Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

次世代サービス向けのステートフルファイアウォールの設定

ステートフルファイアウォールを設定するには、ステートフルファイアウォールルールを設定し、そのルールをサービスセットに適用します。また、ステートフル ファイアウォール ルールのセットを含むステートフル ルールオプションは、ファイアウォールルール セットを設定することもできます。

次世代サービス向けのステートフルファイアウォールルールの設定

ステートフル ルールオプションは、ファイアウォールルールは、処理するトラフィックと、そのトラフィックに適用するアクションを指定します。

ステートフル ルールオプションは、ファイアウォールルールを設定するには:

  1. ステートフル ルールオプションは、ファイアウォールルールの名前を設定します。
  2. ステートフル ルールオプションは、ファイアウォールルールが適用されるトラフィック フローの方向を指定します。

    input-outputを構成すると、どちらの方向から開始されたセッションにもルールが適用されます。

    このステートフル ルールオプションは、ファイアウォールルールがインターフェイスタイプのサービス セットに適用される場合、方向はサービス セットが適用されているインターフェイスにパケットが出入りするかによって決まります。このステートフル ルールオプションは、ファイアウォールルールをネクストホップ サービス セットに適用すると、内部インターフェイスがパケットのルーティングに使用される場合は方向が入力され、外部インターフェイスがパッケージのルーティングに使用される場合は方向が出力されます。

  3. ポリシーの名前を設定します。

    ステートフル ルールオプションは、ファイアウォールルールに対して複数のポリシーを設定できます。各ポリシーは、フローの一致条件と、フローを許可するかどうかを識別します。ルール内のポリシーがパケットと一致すると、そのポリシーが適用され、ルール内の他のポリシーは処理されません。

  4. ポリシーが適用されるフローの宛先アドレスを指定します。

    または、このステップで使用するservices設定階層下のaddress-bookを指定することもできます。

    宛先アドレスは、IPv4 または IPv6 です。

  5. ポリシーが適用されないフローの宛先アドレスを指定します。

    宛先アドレスは、IPv4 または IPv6 です。

  6. ポリシーが適用されるフローの送信元アドレスを指定します。

    または、このステップで使用するservices設定階層下のaddress-bookを指定することもできます。

    送信元アドレスは IPv4 または IPv6 です。

  7. ポリシーが適用されないフローの送信元アドレスを指定します。

    送信元アドレスは IPv4 または IPv6 です。

  8. ポリシーが適用されるアプリケーション プロトコルを 1 つ以上指定します。

    [edit applications] 階層レベルで設定したアプリケーション プロトコル定義を使用します。

  9. ポリシーが実行するアクションを指定します。

    どこ:

    count

    ポリシーが通過を許可するすべてのネットワーク トラフィックのカウントをバイトまたはキロバイト単位で有効にします。

    deny

    パケットをドロップします。
    permit

    パケットを受け取り、宛先に送信します。
    reject

    パケットをドロップします。TCPトラフィックの場合、送信元ホストにTCPリセット(RST)セグメントを送信します。UDPトラフィックの場合、ICMP destination unreachable, port unreachable メッセージ(タイプ3、コード3)を送信元ホストに送信します。

次世代サービス向けのステートフルファイアウォールルールセットの設定

ステートフルファイアウォールルールオプションは、ファイアウォールルールセットでは、ルールセット設定に表示される順序で処理されるステートフルファイアウォールルールのセットを指定できます。ルールセット内のステートフルルールオプションは、ファイアウォールルールがパケットと一致すると、そのルールが適用され、ルールセット内の他のルールは処理されません。

ステートフル ルールオプションは、ファイアウォールルール セットを設定するには:

  1. ステートフル ルールオプションは、ファイアウォールルール セットの名前を設定します。
  2. ルール セットに属するステートフル ファイアウォール ルールを指定します。

次世代サービスのステートフルファイアウォール用のサービスセットの設定

ステートフルファイアウォールルールは、トラフィックに適用する前にサービスセットに割り当てる必要があります。

ステートフルファイアウォールルールを適用するサービスセットを設定するには:

  1. サービスセットを定義します。
  2. 単一のサービス インターフェイスを必要とするインターフェイス サービス セット、または内部および外部サービス インターフェイスを必要とするネクストホップ サービス セットのいずれかを設定します。

    又は

  3. サービスセットで使用するステートフルファイアウォールルールを指定します。個々のルールまたはルール セットを指定できますが、両方を指定することはできません。

    個々のステートフル ファイアウォール ルールを適用するには:

    ステートフル ルールオプションは、ファイアウォールルール セットを適用するには:

    サービスセットは、ステートフルファイアウォールのルールまたはルールセットを、サービスセットの設定に表示される順序で処理します。