Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

次世代サービス向けステートフルファイアウォールの設定

ステートフルファイアウォールを設定するには、ステートフルファイアウォールルールを設定し、それらのルールをサービスセットに適用します。また、ステートフル ファイアウォール ルール セット(ステートフル ファイアウォール ルールのセットを含む)を設定することもできます。

次世代サービス向けステートフル ファイアウォール ルールの設定

ステートフルファイアウォールルールは、どのトラフィックを処理するか、およびトラフィックに適用するアクションを指定します。

ステートフルファイアウォールルールを設定するには:

  1. ステートフル ファイアウォール ルールの名前を設定します。
  2. ステートフル ファイアウォール ルールが適用されるトラフィック フロー方向を指定します。

    を設定 input-outputした場合、ルールはどちらの方向から開始されたセッションにも適用されます。

    このステートフルファイアウォールルールがインターフェイスタイプのサービスセットに適用される場合、パケットがサービスセットが適用されているインターフェイスに出入りしているかどうかによって方向が決定されます。このステートフル ファイアウォール ルールをネクストホップ サービス セットに適用する場合、内部インターフェイスがパケットのルーティングに使用される場合は方向が入力され、外部インターフェイスがパッケージのルーティングに使用されている場合は方向が出力されます。

  3. ポリシーの名前を設定します。

    ステートフルファイアウォールルールには、複数のポリシーを設定できます。各ポリシーは、フローの一致条件と、フローを許可するかどうかを識別します。ルール内のポリシーがパケットに一致すると、そのポリシーが適用され、ルール内の他のポリシーは処理されません。

  4. ポリシーが適用されるフローの宛先アドレスを指定します。

    または、このステップで使用する設定階層のservices下で をaddress-book指定できます。

    宛先アドレスは、IPv4 または IPv6 です。

  5. ポリシーが適用されないフローの宛先アドレスを指定します。

    宛先アドレスは、IPv4 または IPv6 です。

  6. ポリシーが適用されるフローの送信元アドレスを指定します。

    または、このステップで使用する設定階層のservices下で をaddress-book指定できます。

    送信元アドレスは IPv4 または IPv6 です。

  7. ポリシーが適用されないフローの送信元アドレスを指定します。

    送信元アドレスは IPv4 または IPv6 です。

  8. ポリシーが適用される1つ以上のアプリケーションプロトコルを指定します。

    階層レベルで設定したアプリケーションプロトコル定義を [edit applications] 使用します。

  9. ポリシーが実行するアクションを指定します。

    どこ:

    count

    ポリシーが通過できるすべてのネットワーク トラフィックのカウント(バイトまたはキロバイト)を有効にします。

    deny

    パケットをドロップします。
    permit

    パケットを受け入れ、宛先に送信します。
    reject

    パケットをドロップします。TCP トラフィックの場合、送信元ホストに TCP リセット(RST)セグメントを送信します。UDP トラフィックの場合、ICMP destination unreachable, port unreachable メッセージ(タイプ 3、コード 3)を送信元ホストに送信します。

次世代サービス向けのステートフル ファイアウォール ルール セットの設定

ステートフル ファイアウォール ルール セットでは、ステートフル ファイアウォール ルールのセットを指定できます。これらのルールは、ルール セットの設定に表示される順序で処理されます。ルール セット内のステートフル ファイアウォール ルールがパケットと一致すると、そのルールが適用され、ルール セット内の他のルールは処理されません ̇。

ステートフル ファイアウォール ルール セットを設定するには、

  1. ステートフル ファイアウォール ルール セットの名前を構成します。
  2. ルール セットに属するステートフル ファイアウォール ルールを指定します。

次世代サービス向けステートフル ファイアウォール向けサービス セットの設定

ステートフル ファイアウォール ルールは、トラフィックに適用する前にサービス セットに割り当てる必要があります。

ステートフル ファイアウォール ルールを適用するサービス セットを設定するには、次の手順に従います。

  1. サービス セットを定義します。
  2. 単一のサービスインターフェイスを必要とするインターフェイスサービスセット、または内部および外部のサービスインターフェイスを必要とするネクストホップサービスセットのいずれかを設定します。

    または

  3. サービス セットで使用するステートフル ファイアウォール ルールを指定します。個々のルールまたはルールセットのいずれかを指定できますが、両方を指定することはできません。

    個々のステートフル ファイアウォール ルールを適用するには、次の手順に従います。

    ステートフル ファイアウォール ルール セットを適用するには::

    サービス セットは、ステートフル ファイアウォール ルールまたはルール セットをサービス セット設定に表示される順序で処理します。