Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

ステートフルファイアウォール

Junos Network Secureの概要

ルーターは、ファイアウォールを使用してトラフィックの流れを追跡し、制御します。適応型サービスとマルチサービスのPICは、ステートフルファイアウォールと呼ばれるタイプのファイアウォールを採用しています。パケットを隔離して検査するステートレスファイアウォールとは対照的に、ステートフルファイアウォールは、過去の通信や他のアプリケーションから得られた状態情報を使用して、新しい通信の試みに対して動的に制御決定を行うことで、追加のセキュリティレイヤーを提供します。

手記:

ACXシリーズルーターでは、ステートフルファイアウォール設定はACX500屋内ルーターでのみサポートされています。

ステートフルファイアウォールは、関連するフローを会話にグループ化します。フローは、次の 5 つのプロパティによって識別されます。

  • 送信元アドレス

  • 送信元ポート

  • 宛先アドレス

  • 宛先ポート

  • 議定書

一般的な伝送制御プロトコル (TCP) またはユーザー データグラム プロトコル (UDP) の会話は、開始フローとレスポンダ フローの 2 つのフローで構成されます。ただし、FTP 会話など、一部の会話は、2 つの制御フローと多くのデータ フローで構成される場合があります。

ファイアウォール規則は、メッセージ交換の確立を許可するかどうかを制御します。会話が許可されている場合、会話のライフ サイクル中に作成されたフローを含め、会話内のすべてのフローが許可されます。

ステートフルファイアウォールは、強力なルール駆動型の対話処理パスを使用して設定します。ルールは、方向、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、IPプロトコル値、およびアプリケーション プロトコルまたはサービスで構成されます。設定した特定の値に加えて、値 any をルール オブジェクト、アドレス、またはポートに割り当てて、任意の入力値と一致させることができます。最後に、オプションで、型固有の一致の結果を否定するルール オブジェクトを無効化できます。

ファイアウォール ルールには方向性があります。新しい会話のたびに、ルーター ソフトウェアは、ルールで指定された方向に一致する開始フローをチェックします。

ファイアウォールのルールは順番に従っています。ソフトウェアは、設定に含める順序でルールをチェックします。ファイアウォールが初めて一致を検出すると、ルーターはそのルールで指定されたアクションを実装します。チェックされていないルールは無視されます。

手記:

Junos OS リリース 14.2 以降、MS-MPC および MS-MIC インターフェイス カードは、Junos Network Secure ステートフル ファイアウォールの IPv6 トラフィックをサポートしています。

詳細については、「 ステートフル ファイアウォール ルールの設定」を参照してください。

アプリケーションプロトコルのステートフルファイアウォールサポート

ASまたはマルチサービスPICファイアウォールは、アプリケーションプロトコルデータを検査することで、セキュリティポリシーをインテリジェントに適用し、必要最小限のパケットトラフィックのみがファイアウォールを通過することを許可できます。

ファイアウォールルールは、インターフェイスに関連して設定されます。デフォルトでは、ステートフルファイアウォールにより、インターフェイスの背後にあるホストから開始されたすべてのセッションがルーターを通過できます。

手記:

ステートフルファイアウォールALGは、ACX500ルーターではサポートされていません。

ステートフルファイアウォール異常チェック

ステートフルファイアウォールは、以下のイベントを異常として認識し、IDS ソフトウェアに送信して処理します。

  • IP異常:

    • IPバージョンが正しくありません。

    • IP ヘッダー長フィールドが小さすぎます。

    • IPヘッダー長は、パケット全体よりも大きく設定されています。

    • ヘッダーのチェックサムが不正です。

    • IP 全長フィールドがヘッダー長より短い。

    • パケットの IP オプションが正しくありません。

    • インターネット制御メッセージプロトコル(ICMP)パケット長エラー。

    • TTL(Time-to-live)は0です。

  • IPアドレスの異常:

    • IP パケット ソースはブロードキャストまたはマルチキャストです。

    • ランド攻撃(送信元 IP と宛先 IP)。

  • IPフラグメント化異常:

    • IP フラグメントのオーバーラップ。

    • IP フラグメントが欠落しています。

    • IP フラグメント長エラー。

    • IP パケットの長さが 64 キロバイト (KB) を超えています。

    • タイニーフラグメント攻撃。

  • TCP異常:

    • TCPポート0。

    • TCP シーケンス番号 0 とフラグ 0 です。

    • TCP シーケンス番号 0 と FIN/PSH/RST フラグ セット。

    • 間違った組み合わせのTCPフラグ(TCP、FIN/RSTまたはSYN/(URG|フィン|RST)です。

    • TCP チェックサムが正しくありません。

  • UDP異常:

    • UDP 送信元または宛先ポート 0。

    • UDP ヘッダー長のチェックに失敗しました。

    • UDP チェックサムが正しくありません。

  • ステートフルTCPまたはUDPチェックで検出された異常:

    • SYN の後に、イニシエータからの ACK のない SYN-ACK パケットが続きます。

    • SYN の後に RST パケットが続く。

    • SYN-ACK なしの SYN。

    • 非 SYN ファースト フロー パケット。

    • - SYN パケットの ICMP 到達不能エラー。

    • - UDP パケットの ICMP 到達不能エラー。

  • ステートフル ファイアウォール ルールに従って破棄されたパケット数。

手記:

ACX500ルーターは、IPフラグメンテーション異常をサポートしていません。

ステートフル異常検知とステートレス検出を併用すると、IDS は次のようなさまざまな攻撃に対して早期警告を提供できます。

  • TCPまたはUDPネットワークプローブとポートスキャン

  • SYNフラッド攻撃

  • ティアドロップ、ボンク、ボインクなどのIPフラグメント化ベースの攻撃

ステートフル ファイアウォール ルールの設定

ステートフルルールオプションは、ファイアウォールルールを設定するには、[edit services stateful-firewall]階層レベルでrule rule-nameステートメントを含めます。

手記:

ACX500ルーターは、[edit services stateful-firewall rule rule-name term term-name from]階層レベルのアプリケーションおよびアプリケーションセットをサポートしません。
手記:

ACX500ルーターでsyslogを有効にするには、[edit services service-set service-set-name syslog host local class]階層レベルにstateful-firewall-logsCLIステートメントを含めます。
手記:

edit services stateful-firewall 階層はSRX シリーズではサポートされていません。

各ステートフルルールオプションは、ファイアウォールルールは、 [edit firewall] 階層レベルで設定されたフィルターと同様に、一連の条件で構成されています。用語は、次のもので構成されます。

  • from ステートメント—含まれ、除外される一致条件とアプリケーションを指定します。ステートフルファイアウォールルールでは、 from ステートメントはオプションです。

  • then ステートメント—ルーター ソフトウェアによって実行されるアクションとアクション修飾子を指定します。ステートフルファイアウォールルールでは、 then ステートメントが必須です。

ACX500 シリーズ ルーターは、ステートフル ファイアウォール ルールの設定時に以下をサポートしません。

  • match-direction (output | input-output)

  • post-service-filter インターフェイス サービス入力階層レベルで。

  • IPv6 送信元アドレスと宛先アドレス。

  • application-sets、[edit services stateful-firewall] 階層レベルで、applicationallow-ip-options

  • アプリケーション層ゲートウェイ(ALG)

  • マルチサービス モジュラー インターフェイス カード(MS-MIC)内およびインラインサービス(-si)を使用したサービスのチェイニング。

  • サービス クラス。

  • 以下の show services stateful-firewall CLIコマンドはサポートされていません。

    • show services stateful-firewall conversations—会話を表示

    • show services stateful-firewall flow-analysis- フローテーブルエントリーを表示

    • show services stateful-firewall redundancy-statistics—冗長性の統計情報を表示します

    • show services stateful-firewall sip-call—SIPコール情報を表示します

    • show services stateful-firewall sip-register—SIPレジスタ情報を表示します

    • show services stateful-firewall subscriber-analysis—加入者テーブルエントリを表示します

以下のセクションでは、ステートフル ファイアウォール ルールのコンポーネントを設定する方法について説明します。

ステートフル ファイアウォール ルールの一致方向の設定

各ルールには、ルールの一致が適用される方向を指定する match-direction ステートメントを含める必要があります。一致が適用される場所を設定するには、[edit services stateful-firewall rule rule-name]階層レベルでmatch-directionステートメントを含めます。

手記:

ACX500シリーズルーターは match-direction (output | input-output)をサポートしていません。

match-direction input-outputを設定すると、両方向から開始されるセッションがこのルールに一致することがあります。

一致方向は、ASまたはマルチサービスPICを通過するトラフィックフローに関して使用されます。パケットがPICに送信されると、方向情報が一緒に伝送されます。

インターフェイス サービス セットを使用すると、パケットの方向は、サービス セットが適用されているインターフェイスにパケットが出入りするかによって決まります。

ネクストホップサービスセットでは、パケットの方向は、ASまたはマルチサービスPICにパケットをルーティングするために使用されるインターフェイスによって決定されます。内部インターフェイスを使用してパケットをルーティングする場合は、パケット方向が入力されます。外部インターフェイスを使用してパケットをPICに誘導する場合、パケット方向が出力されます。内部インターフェイスと外部インターフェイスの詳細については、 サービス インターフェイスに適用するサービス セットの設定を参照してください。

PICでは、フロールックアップが実行されます。フローが見つからない場合は、ルール処理が実行されます。このサービス セット内のルールは、一致が見つかるまで順番に考慮されます。ルールの処理中に、パケットの方向がルールの方向と比較されます。パケットの方向と一致する方向情報を持つルールのみが考慮されます。ほとんどのパケットでは、双方向フローが作成されます。

ステートフル ファイアウォール ルールの一致条件の設定

ステートフルファイアウォール一致条件を設定するには、[edit services stateful-firewall rule rule-name term term-name]階層レベルでfromステートメントを含めます。

手記:

ACX500ルーターは、[edit services stateful-firewall rule rule-name term term-name from]階層レベルのアプリケーションおよびアプリケーションセットをサポートしません。

送信元アドレスと宛先アドレスは、IPv4 または IPv6 のいずれかです。

ファイアウォールフィルターを設定するのと同じ方法で、送信元アドレスまたは宛先アドレスのいずれかを一致条件として使用できます。詳細については、「 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド」を参照してください。すべてのユニキャスト アドレスに一致するワイルドカード値 any-unicast、すべての IPv4 アドレスに一致することを示す any-ipv4、すべての IPv6 アドレスに一致することを示す any-ipv6 を使用できます。

または、[edit policy-options]階層レベルでprefix-listステートメントを設定し、ステートフルルールオプションは、ファイアウォールルールにdestination-prefix-listまたはsource-prefix-listステートメントを含めることで、送信元または宛先のプレフィックスのリストを指定することもできます。例については、「例:ステートフル ファイアウォール ルールの設定」を参照してください。

from条件を省略すると、ステートフルファイアウォールはすべてのトラフィックを受け入れ、デフォルトのプロトコルハンドラーが有効になります。

  • UDP(User Datagram Protocol)、TCP(Transmission Control Protocol)、ICMP(Internet Control Message Protocol)は、予測されるリバースフローを使用して双方向フローを作成します。

  • IP は、一方向のフローを作成します。

また、 [edit applications] 階層レベルで設定したアプリケーション プロトコル定義を含めることもできます。詳細については、「 アプリケーション プロパティの設定」を参照してください。

  • 1 つ以上の特定のアプリケーション プロトコル定義を適用するには、[edit services stateful-firewall rule rule-name term term-name from] 階層レベルで applications ステートメントを含めます。

  • 定義したアプリケーション プロトコル定義の 1 つ以上のセットを適用するには、[edit services stateful-firewall rule rule-name term term-name from] 階層レベルで application-sets ステートメントを含めます。

    手記:

    アプリケーション プロトコルを指定するステートメントのいずれかを含めると、ルーターは [edit applications] 階層レベルの対応する設定からポートとプロトコル情報を取得します。これらのプロパティを一致条件として指定することはできません。

ステートフル ファイアウォール ルールでのアクションの設定

ステートフルファイアウォールアクションを設定するには、[edit services stateful-firewall rule rule-name term term-name]階層レベルでthenステートメントを含めます。

次のいずれかのアクションを含める必要があります。

  • accept- パケットは受け入れられ、宛先に送信されます。

  • accept skip-ids- パケットは受け入れられて宛先に送信されますが、MS-MPC に設定された IDS ルール処理はスキップされます。

  • discard- パケットは受け入れられず、それ以上処理されません。

  • reject- パケットは受け入れられず、拒否メッセージが返されます。UDPはICMP到達不能コードを送信し、TCPはRSTを送信します。拒否されたパケットは、ログに記録またはサンプリングできます。

手記:

ACX500屋内ルーターは、アクション accept skip-idsをサポートしていません。

オプションで、[edit services stateful-firewall rule rule-name term term-name then]階層レベルでsyslogステートメントを含めることで、システムログ機能に情報を記録するようにファイアウォールを設定できます。このステートメントは、サービス セットまたはインターフェイスのデフォルト設定に含まれるsyslog設定を上書きします。

IP オプション処理の設定

オプションで、[edit services stateful-firewall rule rule-name term term-name then]階層レベルでallow-ip-optionsステートメントを含めることで、IPヘッダー情報を検査するようにファイアウォールを設定できます。このステートメントを設定すると、fromステートメントで指定された基準に一致するすべてのパケットに追加のポリシーの一致基準を定義が適用されます。パケットは、すべての IP オプションタイプが allow-ip-options ステートメントの値として設定されている場合にのみ受け入れられます。allow-ip-optionsを設定しない場合、IP ヘッダー オプションのないパケットのみが受け入れられます。

手記:

ACX500屋内ルーターは、 allow-ip-options ステートメントの設定をサポートしていません。

追加の IP ヘッダー オプション インスペクションは、 accept および reject ステートフル ファイアウォール アクションにのみ適用されます。この設定は、 discard アクションには影響しません。IP ヘッダーのインスペクションに失敗した場合、拒否フレームは送信されません。この場合、 reject アクションは discardと同じ効果があります。

IPオプションパケットがステートフルファイアウォールで受け入れられた場合、ネットワークアドレス変換(NAT)と侵入検出サービス(IDS)は、IPオプションヘッダーのないパケットと同じ方法で適用されます。IP オプションの設定は、ステートフル ファイアウォール ルールにのみ表示されます。NAT は、IP オプションがあるパケットとないパケットに適用されます。

IPオプション・インスペクションに失敗したためにパケットがドロップされた場合、この例外イベントによってIDSイベント・メッセージとシステム・ログ・メッセージの両方が生成されます。イベントタイプは、拒否された最初のIPオプションフィールドによって異なります。

表 1 は、 allow-ip-options ステートメントに指定できる値をリストしています。数値の範囲またはセット、あるいは 1 つ以上の定義済み IP オプション設定を含めることができます。オプション名またはそれに相当する数値を入力できます。詳細については、「 http://www.iana.org/assignments/ip-parameters」を参照してください。

表 1:IP オプション値

IP オプション名

数値

コメント

any

0

任意の IP オプション

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

参照

ステートフル ファイアウォール ルール セットの設定

rule-setステートメントは、データストリーム内のパケットに対してルーターソフトウェアが実行するアクションを決定するステートフルファイアウォールルールの集合を定義します。各ルールを定義するには、ルール名を指定し、条件を設定します。次に、[edit services stateful-firewall]階層レベルでrule-setステートメントと各ルールのruleステートメントを含めることで、ルールの順序を指定します。

ルーター ソフトウェアは、設定で指定した順序でルールを処理します。ルール内の条件がパケットと一致する場合、ルーターは対応するアクションを実行し、ルールの処理は停止します。ルール内のどの条件もパケットに一致しない場合、処理はルール セット内の次のルールに進みます。どのルールもパケットに一致しない場合、パケットはデフォルトで破棄されます。

例:ステートフル ファイアウォール ルールの設定

次の例では、2つのルールを含むステートフルファイアウォール構成を示しています。1つは指定されたアプリケーションセットでの入力照合用、もう1つは指定された送信元アドレスでの出力照合用です。

次の例には、2 つの条件を持つ 1 つのルールがあります。最初の条件は、指定された送信元アドレスから発信された my-application-group 内のすべてのトラフィックを拒否し、拒否されたパケットの詳細なシステムログレコードを提供します。2 番目の条件は、任意のユーザから指定された宛先アドレスへの HTTP(ハイパーテキスト転送プロトコル)トラフィックを受け入れます。

次の例は、送信元と宛先のプレフィックスリストの使用方法を示しています。これには、2 つの個別の構成項目が必要です。

プレフィックスリストは、 [edit policy-options] 階層レベルで設定します。

ステートフルファイアウォールルールオプションは、ファイアウォールルールで設定されたプレフィックスリストを参照します。

これは、以下の設定と同等です。

次の例のように、 except 修飾子をプレフィックス リストと共に使用できます。この場合、 except 修飾子はプレフィックスリスト p2に含まれるすべてのプレフィックスに適用されます。

ステートフルファイアウォールの設定を他のサービスや仮想プライベートネットワーク(VPN)のルーティングおよび転送(VRF)テーブルと組み合わせるその他の例については、設定例を参照してください。

手記:

サービス セットを定義し、インターフェイス スタイルまたはネクストホップ スタイルとして割り当てることができます。

参照

例:BOOTP アドレスとブロードキャスト アドレス

次の例は、ブートストラッププロトコル(BOOTP)とブロードキャストアドレスをサポートしています。

例:2つのPICでのレイヤー3サービスとサービスSDKの設定

レイヤー3サービスパッケージとサービスSDKは、2つのPICで設定できます。この例では、FTPまたはHTTPクライアントとサーバーを設定する必要があります。この設定では、ルーター インターフェイスのクライアント側は ge-1/2/2.1 で、ルーター インターフェイスのサーバー側は ge-1/1/0.48 です。この設定により、uKernel PIC上のステートフルファイアウォール(SFW)によるネットワークアドレス変換(NAT)と、FTPまたはHTTPトラフィック用のServices SDK PIC上のアプリケーション識別(APPID)、アプリケーション認識型アクセスリスト(AACL)、および侵入検知および防止(IDP)が可能になります。

手記:

Services SDK は NAT をまだサポートしていません。NAT が必要な場合は、レイヤー 3 サービス パッケージを構成して、APPID、AACL、IDP などのサービス SDK とともに NAT を展開できます。
手記:

IDP 機能は、Junos OS リリース 17.1R1 以降の MXシリーズでは非推奨です。

レイヤー3サービスパッケージとサービスSDKを2つのPICに展開するには:

  1. 設定モードでは、次の階層レベルに移動します。
  2. 階層レベルで、ステートフル ルールオプションは、ファイアウォールルール r1 の条件を設定します。

    この例では、ステートフルファイアウォールの条件は ALLOWED-SERVICESです。アプリケーション名(junos-ftp、junos-http、junos-icmp-ping)を括弧で囲んで application-nameします。

  3. ステートフル ルールオプションは、ファイアウォールルール r2 の条件を設定します。

    この例では、ステートフルファイアウォールの条件は term1です。

  4. 次の階層レベルに移動し、設定を確認します。
  5. 次の階層レベルに移動します。
  6. 階層レベルで、NAT プールを設定します。

    この例では、NAT プールは OUTBOUND-SERVICES で、IP アドレスは 10.48.0.2/32 です。

  7. NAT ルールを設定します。

    この例では、NAT ルールは SET-MSR-ADDR、NAT 条件は TRANSLATE-SOURCE-ADDR、ソース プールは OUTBOUND-SERVICES です。アプリケーション名(junos-ftp、junos-http、junos-icmp-ping)を括弧で囲んで application-nameします。

  8. 次の階層レベルに移動し、設定を確認します。
  9. 次の階層レベルに移動します。
    手記:

    [edit security idp]ステートメントは、Junos OSリリース17.1R1以降のMXシリーズでは非推奨です。
  10. 階層レベルで、IDPポリシーを設定します。

    この例では、IDP ポリシーは test1、ルールは r1、事前定義された攻撃は FTP:USER:ROOT、事前定義された攻撃グループは "推奨される攻撃" です。

  11. IDP サービスのトレース オプションを設定します。

    この例では、ログファイル名は idp-demo.logです。

  12. 次の階層レベルに移動し、設定を確認します。
  13. 次の階層レベルに移動します。
  14. 階層レベルで、AACL ルールを設定します。

    この例では、AACL ルールは アプリ対応 で、条件は t1 です。

  15. 次の階層レベルに移動し、設定を確認します。
  16. 次の階層レベルに移動します。
  17. APPIDプロファイルを設定します。

    この例では、APPIDプロファイルは dummy-profileです。

  18. IDP プロファイルを設定します。

    この例では、IDP プロファイルは test1 です。

  19. ポリシー決定統計プロファイルを設定します。

    この例では、ポリシー決定統計プロファイルは lpdf-stats です。

  20. AACL ルールを設定します。

    この例では、AACL ルール名は app-aware です。

  21. 2 つのステートフル ファイアウォール ルールを構成します。

    この例では、最初のルールは r1 で、2 番目のルールは r2 です。

  22. 階層レベルで、サービスPIC障害時にトラフィックをバイパスするようにサービスセットを設定します。
  23. インターフェイス固有のサービス セット オプションを設定します。

    この例では、サービス インターフェイスは ms-0/1/0 です。

  24. 次の階層レベルに移動し、設定を確認します。
  25. 次の階層レベルに移動します。
  26. 階層レベルで、サービスインターフェイスのオプションの通知パラメータを設定します。これはデバッグにのみ必要であることに注意してください。

    この例では、通知するホストは ローカルです。

  27. 2 つのステートフル ファイアウォール ルールを構成します。

    この例では、最初のルールは r1 で、2 番目のルールは r2 です。

  28. NATルールを設定します。

    この例では、NAT ルールは SET-MSR-ADDR です。

  29. インターフェイス固有のサービス セット オプションを設定します。

    この例では、サービス インターフェイスは sp-3/1/0 です。

  30. 次の階層レベルに移動し、設定を確認します。
  31. 次の階層レベルに移動します。
  32. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ge-1/2/2.1です。

  33. 次の階層レベルに移動します。
  34. 階層レベルで、受信パケットのサービス セットを設定します。

    この例では、入力サービス セットは App-Aware-Set です。

  35. 送信されるパケットのサービス セットを設定します。

    この例では、出力サービス セットは App-Aware-Set です。

  36. 次の階層レベルに移動します。
  37. 階層レベルで、インターフェイスアドレスを設定します。

    この例では、インターフェイスアドレスは 10.10.9.10/30です。

  38. 次の階層レベルに移動し、設定を確認します。
  39. 次の階層レベルに移動します。
  40. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ge-1/1/0.48です。

  41. 次の階層レベルに移動します。
  42. 階層レベルで、受信パケットのサービス セットを設定します。

    この例では、サービス セットは NAT-SFW-SET です。

  43. 送信されるパケットのサービス セットを設定します。

    この例では、サービス セットは NAT-SFW-SET です。

  44. 次の階層レベルに移動します。
  45. インターフェイス アドレスを設定します。

    この例では、インターフェイスアドレスは 10.48.0.1/31です。

  46. 次の階層レベルに移動し、設定を確認します。
  47. 次の階層レベルに移動します。
  48. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ms-0/1/0.0 です。

  49. 次の階層レベルに移動します。
  50. 階層レベルで、プロトコルファミリーを設定します。
  51. 次の階層レベルに移動し、設定を確認します。
  52. 次の階層レベルに移動します。
  53. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは sp-3/1/0.0です。

  54. 次の階層レベルに移動します。
  55. 階層レベルで、サービスインターフェイスのオプションの通知パラメータを設定します。これはデバッグにのみ必要であることに注意してください。

    この例では、通知するホストは ローカルです。

  56. 次の階層レベルに移動します。
  57. 階層レベルで、プロトコルファミリーを設定します。
  58. 次の階層レベルに移動し、設定を確認します。
  59. 次の階層レベルに移動します。
  60. 階層レベルで、冗長性設定を行います。
  61. FPCとPICを設定します。

    この例では、FPCはスロット0に、PICはスロット1にあります。

  62. 実行制御機能専用のコア数を構成します。

    この例では、制御コアの数は1です。

  63. データ専用のプロセッシングコア数を設定します。

    この例では、データ コアの数は 7 です。

  64. オブジェクトキャッシュのサイズをメガバイト単位で設定します。128 MB の増分値のみが許可され、オブジェクト キャッシュの最大値は 1280 MB です。MS-100 では、値は 512 MB です。

    この例では、オブジェクト キャッシュのサイズは 1280 MB です。

  65. ポリシーデータベースのサイズをメガバイト単位で設定します。

    この例では、ポリシー データベースのサイズは 64 MB です。

  66. パッケージを設定します。

    この例では、最初のパッケージは jservices-appid、2 番目のパッケージは jservices-aacl、3 番目のパッケージは jservices-llpdf、4 番目のパッケージは jservices-idp、5 番目のパッケージは jservices-sfw です。jservices-sfw は、Junos OS リリース 10.1 以降でのみ使用できます。

  67. IPネットワークサービスを設定します。
  68. 次の階層レベルに移動し、設定を確認します。

例:仮想ルーティングおよび転送(VRF)とサービス設定

次の例では、仮想ルーティングおよび転送(VRF)とサービス設定を組み合わせています。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
17.1R1
IDP 機能は、Junos OS リリース 17.1R1 以降の MXシリーズでは非推奨です。
17.1R1
[edit security idp]ステートメントは、Junos OSリリース17.1R1以降のMXシリーズでは非推奨です。
17.1
accept skip-ids—パケットは受け入れられて宛先に送信されますが、MS-MPC に設定された IDS ルール処理はスキップされます。
14.2
Junos OS リリース 14.2 以降、MS-MPC および MS-MIC インターフェイス カードは、Junos Network Secure ステートフル ファイアウォールの IPv6 トラフィックをサポートしています。