Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ステートフル ファイアウォール

Junos Network Secureの概要

ルーターは、ファイアウォールを使用してトラフィックのフローを追跡および制御します。適応型サービスとマルチサービスPICは、 .パケットを単独で検査するファイアウォールとは対照的に、ステートフル ファイアウォールは、過去の通信やその他のアプリケーションから得られた状態情報を使用して、新しい通信を試みるための動的な制御決定を行うことで、セキュリティレイヤーを増やします。

メモ:

ACX シリーズ ルーターでは、ステートフル ファイアウォールの設定は ACX500 屋内ルーターでのみサポートされます。

に関連するステートフルファイアウォールグループ。フローは、次の 5 つのプロパティによって識別されます。

  • 送信元アドレス

  • 送信元ポート

  • 宛先アドレス

  • 宛先ポート

  • プロトコル

一般的な TCP(伝送制御プロトコル)またはユーザー データグラム プロトコル(UDP)会話は、初期化フローとレスポンダー フローという 2 つのフローで構成されています。ただし、FTP 会話などの会話の中には、2 つの制御フローと多くのデータ フローが含まれます。

ファイアウォール ルールは、会話の確立を許可するかどうかを決定します。会話が許可されている場合、会話のライフ サイクル中に作成されたフローを含め、会話内のすべてのフローが許可されます。

強力なルール駆動型会話処理パスを使用して、ステートフル ファイアウォールを設定します。A は、方向、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート、IP プロトコル値、アプリケーション プロトコルまたはサービスで構成されます。設定した特定の値に加えて、値を any ルール オブジェクト、アドレス、またはポートに割り当てることができ、どの入力値にも一致させることができます。最後に、型固有の一致の結果を無効にするルールオブジェクトを除外することもできます。

ファイアウォール ルールは方向性です。新しい会話ごとに、ルーター ソフトウェアはルールで指定された方向に一致する初期化フローをチェックします。

ファイアウォール ルールは注文されます。ソフトウェアは、ルールを設定に含める順序でチェックします。ファイアウォールが初めて一致するものを検出すると、ルーターはそのルールで指定されたアクションを実装します。未チェックのルールは無視されます。

メモ:

Junos OSリリース14.2以降、MS-MPCおよびMS-MICインターフェイスカードは、Junos Network SecureステートフルファイアウォールのIPv6トラフィックをサポートしています。

詳細については、「 ステートフル ファイアウォール ルールの設定」を参照してください。

アプリケーション プロトコル向けのステートフル ファイアウォールのサポート

アプリケーションプロトコルデータを検査することで、ASまたはマルチサービスPICファイアウォールは、セキュリティポリシーをインテリジェントに適用し、必要最小限のパケットトラフィックのみがファイアウォールを通過できるようにします。

ファイアウォール ルールはインターフェイスに関連して設定されます。デフォルトでは、ステートフル ファイアウォールにより、インターフェイスの背後にあるホストから開始されたすべてのセッションがルーターを通過できます。

メモ:

ACX500ルーターでは、ステートフルファイアウォールALGはサポートされていません。

ステートフル ファイアウォールの異常チェック

ステートフル ファイアウォールは、以下のイベントを異常として認識し、IDS ソフトウェアに送信して処理します。

  • IP 異常:

    • IP バージョンが正しいわけではありません。

    • IP ヘッダー長フィールドが小さすぎます。

    • IP ヘッダーの長さは、パケット全体よりも大きく設定されます。

    • 不正なヘッダー チェックサム。

    • IP 全長フィールドがヘッダー長よりも短い。

    • パケットに間違った IP オプションがあります。

    • ICMP(Internet Control Message Protocol)パケット長エラー。

    • TTL(Time-to-Live)は0に相当します。

  • IP アドレスの異常:

    • IP パケット ソースはブロードキャストまたはマルチキャストです。

    • 土地攻撃(送信元 IP は宛先 IP に等しい)。

  • IP フラグメント化異常:

    • IP フラグメントの重複。

    • IP フラグメントが見逃されました。

    • IP フラグメント長エラー。

    • IP パケットの長さは 64 KB(キロバイト)を超えています。

    • 小さなフラグメント攻撃。

  • TCP 異常:

    • TCP ポート 0。

    • TCP シーケンス番号 0 とフラグ 0。

    • TCP シーケンス番号 0 および FIN/PSH/RST フラグセット。

    • TCP フラグと不適切な組み合わせ(TCP FIN/RST または SYN/(URG|FIN|RST)。

    • TCP チェックサムが不正です。

  • UDP 異常:

    • UDP 送信元または宛先ポート 0。

    • UDP ヘッダー長チェックに失敗しました。

    • UDP チェックサムが不正です。

  • ステートフル TCP または UDP チェックによって検出された異常:

    • SYN の後にイニシエーターからの ACK のない SYN-ACK パケットが続きます。

    • SYN の後に RST パケットが続きます。

    • SYN-ACKを使用しないSYN。

    • 非 SYN ファースト フロー パケット。

    • SYNパケットのICMP到達不能エラー。

    • UDP パケットの ICMP 到達不能エラー。

  • ステートフル ファイアウォール ルールに従ってパケットが破棄されました。

メモ:

ACX500ルーターは、IPフラグメント化異常をサポートしていません。

ステートフル異常検知とステートレス検知を併用すると、IDS は、以下を含む幅広い攻撃に対して早期警告を提供できます。

  • TCP または UDP ネットワーク プローブとポート スキャン

  • SYN フラッド攻撃

  • 破棄、bonk、boink などの IP フラグメント化ベースの攻撃

ステートフル ファイアウォール ルールの設定

ステートフル ファイアウォール ルールを設定するには、階層レベルに rule rule-name ステートメントを [edit services stateful-firewall] 含めます。

メモ:

ACX500 ルーターは、[] 階層レベルでは アプリケーションアプリケーション セットedit services stateful-firewall rule rule-name term term-name fromサポートしていません。

メモ:

ACX500 ルーターで syslog を有効にするには、CLI ステートメントを stateful-firewall-logs [edit services service-set service-set-name syslog host local class] 階層レベルに含めます。

メモ:

edit services stateful-firewall 階層は SRX シリーズではサポートされていません。

各ステートフル ファイアウォール ルールは、階層レベルで設定されたフィルタと同様に、一連の [edit firewall] 条件で構成されています。用語は、以下で構成されます。

  • from ステートメント — 組み込みおよび除外される照合条件とアプリケーションを指定します。ステートメントは from 、ステートフル ファイアウォール ルールではオプションです。

  • then ステートメント— ルーター ソフトウェアによって実行されるアクションとアクション修飾子を指定します。ステートメントは then 、ステートフル ファイアウォール ルールでは必須です。

ACX500 シリーズ ルーターは、ステートフル ファイアウォール ルールの設定中は以下をサポートしていません。

  • match-direction (output | input-output)

  • post-service-filter をインターフェイス サービス入力階層レベルで実行します。

  • IPv6 送信元アドレスと宛先アドレス。

  • application-setsapplicationallow-ip-options[] 階層レベルで表示されますedit services stateful-firewall

  • アプリケーション レイヤー ゲートウェイ(ALG)

  • MS-MIC(Multiservices Modular Interfaces Card)およびインラインサービス(-si)内のサービスチェイニング。

  • サービス クラス。

  • show services stateful-firewall の CLI コマンドはサポートされていません。

    • show services stateful-firewall conversations—会話を表示

    • show services stateful-firewall flow-analysis—フローテーブルエントリを表示

    • show services stateful-firewall redundancy-statistics— 冗長性統計情報を表示

    • show services stateful-firewall sip-call—SIP コール情報を表示します。

    • show services stateful-firewall sip-register—SIP レジスタ情報を表示します。

    • show services stateful-firewall subscriber-analysis—加入者テーブル エントリを表示します。

次のセクションでは、ステートフル ファイアウォール ルールのコンポーネントを構成する方法について説明します。

ステートフル ファイアウォール ルールの一致方向の設定

各ルールには、 match-direction 一致するルールが適用される方向を指定するステートメントを含める必要があります。一致が適用される場所を設定するには、階層レベルで match-direction ステートメントを [edit services stateful-firewall rule rule-name] 含めます。

メモ:

ACX500 シリーズ ルーターはサポート match-direction (output | input-output)されていません。

設定 match-direction input-outputすると、双方向から開始されたセッションがこのルールと一致する可能性があります。

一致方向は、ASまたはマルチサービスPICを通過するトラフィックフローに関して使用されます。パケットが PIC に送信されると、それに伴って方向情報が送信されます。

インターフェイス サービス セットを使用すると、パケットの方向は、パケットがサービス セットが適用されるインターフェイスに入るか離れるかによって決まります。

ネクストホップサービスセットでは、パケットの方向は、パケットをASまたはマルチサービスPICにルーティングするために使用されるインターフェイスによって決定されます。内部インターフェイスを使用してパケットをルーティングする場合、パケットの方向が入力されます。外部インターフェイスを使用してパケットをPICに誘導すると、パケットの方向が出力されます。内部インターフェイスと外部インターフェイスの詳細については、「 サービス インターフェイスに適用するサービス セットの設定」を参照してください

PIC では、フロー ルックアップが実行されます。フローが見つからない場合は、ルール処理が実行されます。このサービス セット内のルールは、一致するものが見つかるまで順番に考慮されます。ルールの処理中に、パケットの方向がルールの方向と比較されます。パケットの方向に一致する方向情報を持つルールのみが考慮されます。ほとんどのパケットでは、双方向フローが作成されます。

ステートフル ファイアウォール ルールでの照合条件の設定

ステートフル ファイアウォールの一致条件を設定するには、階層レベルで from ステートメントを [edit services stateful-firewall rule rule-name term term-name] 含めます。

メモ:

ACX500 ルーターは、[] 階層レベルでは アプリケーションアプリケーション セットedit services stateful-firewall rule rule-name term term-name fromサポートしていません。

送信元アドレスと宛先アドレスは、IPv4 または IPv6 のいずれかです。

ファイアウォール フィルタを設定するのと同じ方法で、送信元アドレスまたは宛先アドレスのいずれかを照会条件として使用できます。詳細については、「ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイド」を参照してください。ワイルドカード値は、すべてのユニキャスト アドレスの照合を示すワイルドカード値(すべての IPv4 アドレスany-ipv4の照合を示す)、またはany-ipv6すべての IPv6 アドレスの照合を示すワイルドカード値any-unicastを使用できます。

または、ステートメントを階層レベルで[edit policy-options]設定prefix-listし、ステートフル ファイアウォール ルールにステートメントまたはステートメントを含めdestination-prefix-list、送信元または宛先プレフィックスのsource-prefix-listリストを指定することもできます。例については、「例:ステートフル ファイアウォール ルールの設定」を参照してください。

この条件を from 省略すると、ステートフル ファイアウォールはすべてのトラフィックを受け入れ、デフォルトのプロトコル ハンドラーが有効になります。

  • ユーザー データグラム プロトコル(UDP)、TCP(Transmission Control Protocol)、ICMP(Internet Control Message Protocol)は、予測されたリバース フローを使用して双方向フローを作成します。

  • IP は一方向フローを作成します。

階層レベルで設定したアプリケーション プロトコル定義を含めることもできます。詳細については、「アプリケーション プロパティの[edit applications]設定」を参照してください。

  • 1 つ以上の特定のアプリケーション プロトコル定義を適用するには、階層レベルで applications ステートメントを [edit services stateful-firewall rule rule-name term term-name from] 含めます。

  • 定義したアプリケーション プロトコル定義のセットを 1 つ以上適用するには、階層レベルで application-sets ステートメントを [edit services stateful-firewall rule rule-name term term-name from] 含めます。

    メモ:

    アプリケーション プロトコルを指定するステートメントのいずれかを含める場合、ルーターは対応する設定から階層レベルでポートとプロトコルの情報を [edit applications] 引き出します。これらのプロパティを照合条件として指定することはできません。

ステートフル ファイアウォール ルールでのアクションの設定

ステートフル ファイアウォール アクションを設定するには、階層レベルで then ステートメントを [edit services stateful-firewall rule rule-name term term-name] 含めます。

以下のいずれかのアクションを含める必要があります。

  • accept—パケットが受け入れられ、宛先に送信されます。

  • accept skip-ids—パケットは受け入れられ、宛先に送信されますが、MS-MPC で設定された IDS ルール処理はスキップされます。

  • discard—パケットは受け入れられず、それ以上処理されません。

  • reject—パケットは受け入れられず、拒否メッセージが返されます。UDP は ICMP 到達不能コードを送信し、TCP は RST を送信します。拒否されたパケットをログに記録またはサンプリングできます。

メモ:

ACX500屋内ルーターは、アクション accept skip-idsをサポートしていません。

必要に応じて、ステートメントを階層レベルに含めて、システム ロギング機能の情報を syslog 記録するようにファイアウォールを [edit services stateful-firewall rule rule-name term term-name then] 設定できます。このステートメントは、サービス セットまたはインターフェイスのデフォルト設定に含まれる設定を syslog 上書きします。

IP オプション処理の設定

必要に応じて、ステートメントを階層レベルに含めて IP ヘッダー情報を allow-ip-options 検査するようにファイアウォールを [edit services stateful-firewall rule rule-name term term-name then] 設定できます。このステートメントを設定すると、ステートメントで from 指定された条件に一致するすべてのパケットに、追加の照合基準が適用されます。パケットは、すべての IP オプション タイプがステートメント内 allow-ip-options の値として設定されている場合にのみ受け入れられます。構成 allow-ip-optionsしない場合は、IP ヘッダー オプションのないパケットのみが受け入れられます。

メモ:

ACX500屋内ルーターは、ステートメントの allow-ip-options 設定をサポートしていません。

追加の IP ヘッダー オプション インスペクションは、ステートフル ファイアウォール アクションにのみreject適用されますaccept。この設定は、アクションには影響しませんdiscard。IP ヘッダー インスペクションに失敗した場合、拒否フレームは送信されません。この場合、rejectアクションは.discard

IP オプション パケットがステートフル ファイアウォールによって受け入れられる場合、ネットワーク アドレス変換(NAT)と侵入検出サービス(IDS)は、IP オプション ヘッダーのないパケットと同じ方法で適用されます。IP オプションの設定は、ステートフル ファイアウォール ルールにのみ表示されます。NAT は、IP オプションの有無にかかわらずパケットに適用されます。

パケットが IP オプション インスペクションに失敗したために破棄されると、この例外イベントは IDS イベントとシステム ログ メッセージの両方を生成します。イベント タイプは、拒否された最初の IP オプション フィールドによって異なります。

表 1 は、ステートメントで使用可能な値を allow-ip-options 示しています。数値の範囲またはセット、または事前定義された IP オプション設定の 1 つ以上を含めることができます。オプション名またはその数値に相当するもののいずれかを入力できます。詳細については、 http://www.iana.org/assignments/ip-parameters を参照してください。

表 1:IP オプション値

IP オプション名

数値

コメント

any

0

任意の IP オプション

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

ステートフル ファイアウォール ルール セットの設定

ステートメントはrule-set、データ ストリーム内のパケットに対してルーター ソフトウェアが実行するアクションを決定するステートフル ファイアウォール ルールのコレクションを定義します。各ルールを定義するには、ルール名を指定し、条件を設定します。次に、各ルールのステートメントを階層レベルにrule-set[edit services stateful-firewall]含めて、ルールの順序をrule指定します。

ルーター ソフトウェアは、ルールを設定で指定した順序で処理します。ルール内の条件がパケットと一致する場合、ルーターは対応するアクションを実行し、ルール処理は停止します。ルール内の条件がパケットと一致しない場合、処理はルール セット内の次のルールに進みます。どのルールもパケットと一致しない場合、パケットはデフォルトで破棄されます。

例:ステートフル ファイアウォール ルールの設定

次の例は、2 つのルールを含むステートフル ファイアウォール設定を示しています。1 つは、指定されたアプリケーション セットでの入力照合用、もう 1 つは指定した送信元アドレスでの出力照合用です。

次の例では、2 つの条件を持つ単一のルールを使用しています。最初の用語は、指定された送信元アドレスからのすべてのトラフィック my-application-group を拒否し、拒否されたパケットの詳細なシステム ログ レコードを提供します。2 番目の用語は、指定された宛先アドレスへのすべてのユーザーからのハイパーテキスト転送プロトコル(HTTP)トラフィックを受け入れます。

次の例は、送信元と宛先のプレフィックス リストの使用を示しています。これには、2 つの個別の構成項目が必要です。

プレフィックス リストは、階層レベルで [edit policy-options] 設定します。

ステートフル ファイアウォール ルールで設定済みのプレフィックス リストを参照します。

これは、次の設定に相当します。

次の except 例のように、プレフィックス リストと共に修飾子を使用できます。この場合、修飾子は except プレフィックス リスト p2に含まれるすべてのプレフィックスに適用されます。

ステートフル ファイアウォールの設定と他のサービス、および仮想プライベート ネットワーク(VPN)ルーティングおよび転送(VRF)テーブルを組み合わせたその他の例については、設定例を参照してください。

メモ:

サービス セットを定義し、インターフェイス スタイルまたはネクストホップ スタイルとして割り当てることができます。

例:BOOTP およびブロードキャスト アドレス

次の例では、BootP(Bootstrap Protocol)とブロードキャスト アドレスをサポートしています。

例:2個のPICでのレイヤー3サービスとサービスSDKの設定

レイヤー 3 サービス パッケージとサービス SDK は、2 つの PIC で構成できます。この例では、FTP または HTTP クライアントとサーバーを構成する必要があります。この設定では、ルーター インターフェイスのクライアント側は ge-1/2/2.1 で、ルーター インターフェイスのサーバー側は ge-1/1/0.48 です。この設定では、UKernel PIC と APPID(アプリケーション識別)、AACL(アプリケーション認識アクセス リスト)、および FTP または HTTP トラフィック用のサービス SDK PIC 上の侵入検知防御(IDP)上のステートフル ファイアウォール(SFW)を使用した NAT(ネットワーク アドレス変換)が可能になります。

メモ:

サービスSDKはまだNATをサポートしていません。NAT が必要な場合は、APPID、AACL、IDP などのサービス SDK とともに NAT を導入するようにレイヤー 3 サービス パッケージを設定できます。

メモ:

JUNos OS リリース 17.1R1 以降の MX シリーズでは、IDP 機能は廃止されました。

レイヤー 3 サービス パッケージとサービス SDK を 2 つの PIC に導入するには、次の手順にしたがってください。

  1. 設定モードで、次の階層レベルに移動します。
  2. 階層レベルで、ステートフル ファイアウォール ルール r1 の条件を設定します。

    この例では、ステートフル ファイアウォールの用語は ALLOWED-SERVICES です。アプリケーション名(junos-ftp、junos-http、junos-icmp-ping)を角括弧で囲 application-nameみます。

  3. ステートフル ファイアウォール ルール r2 の条件を設定します。

    この例では、ステートフル ファイアウォールの用語は term1 です

  4. 次の階層レベルに移動し、設定を確認します。
  5. 次の階層レベルに移動します。
  6. 階層レベルで、NAT プールを設定します。

    この例では、NATプールは アウトバウンドサービス で、IPアドレスは 10.48.0.2/32です

  7. NAT ルールを設定します。

    この例では、NAT ルールは SET-MSR-ADDR、NAT 用語は TRANSLATE-SOURCE-ADDR、ソース プールは アウトバウンド サービスです。アプリケーション名(junos-ftp、junos-http、junos-icmp-ping)を括弧で囲 application-nameみます。

  8. 次の階層レベルに移動し、設定を確認します。
  9. 次の階層レベルに移動します。
    メモ:

    [edit security idp] ステートメントは、Junos OS リリース 17.1R1 以降の MX シリーズでは非推奨です。

  10. 階層レベルで、IDP ポリシーを設定します。

    この例では、IDP ポリシーは test1、ルールは r1、事前定義された攻撃は FTP:USER:ROOT、事前定義された攻撃グループは 「推奨攻撃」です。

  11. IDP サービスのトレース オプションを構成します。

    この例では、ログ ファイル名は idp-demo.log です

  12. 次の階層レベルに移動し、設定を確認します。
  13. 次の階層レベルに移動します。
  14. 階層レベルで、AACL ルールを設定します。

    この例では、AACL ルールは アプリ認識型で 、条件は t1 です

  15. 次の階層レベルに移動し、設定を確認します。
  16. 次の階層レベルに移動します。
  17. APPID プロファイルを設定します。

    この例では、APPID プロファイルは dummy-profile です

  18. IDP プロファイルを設定します。

    この例では、IDP プロファイルは test1 です

  19. ポリシー決定統計プロファイルを設定します。

    この例では、ポリシー決定統計プロファイルは lpdf-stats です。

  20. AACL ルールを設定します。

    この例では、AACL ルール名は アプリ認識型です

  21. 2 つのステートフル ファイアウォール ルールを設定します。

    この例では、最初のルールは r1 、2 番目のルールは r2 です

  22. 階層レベルで、サービスPIC障害時にトラフィックをバイパスするようにサービスセットを設定します。
  23. インターフェイス固有のサービス セット オプションを設定します。

    この例では、サービス インターフェイスは ms-0/1/0 です

  24. 次の階層レベルに移動し、設定を確認します。
  25. 次の階層レベルに移動します。
  26. 階層レベルで、サービス インターフェイスのオプションの通知パラメーターを設定します。デバッグにのみ必要であることに注意してください。

    この例では、通知するホストは ローカルです。

  27. 2 つのステートフル ファイアウォール ルールを設定します。

    この例では、最初のルールは r1 、2 番目のルールは r2 です

  28. NAT ルールを設定します。

    この例では、NAT ルールは SET-MSR-ADDR です

  29. インターフェイス固有のサービス セット オプションを設定します。

    この例では、サービス インターフェイスは sp-3/1/0 です

  30. 次の階層レベルに移動し、設定を確認します。
  31. 次の階層レベルに移動します。
  32. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ge-1/2/2.1 です

  33. 次の階層レベルに移動します。
  34. 階層レベルで、受信パケットのサービス セットを設定します。

    この例では、入力サービス セットは App-Aware-Set です

  35. 送信パケットのサービス セットを設定します。

    この例では、出力サービス セットは App-Aware-Set です

  36. 次の階層レベルに移動します。
  37. 階層レベルで、インターフェイス アドレスを設定します。

    この例では、インターフェイス アドレスは 10.10.9.10/30 です

  38. 次の階層レベルに移動し、設定を確認します。
  39. 次の階層レベルに移動します。
  40. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ge-1/1/0.48 です

  41. 次の階層レベルに移動します。
  42. 階層レベルで、受信パケットのサービス セットを設定します。

    この例では、サービス セットは NAT-SFW-SET です

  43. 送信パケットのサービス セットを設定します。

    この例では、サービス セットは NAT-SFW-SET です

  44. 次の階層レベルに移動します。
  45. インターフェイス アドレスを設定します。

    この例では、インターフェイス アドレスは 10.48.0.1/31 です

  46. 次の階層レベルに移動し、設定を確認します。
  47. 次の階層レベルに移動します。
  48. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは ms-0/1/0.0 です

  49. 次の階層レベルに移動します。
  50. 階層レベルで、プロトコル ファミリーを設定します。
  51. 次の階層レベルに移動し、設定を確認します。
  52. 次の階層レベルに移動します。
  53. 階層レベルで、インターフェイスを設定します。

    この例では、インターフェイスは sp-3/1/0.0 です

  54. 次の階層レベルに移動します。
  55. 階層レベルで、サービス インターフェイスのオプションの通知パラメーターを設定します。デバッグにのみ必要であることに注意してください。

    この例では、通知するホストは ローカルです。

  56. 次の階層レベルに移動します。
  57. 階層レベルで、プロトコル ファミリーを設定します。
  58. 次の階層レベルに移動し、設定を確認します。
  59. 次の階層レベルに移動します。
  60. 階層レベルで、冗長性設定を構成します。
  61. FPC と PIC を設定します。

    この例では、FPCはスロット0にあり、PICはスロット1にあります。

  62. 制御機能を実行するために専用のコア数を設定します。

    この例では、コントロール コアの数は 1 です。

  63. データ専用の処理コア数を設定します。

    この例では、データ コアの数は 7 です。

  64. オブジェクト・キャッシュのサイズをメガバイト単位で構成します。128 MB の増分の値のみが許可され、オブジェクト キャッシュの最大値は 1280 MB です。MS-100 では、値は 512 MB です。

    この例では、オブジェクト キャッシュのサイズは 1280 MB です。

  65. ポリシー データベースのサイズをメガバイト単位で設定します。

    この例では、ポリシー データベースのサイズは 64 MB です。

  66. パッケージを構成します。

    この例では、最初のパッケージは jservices-appid、2 番目のパッケージは jservices-aacl、3 つ目のパッケージは jservices-llpdf、4 番目のパッケージは jservices-idp、5 番目のパッケージは jservices-sfw です。jservices-sfw は、Junos OS リリース 10.1 以降でのみ使用できます。

  67. IP ネットワーク サービスを設定します。
  68. 次の階層レベルに移動し、設定を確認します。

例:VRF(仮想ルーティングおよび転送)とサービス設定

次の例では、VRF(仮想ルーティングおよび転送)とサービスの設定を組み合わせています。

リリース履歴テーブル
リリース
説明
17.1R1
JUNos OS リリース 17.1R1 以降の MX シリーズでは、IDP 機能は廃止されました。
17.1R1
[edit security idp] ステートメントは、Junos OS リリース 17.1R1 以降の MX シリーズでは非推奨です。
17.1
accept skip-ids—パケットは受け入れられ、宛先に送信されますが、MS-MPC で設定された IDS ルール処理はスキップされます。
14.2
Junos OSリリース14.2以降、MS-MPCおよびMS-MICインターフェイスカードは、Junos Network SecureステートフルファイアウォールのIPv6トラフィックをサポートしています。