Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ステートレスファイアウォールフィルタコンポーネント

このトピックでは、以下の内容について説明します。

プロトコルファミリー

ステートメントのfirewall下では、トラフィックをフィルタリングするプロトコルファミリを指定できます。

表 1ファイアウォールフィルタプロトコルファミリーについて説明します。

表 1: ファイアウォールフィルタプロトコルファミリー

フィルタリングするトラフィックのタイプ

設定ステートメント

ディスカッション

プロトコル非依存

family any

論理インタフェース上で構成されているすべてのプロトコルファミリー。

IPv4(インターネット プロトコル バージョン 4)

family inet

このfamily inet文は、IPv4 ではオプションです。

IPv6(インターネット プロトコル バージョン 6)

family inet6

 

MPLS

family mpls

 

MPLS タグ付き IPv4

family mpls

IP アドレスとポートの照合をサポートし、最大5個の MPLS スタックされたラベルに対応します。

MPLS タグ付き IPv6

family mpls

IP アドレスとポートの照合をサポートし、最大5個の MPLS スタックされたラベルに対応します。

VPLS(仮想プライベートLANサービス)

family vpls

レイヤー 2 回線クロスコネクション

family ccc

レイヤー 2 ブリッジング

family bridge (MX シリーズ ルーター用)および family ethernet-switching (EX シリーズ用)

MX シリーズルーターとEX シリーズスイッチのみ。

フィルタタイプ

ステートメントのfamily family-name下では、構成するフィルターのタイプと名前を指定できます。

表 2ファイアウォールフィルタタイプについて説明します。

表 2: フィルタタイプ

フィルター タイプ

設定ステートメント

説明

標準ファイアウォール フィルター

filter filter-name

以下のトラフィックタイプにフィルターを設定します。

  • プロトコル非依存

  • IPv4

  • IPv6

  • MPLS

  • MPLS タグ付き IPv4

  • MPLS タグ付き IPv6

  • VPLS

  • レイヤー 2 CCC

  • レイヤー 2 ブリッジング(MX シリーズルーター EX シリーズスイッチのみ)

サービス フィルター

service-filter service-filter-name

サービスの処理において受け入れられる前に受信または送信に適用されるパケットフィルタリングを定義します。また、service processing が完了した後に、サービスの送信を開始した後のサービストラフィックに適用できます。

以下のトラフィックタイプにフィルターを設定します。

  • IPv4

  • IPv6

次のハードウェア上でのみ構成された論理インタフェースでサポートされるようになります。

  • アクセス ルーター上AS適応型サービス(M Series)T Series PIC

  • マルチサービス(MS)PIC(マルチM SeriesとT Seriesルーター)

  • マルチサービス(MS)DPC(MX シリーズ(およびEX シリーズ)

シンプルなフィルター

simple-filter simple-filter-name

受信トラフィックのみに適用されるパケットフィルタリングを定義します。

次のトラフィックタイプをフィルター処理します。

  • IPv4

次のハードウェア上でのみ構成された論理インタフェースでサポートされるようになります。

  • ギガビット イーサネット インテリジェント キューイング(IQ2)PIC(イーサネット ルーター M120、M320、T Series取り付け済み

  • 拡張キューイング 高密度ポート コンセントレータ(EQ DPC)を特定のルーター(MX シリーズスイッチEX シリーズインストール)

つい

、、 filterまたservice-filtersimple-filterステートメントの下で、少なくとも1つのファイアウォールフィルタ条件を設定する必要があります。条件とアクションが定義されている名前付き構造です。ファイアウォールフィルター内では、各用語に一意の名前を設定する必要があります。

ヒント:

インターフェイス上の各プロトコルファミリーでは、1つの方向に複数のフィルターを適用することはできません。同じプロトコルファミリーに対して同じ方向に追加のフィルタを適用しようとすると、前回のフィルターが最後のフィルターによって上書きされます。ただし、同じプロトコルファミリのフィルターを、同じインターフェイスの入出力方向に適用することは可能です。

すべてのステートレス ファイアウォール フィルタには 1 つ以上の語が含まれている。各条件は、一致条件とアクションという 2 つのコンポーネントで構成されています。照合条件は、一致と見なされるためにパケットに含まれている必要がある値またはフィールドを定義します。パケットが一致した場合、対応するアクションが実行されます。デフォルトでは、ファイアウォールフィルターに一致しないパケットは破棄されます。

インターフェイス上の受信トラフィックに対してファイアウォールフィルターが適用されていないインターフェイスでパケットが受信されると、デフォルトでパケットが受け付けられます。

注:

多数の条件を持つファイアウォールフィルターは、構成のコミット時間とルーティングエンジンのパフォーマンスの両方に悪影響を与える可能性があります。

さらに、別のフィルターの期間内にステートレスファイアウォールフィルターを構成することもできます。この方法では、すべてのフィルター定義を変更することなく、共通の用語を複数のフィルターに追加できます。目的とする共通の用語を使用して1つのフィルターを設定し、このフィルターを他のフィルターの用語として設定できます。そのため、このような共通の用語を変更するには、複数のフィルターではなく、共通の条件を含むフィルターを1つだけ変更する必要があります。

条件の照合

ファイアウォールフィルター条件には、ファイアウォールフィルタ用語の一致と見なされるためにパケットに含まれるフィールドまたは値を指定するために、一致条件と呼ばれるパケットフィルタリング基準が少なくとも1つ含まれている必要があります。一致と見なされるためには、パケットは条件に合致していることが必要です。パケットがファイアウォールフィルタ条件に一致した場合、ルーター (またはスイッチ) はパケットに設定されたアクションを実行します。

ファイアウォールフィルター条件に複数の一致条件が含まれている場合、パケットは、ファイアウォールフィルタ条件に一致するものと見なされるように、すべての一致条件を満たす必要があります。

値の範囲など、複数の値を使用して単一の対戦条件が設定されている場合、パケットは、ファイアウォールフィルタ条件と一致する値として1 つだけ一致することを考慮する必要があります。

ファイアウォールフィルタ条件で指定できる match 条件の範囲は、ファイアウォールフィルタを設定するプロトコルファミリーによって異なります。IP 送信元アドレスフィールド、IP 宛先アドレスフィールド、TCP または UDP 送信元ポートフィールド、IP プロトコルフィールド、インターネット制御メッセージプロトコル (ICMP) パケットタイプ、IP オプション、TCP フラグ、着信論理または物理を含む、さまざまな条件を定義できます。インターフェイス、および発信論理または物理インターフェイス。これらは、事前に定義されているか、固定の一致条件です。

MX シリーズ3D ユニバーサルエッジルーター (MPCs または Mic) では、IPv4、IPv6、レイヤー2ブリッジ、CCC、および VPLS の各プロトコルシリーズに対して柔軟な一致条件を構築できます。これらの柔軟な一致条件により、ユーザーは、パケット内の開始位置、バイトオフセット、照合長さ、その他のパラメーターを指定できます。

各プロトコルファミリーは、それぞれ異なる条件セットをサポートします。また、特定のルーティングデバイスでのみ、一致条件をサポートしています。たとえば、VPLS トラフィックの一部の一致条件は、3D ユニバーサル エッジ ルーター上MX シリーズサポートされています。

ファイアウォールfromフィルタ条件の文において、パケットが実行される後続thenの文のアクションに必要な特性を指定します。これらの特性は、対戦条件と呼ばれます。パケットは、実行されるアクションのfromためにステートメント内のすべての条件に一致する必要があります。また、そのfromステートメントの条件の順序が重要ではないことも意味します。

個別の条件によって値リスト (複数の送信元および宛先アドレスなど) または数値の範囲を指定できる場合、いずれかの値がパケットと一致すると、一致が発生します。

フィルタ条件が一致条件を指定しない場合、条件はすべてのパケットを受け入れ、条件のステートメントで指定されたアクションは then オプションです。

注:

数字範囲とビットフィールドの照合条件の中には、テキストシノニムを指定できるものもあります。類義語の完全なリストは以下のとおりです。

  • J-Web インターフェイスを使用している場合、適切なリストからシノニムを選択します。

  • CLI を使用している場合は、文の?from後に疑問符 () を入力します。

対応

ファイアウォールフィルタ条件に指定されたアクションは、条件に一致するすべてのパケットに対して実行するアクションを定義します。

1つの条件の中で設定されたアクションはすべて、設定された状態と一致するトラフィックで実行されます。

ベスト プラクティス:

ファイアウォールフィルター条件ごとに、1つ以上のアクションを明示的に設定することを強くお勧めします。Term のすべての条件に一致するパケットは、他のアクションが指定されている場合を除き、自動的に受け入れられます。

ファイアウォールフィルタアクションは、以下のカテゴリに分類されます。

フィルター-終了アクション

フィルターを終了するアクションによって、特定のパケットに対するファイアウォールフィルターの評価がすべて中止されます。ルーター (またはスイッチ) は指定されたアクションを実行します。これ以上の条件は検証されません。

終端以外のアクション

終端以外のアクションは、カウンターのインクリメント、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報送信など、パケット上で他の機能を実行するために使用されます。

終端アクション ( count、、またlogsyslogacceptdiscardrejectはなど) を明示的に実行しないで、、またはなどの終了していないアクションが存在するとaccept、のデフォルトの終端動作が行われます。ファイアウォールフィルタアクションを終了させたくない場合は、終端next term以外のアクションを実行した後にアクションを使用します。

注:

Junos OS 進化するとnext term 、そのアクションの最後の条件としては表示できません。フィルター条件がアクションnext termとして指定されていますが、合致する範囲が構成されていない場合、サポートされていません。

この例では、「1」という用語は暗黙のデフォルトaccept終端アクションを持つため、term 2 は評価されません。

この例では、term 1 には明示的next termなフロー制御アクションがあるため、term 2 が評価されます。

フロー制御アクション

標準のステートレスファイアウォールフィルターのみのnext term場合、ルーター (またはスイッチ) はパケットに対して設定済みのアクションを実行し、フィルターを終了するのではなく、フィルターで以下の用語を評価できます。

標準のステートレスnext termファイアウォールフィルタ構成では、最大1024アクションがサポートされています。この制限を超える標準フィルタを設定した場合、候補の設定によって commit エラーが生成されます。