ステートレス ファイアウォール フィルターのコンポーネント
このトピックでは、次の情報について説明します。
プロトコルファミリー
ステートメントの下で、トラフィックをフィルタリングするプロトコルファミリーを指定できます。firewall
ファイアウォール フィルター プロトコル ファミリーについて説明します。表 1
フィルタリングするトラフィックのタイプ |
設定ステートメント |
コメント |
---|---|---|
プロトコル非依存型 |
|
論理インターフェイス上に設定されたすべてのプロトコルファミリー。 |
Internet Protocol version 4(IPv4) |
|
この ステートメントは、IPv4ではオプションです。 |
Internet Protocol version 6(IPv6) |
|
|
MPLS |
|
|
MPLS タグ付き IPv4 |
|
IPアドレスとポート、最大5つのMPLSスタックラベルでのマッチングをサポートします。 |
MPLS タグ付き IPv6 |
|
IPアドレスとポート、最大5つのMPLSスタックラベルでのマッチングをサポートします。 |
仮想プライベートLANサービス(VPLS) |
|
|
レイヤー2回線クロスコネクション |
|
|
レイヤー 2 ブリッジング |
(MX シリーズ ルーターの場合)および (EX シリーズ スイッチの場合) |
MXシリーズルーターとEXシリーズスイッチのみ。 |
フィルター タイプ
ステートメントの下で、設定したいフィルターのタイプと名前を指定できます。family family-name
表 2 は、ファイアウォールフィルターの種類について説明します。
フィルター タイプ |
設定ステートメント |
説明 |
---|---|---|
標準ファイアウォール フィルター |
|
次のトラフィック タイプをフィルタリングします。
|
サービスフィルター |
|
サービス処理に受け入れられる前にイングレスまたはエグレスに適用されるパケットフィルタリング、またはサービス処理が完了した後にリターンサービストラフィックに適用されるパケットフィルタリングを定義します。 次のトラフィック タイプをフィルタリングします。
以下のハードウェアでのみ設定された論理インターフェイスでサポートされます。
|
シンプルフィルター |
|
イングレス トラフィックのみに適用されるパケット フィルタリングを定義します。 次のトラフィック タイプをフィルタリングします。
以下のハードウェアでのみ設定された論理インターフェイスでサポートされます。
|
用語
、 、または ステートメントの下で、少なくとも1つのファイアウォールフィルター条件を設定する必要があります。filter
service-filter
simple-filter
用語は、一致条件とアクションが定義されている名前付き構造です。ファイアウォールフィルター内では、各用語に固有の名前を設定する必要があります。
インターフェイス上の各プロトコルファミリーに対して、各方向に適用できるフィルターは 1 つだけです。同じプロトコルファミリーに追加のフィルターを同じ方向に適用しようとすると、最後のフィルターが前のフィルターを上書きします。ただし、同じプロトコルファミリーのフィルターを、同じインターフェイスの入力方向と出力方向に適用することはできます。
すべてのステートレス ファイアウォール フィルターには 1 つ以上の条件が含まれ、各条件は一致条件とアクションの 2 つの要素で構成されます。一致条件は、パケットが一致とみなされるために必要な値またはフィールドを定義します。パケットが一致すると、対応するアクションが実行されます。デフォルトでは、ファイアウォールフィルターに一致しないパケットは破棄されます。
そのインターフェイスの着信トラフィックにファイアウォールフィルターが適用されていないインターフェイスにパケットが到着した場合、パケットはデフォルトで受け入れられます。
条件の数が多いファイアウォールフィルターは、設定のコミット時間とルーティングエンジンのパフォーマンスの両方に悪影響を与える可能性があります。
さらに、別のフィルターの条件内でステートレス ファイアウォール フィルターを構成できます。このメソッドを使用すると、すべてのフィルター定義を変更せずに、複数のフィルターに共通の用語を追加できます。1 つのフィルターに目的の共通用語を設定し、このフィルターを他のフィルターの用語として構成できます。したがって、これらの共通用語を変更するには、複数のフィルターではなく、共通用語を含む 1 つのフィルターのみを変更する必要があります。
一致条件
ファイアウォールフィルター条件には、一致条件と呼ばれるパケットフィルタリング基準が少なくとも1つ含まれている必要があり、ファイアウォールフィルター 条件に一致すると見なされるためにパケットに含める必要のあるフィールドまたは値を指定する必要があります。一致するためには、パケットが条件のすべての条件に一致する必要があります。パケットがファイアウォールフィルター条件に一致すると、ルーター(またはスイッチ)はパケットに対して設定されたアクションを実行します。
ファイアウォールフィルターの項目に複数の一致条件が含まれている場合、パケットが すべての 一致条件を満たしていないとファイアウォールのフィルター条件が一致していると見なされます。
1つの一致条件に複数の値(値の範囲など)が設定されている場合、パケットが1 つの 値にのみ一致しないとファイアウォールフィルターの条件に一致しないと見なされます。
ファイアウォールフィルターの条件に指定できる一致条件の範囲は、ファイアウォールフィルターが設定されているプロトコルファミリーによって異なります。IP 送信元アドレス フィールド、IP 宛先アドレス フィールド、TCP または UDP 送信元ポート フィールド、IP プロトコル フィールド、ICMP(インターネット制御メッセージ プロトコル)パケット タイプ、IP オプション、TCP フラグ、着信論理または物理インターフェイス、発信論理または物理インターフェイスなど、さまざまな一致条件を定義できます。これらは、事前定義された、または固定の照合条件です。
MPCまたはMICを搭載したMXシリーズ3Dユニバーサルエッジルーターでは、IPv4、IPv6、レイヤー2ブリッジ、CCC、VPLSプロトコルファミリーに対して柔軟なマッチング条件を構築することが可能です。これらの柔軟な一致条件により、ユーザーはパケット内の開始位置、バイトオフセット、一致長、およびその他のパラメーターを指定できます。
各プロトコルファミリーは異なる一致条件のセットをサポートしており、一部の一致条件は特定のルーティングデバイスでのみサポートされています。例えば、VPLSトラフィックの多くの一致条件は、MXシリーズ3Dユニバーサルエッジルーターでのみサポートされています。
ファイアウォールフィルター条件の ステートメントでは、後続のステートメントのアクションが実行されるためにパケットが持つ必要がある特性を指定します。from
then
この特性を 照合条件と呼びます。アクションを実行するには、パケットが ステートメント内のすべての 条件に一致する必要があります。これは、ステートメントの条件 の順序が重要ではないことも意味します。from
from
個々の一致条件において、値のリスト(複数の送信元アドレスと宛先アドレスなど)または数値の範囲を指定できる場合、いずれかの値がパケットに一致すると一致が発生します。
フィルター項目で一致条件が指定されていない場合、条件はすべてのパケットを受け入れ、条件の ステートメントで指定されたアクションはオプションです。then
一部の数値範囲およびビットフィールド一致条件では、テキスト同義語を指定できます。同義語の完全なリストについては:
J-Webインターフェイスを使用している場合は、適切なリストからシノニムを選択します。
CLI を使用している場合は、ステートメントの後に疑問符()を入力します。
?
from
アクション
ファイアウォールフィルターの条件で指定されたアクションは、条件で指定された条件に一致するパケットに対して実行するアクションを定義します。
1 つの用語内で設定されたアクションは、すべて設定された条件に一致するトラフィックに対して実行されます。
ファイアウォールフィルターの条件ごとに1つ以上のアクションを明示的に設定することを強くお勧めします。条件に他のアクションまたは追加のアクションが指定されていない限り、条件のすべての条件に一致するパケットは自動的に受け入れられます。
ファイアウォールフィルターアクションは、次のカテゴリに分類されます。
フィルター終了アクション
フィルター終了アクションは、特定のパケットに対するファイアウォール フィルターの評価をすべて停止します。ルーター(またはスイッチ)は指定されたアクションを実行し、追加の条件は検討されません。
非終了アクション
非終了アクションは、カウンターのインクリメント、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報送信など、パケットに対して他の機能を実行するために使用されます。
、 などの明示的な終了アクションなしで、 などの非終了アクションが存在する場合、デフォルトの終了アクションは になります。 count
log
syslog
accept
discard
reject
accept
ファイアウォールフィルターアクションを終了させたくない場合は、非終了アクションの後にアクション を使用します。next term
Junos OS Evolved では、 はアクションの最終項として表示することはnext term
できません。設定した一致条件なしで next term
がアクションとして指定されるフィルター項はサポートされていません。
この例では、用語1には暗黙的なデフォルトの終了 アクションがあるため、用語2は評価されません。accept
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; <accept> #By default if not specified } } term 2 { then { reject; } }
この例では、項1に明示的な フロー制御アクションがあるため、項2が評価されます。next term
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; next term; } } term 2 { then { reject; } }
フロー制御アクション
標準のステートレス ファイアウォール フィルターの場合のみ、このアクション により、ルーター(またはスイッチ)はパケットに対して設定されたアクションを実行し、フィルターを終了するのではなく、フィルター内の次の条件を評価できます。next term
標準のステートレス ファイアウォール フィルター構成ごとに最大 1024 個のアクションがサポートされます。next term
この制限を超える標準フィルターを設定すると、候補の設定でコミット エラーが発生します。