトのプロトコルハンドラが有効になります。

  • ユーザー データグラム プロトコル(UDP)、伝送制御プロトコル(TCP)、およびインターネット制御メッセージ プロトコル(ICMP)は、予測された逆方向フローを持つ双方向フローを作成します。

  • IP は単方向フローを作成します。

階層レベルで設定した [edit applications] アプリケーション プロトコル定義を含めることもできます。詳細については、「 アプリケーションのプロパティの構成」を参照してください。

  • 1 つ以上の特定のアプリケーション プロトコル定義を適用するには、階層レベルでステート applications メントを記述します [edit services stateful-firewall rule rule-name term term-name from]

  • 定義したアプリケーションプロトコル定義の1つ以上のセットを適用するには、階層レベルでステートメント application-sets を含めます [edit services stateful-firewall rule rule-name term term-name from]

    メモ:

    アプリケーション プロトコルを指定するステートメントの 1 つを含めると、ルーターは 階層レベルの対応する設定 [edit applications] からポートとプロトコルの情報を取得します。これらのプロパティを一致条件として指定することはできません。

ステートフルファイアウォールルールでのアクションの設定

ステートフルファイアウォールアクションを設定するには、 階層レベルで ステートメントを含め then ます [edit services stateful-firewall rule rule-name term term-name]

次のいずれかのアクションを含める必要があります。

  • accept- パケットは受理され、宛先に送信されます。

  • accept skip-ids- パケットは受理され、宛先に送信されますが、MS-MPC に設定された IDS ルール処理はスキップされます。

  • discard- パケットは受理されず、それ以降は処理されません。

  • reject- パケットは受理されず、拒否メッセージが返されます。UDP は ICMP 到達不能コードを送信し、TCP は RST を送信します。拒否されたパケットは、ログに記録またはサンプリングできます。

メモ:

ACX500屋内ルーターは、 アクション accept skip-idsをサポートしていません。

オプションで、 階層レベルで ステートメント[edit services stateful-firewall rule rule-name term term-name then]を含めるsyslogことで、システムロギング機能に情報を記録するようにファイアウォールを設定できます。このステートメントは、syslogサービスセットまたはインターフェイスのデフォルト設定に含まれる設定を上書きします。

IP オプション処理の設定

オプションで、 階層レベルで ステートメント[edit services stateful-firewall rule rule-name term term-name then]を含めるallow-ip-optionsことで、IP ヘッダー情報を検査するようにファイアウォールを構成できます。このステートメントを設定すると、 ステートメントで指定されたfrom基準に一致するすべてのパケットに、追加の一致基準が適用されます。パケットは、そのすべてのIPオプションタイプがステートメントの値allow-ip-optionsとして設定されている場合にのみ受け入れられます。を設定しallow-ip-optionsない場合、IPヘッダーオプションのないパケットのみが受け入れられます。

メモ:

ACX500屋内ルーターは、 ステートメントの設定 allow-ip-options をサポートしていません。

追加の IP ヘッダー オプションのインスペクションは、 accept および reject ステートフル ファイアウォール アクションにのみ適用されます。この設定は、アクションには影響しません discard 。IP ヘッダー インスペクションが失敗した場合、リジェクト フレームは送信されません。この場合、アクション reject は と同じ discard効果を持ちます。

IP オプション パケットがステートフル ファイアウォールで受け入れられると、IP オプション ヘッダーのないパケットと同様に、NAT(ネットワーク アドレス変換)と IDS(侵入検知サービス)が適用されます。IP オプションの構成は、ステートフル ファイアウォール規則にのみ表示されます。NAT は、IP オプションの有無にかかわらずパケットに適用されます。

IP オプション インスペクションに失敗したためにパケットがドロップされた場合、この例外イベントは IDS イベントとシステム ログ メッセージの両方を生成します。イベントタイプは、拒否された最初のIPオプションフィールドによって異なります。

表 1 に、この allow-ip-options ステートメントに指定できる値をリストします。範囲または数値のセット、あるいは事前定義された IP オプション設定の 1 つ以上を含めることができます。オプション名またはそれに相当する数値のいずれかを入力できます。詳細については、「 http://www.iana.org/assignments/ip-parameters」を参照してください。

表 1: IP オプションの値

IP オプション名

数値

コメント

any

0

任意のIPオプション

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

関連項目

ステートフルファイアウォールルールセットの設定

ステートメントはrule-set、ルーターソフトウェアがデータストリーム内のパケットに対して実行するアクションを決定するステートフルファイアウォールルールのコレクションを定義します。各ルールを定義するには、ルール名を指定し、用語を設定します。次に、階層レベルの rule ステートメントと各ルールのステートメント[edit services stateful-firewall]を含めてrule-set、ルールの順序を指定します。

ルーター ソフトウェアは、設定で指定した順序でルールを処理します。ルール内の条件がパケットに一致する場合、ルーターは対応するアクションを実行し、ルールの処理は停止します。パケットに一致するルール内の用語がない場合、ルール セット内の次のルールに処理が続行されます。パケットに一致するルールがない場合、パケットはデフォルトで破棄されます。

例:ステートフルファイアウォールルールの設定

次の例は、ステートフルファイアウォール構成に、指定されたアプリケーションセットでの入力照合用と、指定された送信元アドレスでの出力照合用の2つのルールが含まれています。

次の例では、2 つの条件を持つ 1 つのルールがあります。最初の条件は、指定された送信元アドレスから発信されたすべてのトラフィック my-application-group を拒否し、拒否されたパケットの詳細なシステムログレコードを提供します。第 2 条件は、任意のユーザーから指定された宛先アドレスへのハイパーテキスト転送プロトコル(HTTP)トラフィックを受け入れます。

以下の例では、送信元と宛先のプレフィックスリストの使用方法を示します。これには、2 つの個別の構成項目が必要です。

プレフィックスリストは、 [edit policy-options] 階層レベルで設定します。

ステートフルファイアウォールルールで設定されたプレフィックスリストを参照します。

これは、次の構成と同等です。

次の例のように、プレフィックスリストとともに修飾子を使用できます except 。この場合、修飾子は except プレフィックスリスト p2に含まれるすべてのプレフィックスに適用されます。

ステートフルファイアウォールの設定を他のサービスや仮想プライベートネットワーク(VPN)ルーティングおよび転送(VRF)テーブルと組み合わせたその他の例については、設定例を参照してください。

メモ:

サービスセットを定義し、インターフェイススタイルまたはネクストホップスタイルとして割り当てることができます。

関連項目

例:BOOTP アドレスとブロードキャスト アドレス

次の例では、ブートストラップ プロトコル(BOOTP)とブロードキャスト アドレスをサポートしています。

例:2つのPICでのレイヤー3サービスとサービスSDKの設定

レイヤー3サービスパッケージとサービスSDKは、2つのPICで設定できます。この例では、FTP または HTTP クライアントとサーバーを設定する必要があります。この設定では、ルーターインターフェイスのクライアント側はge-1/2/2.1で、ルーターインターフェイスのサーバー側はge-1/1/0.48です。この設定により、uKernel PICでステートフルファイアウォール(SFW)、FTPまたはHTTPトラフィック用のサービスSDK PICで、アプリケーション識別(APPID)、アプリケーション認識型アクセスリスト(AACL)、侵入検知および防止(IDP)を使用したネットワークアドレス変換(NAT)が有効になります。

メモ:

サービス SDK はまだ NAT をサポートしていません。NAT が必要な場合は、レイヤ 3 サービス パッケージを設定して、APPID、AACL、IDP などのサービス SDK とともに NAT を導入できます。
メモ:

IDP 機能は、Junos OS リリース 17.1R1 以降の MX シリーズでは非推奨です。

レイヤー3サービスパッケージとサービスSDKを2つのPICに展開するには、次の手順に従います。

  1. 設定モードでは、次の階層レベルに移動します。
  2. 階層レベルで、ステートフルファイアウォールルール r1の条件を設定します。

    この例では、ステートフル ファイアウォールの条件は ALLOWED-SERVICES です。アプリケーション名(junos-ftp、junos-http、junos-icmp-ping)を の application-name括弧で囲みます。

  3. ステートフルファイアウォールルール r2の条件を設定します。

    この例では、ステートフル ファイアウォールの条件は term1 です。

  4. 次の階層レベルに移動し、構成を確認します。
  5. 次の階層レベルに移動します。
  6. 階層レベルで、NATプールを設定します。

    この例では、NAT プールは OUTBOUND-SERVICES 、IP アドレスは 10.48.0.2/32 です。

  7. NATルールを設定します。

    この例では、NAT ルールは SET-MSR-ADDR、NAT 条件は TRANSLATE-SOURCE-ADDR、ソース プールは OUTBOUND-SERVICES です。アプリケーション名(junos-ftp、junos-http、junos-icmp-ping)を のapplication-name括弧で囲みます。

  8. 次の階層レベルに移動し、構成を確認します。
  9. 次の階層レベルに移動します。
    メモ:

    [edit security idp]ステートメントは、Junos OSリリース17.1R1以降のMXシリーズでは非推奨です。
  10. 階層レベルで、IDP ポリシーを設定します。

    この例では、IDP ポリシーは test1、ルールは r1、定義済みの攻撃は FTP:USER:ROOT、定義済みの攻撃グループは "推奨攻撃" です。

  11. IDP サービスのトレース オプションを設定します。

    この例では、ログ ファイル名は idp-demo.log です。

  12. 次の階層レベルに移動し、構成を確認します。
  13. 次の階層レベルに移動します。
  14. 階層レベルで、AACL ルールを設定します。

    この例では、AACL ルールは アプリ対応 で、条件は t1 です。

  15. 次の階層レベルに移動し、構成を確認します。
  16. 次の階層レベルに移動します。
  17. APPIDプロファイルを設定します。

    この例では、APPIDプロファイルは ダミープロファイルです。

  18. IDP プロファイルを設定します。

    この例では、IDP プロファイルは test1 です。

  19. ポリシー決定統計プロファイルを設定します。

    この例では、ポリシー決定統計プロファイルは lpdf-stats です。

  20. AACL ルールを設定します。

    この例では、AACL ルール名は アプリ対応です。

  21. 2 つのステートフル ファイアウォール規則を構成します。

    この例では、最初のルールは r1 で、2 番目のルールは r2 です。

  22. 階層レベルで、サービスPIC障害時にトラフィックをバイパスするようにサービスセットを設定します。
  23. インターフェイス固有のサービス セット オプションを設定します。

    この例では、サービス インターフェイスは ms-0/1/0 です。

  24. 次の階層レベルに移動し、構成を確認します。
  25. 次の階層レベルに移動します。
  26. 階層レベルで、サービス インターフェイスのオプションの通知パラメーターを設定します。これはデバッグにのみ必要であることに注意してください。

    この例では、通知するホストは ローカルです。

  27. 2 つのステートフル ファイアウォール規則を構成します。

    この例では、最初のルールは r1 で、2 番目のルールは r2 です。

  28. NATルールを設定します。

    この例では、NAT ルールは SET-MSR-ADDR です。

  29. インターフェイス固有のサービス セット オプションを設定します。

    この例では、サービス インターフェイスは sp-3/1/0 です。

  30. 次の階層レベルに移動し、構成を確認します。
  31. 次の階層レベルに移動します。
  32. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ge-1/2/2.1です。

  33. 次の階層レベルに移動します。
  34. 階層レベルで、受信パケットのサービス セットを設定します。

    この例では、入力サービス セットは アプリ対応セットです。

  35. 送信パケットのサービスセットを設定します。

    この例では、出力サービス セットは アプリ対応セットです。

  36. 次の階層レベルに移動します。
  37. 階層レベルで、インターフェイスアドレスを設定します。

    この例では、インターフェイス アドレスは 10.10.9.10/30 です。

  38. 次の階層レベルに移動し、構成を確認します。
  39. 次の階層レベルに移動します。
  40. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ge-1/1/0.48です。

  41. 次の階層レベルに移動します。
  42. 階層レベルで、受信パケットのサービス セットを設定します。

    この例のサービス セットは NAT-SFW-SET です。

  43. 送信パケットのサービスセットを設定します。

    この例のサービス セットは NAT-SFW-SET です。

  44. 次の階層レベルに移動します。
  45. インターフェイスアドレスを設定します。

    この例では、インターフェイスアドレスは 10.48.0.1/31です。

  46. 次の階層レベルに移動し、構成を確認します。
  47. 次の階層レベルに移動します。
  48. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ms-0/1/0.0です

  49. 次の階層レベルに移動します。
  50. 階層レベルで、プロトコルファミリーを設定します。
  51. 次の階層レベルに移動し、構成を確認します。
  52. 次の階層レベルに移動します。
  53. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは sp-3/1/0.0 です。

  54. 次の階層レベルに移動します。
  55. 階層レベルで、サービス インターフェイスのオプションの通知パラメーターを設定します。これはデバッグにのみ必要であることに注意してください。

    この例では、通知するホストは ローカルです。

  56. 次の階層レベルに移動します。
  57. 階層レベルで、プロトコルファミリーを設定します。
  58. 次の階層レベルに移動し、構成を確認します。
  59. 次の階層レベルに移動します。
  60. 階層レベルで、冗長性の設定を行います。
  61. FPCとPICを設定します。

    この例では、FPCはスロット0に、PICはスロット1にあります。

  62. 実行制御機能専用のコア数を設定します。

    この例では、制御コアの数は 1 です。

  63. データ専用のプロセッシングコアの数を設定します。

    この例では、データ コアの数は 7 です。

  64. オブジェクト キャッシュのサイズをメガバイト単位で構成します。128 MB 単位の値のみが許可され、オブジェクト キャッシュの最大値は 1280 MB にすることができます。MS-100 では、値は 512 MB です。

    この例では、オブジェクト キャッシュのサイズは 1280 MB です。

  65. ポリシー データベースのサイズをメガバイト単位で設定します。

    この例では、ポリシー データベースのサイズは 64 MB です。

  66. パッケージを構成します。

    この例では、最初のパッケージは jservices-appid、2 番目のパッケージは jservices-aacl、3 番目のパッケージは jservices-llpdf、4 番目のパッケージは jservices-idp、5 番目のパッケージは jservices-sfw です。jservices-sfw は、Junos OS Release 10.1 以降でのみ使用できます。

  67. IP ネットワーク サービスを構成します。
  68. 次の階層レベルに移動し、構成を確認します。

例:仮想ルーティングおよび転送(VRF)とサービス設定

次の例では、仮想ルーティングおよび転送(VRF)とサービス設定を組み合わせています。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
17.1R1
IDP 機能は、Junos OS リリース 17.1R1 以降の MX シリーズでは非推奨です。
17.1R1
[edit security idp]ステートメントは、Junos OSリリース17.1R1以降のMXシリーズでは非推奨です。
17.1
accept skip-ids- パケットは受理され、宛先に送信されますが、MS-MPC に設定された IDS ルール処理はスキップされます。
14.2
Junos OS リリース 14.2 以降、MS-MPC および MS-MIC インターフェイス カードは、Junos ネットワーク セキュア ステートフル ファイアウォールの IPv6 トラフィックをサポートします。