ステートレス ファイアウォール フィルターのコンポーネント
このトピックでは、次の情報について説明します。
プロトコルファミリー
firewall
ステートメントでは、トラフィックをフィルタリングするプロトコルファミリーを指定できます。
表 1 ファイアウォール フィルター プロトコル ファミリーについて説明します。
フィルタリングするトラフィックのタイプ |
設定ステートメント |
コメント |
---|---|---|
プロトコル非依存型 |
|
論理インターフェイス上に設定されたすべてのプロトコルファミリー。 |
Internet Protocol version 4(IPv4) |
|
|
Internet Protocol version 6(IPv6) |
|
|
MPLS |
|
|
MPLS タグ付き IPv4 |
|
IPアドレスとポート、最大5つのMPLSスタックラベルでのマッチングをサポートします。 |
MPLS タグ付き IPv6 |
|
IPアドレスとポート、最大5つのMPLSスタックラベルでのマッチングをサポートします。 |
仮想プライベートLANサービス(VPLS) |
|
|
レイヤー2回線クロスコネクション |
|
|
レイヤー 2 ブリッジング |
|
MXシリーズルーターとEXシリーズスイッチのみ。 |
フィルター タイプ
family family-name
ステートメントでは、設定するフィルタのタイプと名前を指定できます。
表 2 は、ファイアウォールフィルターの種類について説明します。
フィルター タイプ |
設定ステートメント |
説明 |
---|---|---|
標準ファイアウォール フィルター |
|
次のトラフィック タイプをフィルタリングします。
|
サービスフィルター |
|
サービス処理に受け入れられる前にイングレスまたはエグレスに適用されるパケットフィルタリング、またはサービス処理が完了した後にリターンサービストラフィックに適用されるパケットフィルタリングを定義します。 次のトラフィック タイプをフィルタリングします。
以下のハードウェアでのみ設定された論理インターフェイスでサポートされます。
|
シンプルフィルター |
|
イングレス トラフィックのみに適用されるパケット フィルタリングを定義します。 次のトラフィック タイプをフィルタリングします。
以下のハードウェアでのみ設定された論理インターフェイスでサポートされます。
|
条件
filter
、service-filter
、または simple-filter
ステートメントでは、少なくとも 1 つのファイアウォール フィルター条件を設定する必要があります。用語は、一致条件とアクションが定義されている名前付き構造です。ファイアウォールフィルター内では、各用語に固有の名前を設定する必要があります。
インターフェイス上の各プロトコルファミリーに対して、各方向に適用できるフィルターは 1 つだけです。同じプロトコルファミリーに追加のフィルターを同じ方向に適用しようとすると、最後のフィルターが前のフィルターを上書きします。ただし、同じプロトコルファミリーのフィルターを、同じインターフェイスの入力方向と出力方向に適用することはできます。
すべてのステートレス ファイアウォール フィルターには 1 つ以上の条件が含まれ、各条件は一致条件とアクションの 2 つの要素で構成されます。一致条件は、パケットが一致とみなされるために必要な値またはフィールドを定義します。パケットが一致すると、対応するアクションが実行されます。デフォルトでは、ファイアウォールフィルターに一致しないパケットは破棄されます。
そのインターフェイスの着信トラフィックにファイアウォールフィルターが適用されていないインターフェイスにパケットが到着した場合、パケットはデフォルトで受け入れられます。
条件の数が多いファイアウォールフィルターは、設定のコミット時間とルーティングエンジンのパフォーマンスの両方に悪影響を与える可能性があります。
さらに、別のフィルターの条件内でステートレス ファイアウォール フィルターを構成できます。このメソッドを使用すると、すべてのフィルター定義を変更せずに、複数のフィルターに共通の用語を追加できます。1 つのフィルターに目的の共通用語を設定し、このフィルターを他のフィルターの用語として構成できます。したがって、これらの共通用語を変更するには、複数のフィルターではなく、共通用語を含む 1 つのフィルターのみを変更する必要があります。
一致条件
ファイアウォールフィルター条件には、 一致条件と呼ばれるパケットフィルタリング基準が少なくとも1つ含まれている必要があり、ファイアウォールフィルター条件に一致すると見なされるためにパケットに含める必要のあるフィールドまたは値を指定する必要があります。一致するためには、パケットが条件のすべての条件に一致する必要があります。パケットがファイアウォールフィルター条件に一致すると、ルーター(またはスイッチ)はパケットに対して設定されたアクションを実行します。
ファイアウォールフィルターの項目に複数の一致条件が含まれている場合、パケットが すべての 一致条件を満たしていないとファイアウォールのフィルター条件が一致していると見なされます。
1つの一致条件に複数の値(値の範囲など)が設定されている場合、パケットが1 つの 値にのみ一致しないとファイアウォールフィルターの条件に一致しないと見なされます。
ファイアウォールフィルターの条件に指定できる一致条件の範囲は、ファイアウォールフィルターが設定されているプロトコルファミリーによって異なります。IP 送信元アドレス フィールド、IP 宛先アドレス フィールド、TCP または UDP 送信元ポート フィールド、IP プロトコル フィールド、ICMP(インターネット制御メッセージ プロトコル)パケット タイプ、IP オプション、TCP フラグ、着信論理または物理インターフェイス、発信論理または物理インターフェイスなど、さまざまな一致条件を定義できます。これらは、事前定義された、または固定の照合条件です。
MPCまたはMICを搭載したMXシリーズ3Dユニバーサルエッジルーターでは、IPv4、IPv6、レイヤー2ブリッジ、CCC、VPLSプロトコルファミリーに対して柔軟なマッチング条件を構築することが可能です。これらの柔軟な一致条件により、ユーザーはパケット内の開始位置、バイトオフセット、一致長、およびその他のパラメーターを指定できます。
各プロトコルファミリーは異なる一致条件のセットをサポートしており、一部の一致条件は特定のルーティングデバイスでのみサポートされています。例えば、VPLSトラフィックの多くの一致条件は、MXシリーズ3Dユニバーサルエッジルーターでのみサポートされています。
ファイアウォールフィルター条件の from
ステートメントでは、後続の then
ステートメントで実行するアクションのためにパケットが持つ必要のある特性を指定します。この特性を 照合条件と呼びます。アクションを実行するには、パケットが from
ステートメントのすべての条件に一致する必要があります。これは、 from
ステートメントの条件の順序は重要ではないことを意味します。
個々の一致条件において、値のリスト(複数の送信元アドレスと宛先アドレスなど)または数値の範囲を指定できる場合、いずれかの値がパケットに一致すると一致が発生します。
フィルター項目で一致条件 が指定されていない場合、条件はすべてのパケットを受け入れ、条件の then
ステートメントで指定されたアクションはオプションです。
一部の数値範囲およびビットフィールド一致条件では、テキスト同義語を指定できます。同義語の完全なリストについては:
J-Webインターフェイスを使用している場合は、適切なリストからシノニムを選択します。
CLI を使用している場合は、
from
ステートメントの後に疑問符(?
)を入力します。
アクション
ファイアウォールフィルターの条件で指定されたアクションは、条件で指定された条件に一致するパケットに対して実行するアクションを定義します。
1 つの用語内で設定されたアクションは、すべて設定された条件に一致するトラフィックに対して実行されます。
ファイアウォールフィルターの条件ごとに1つ以上のアクションを明示的に設定することを強くお勧めします。条件に他のアクションまたは追加のアクションが指定されていない限り、条件のすべての条件に一致するパケットは自動的に受け入れられます。
ファイアウォールフィルターアクションは、次のカテゴリに分類されます。
フィルター終了アクション
フィルター終了アクションは、特定のパケットに対するファイアウォール フィルターの評価をすべて停止します。ルーター(またはスイッチ)は指定されたアクションを実行し、追加の条件は検討されません。
非終了アクション
非終了アクションは、カウンターのインクリメント、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報送信など、パケットに対して他の機能を実行するために使用されます。
count
、log
、syslog
などの非終了アクションが存在し、accept
、discard
、reject
などの明示的な終了アクションがない場合、デフォルトの終了アクションは accept
になります。ファイアウォールフィルターアクションを終了させたくない場合は、非終了アクションの後に next term
アクションを使用します。
Junos OS Evolved では、 はアクションの最終項として表示することはnext term
できません。設定した一致条件なしで next term
がアクションとして指定されるフィルター項はサポートされていません。
この例では、用語1には終了アクション accept
暗黙のデフォルトがあるため、用語2は評価されません。
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; <accept> #By default if not specified } } term 2 { then { reject; } }
この例では、条件1に明示的な next term
フロー制御アクションがあるため、条件2が評価されます。
[edit firewall filter test] term 1 { from { source-address { 0.0.0.0/0; } } then { log; next term; } } term 2 { then { reject; } }
フロー制御アクション
標準のステートレス ファイアウォール フィルターの場合のみ、アクション next term
により、ルーター(またはスイッチ)はパケットに対して設定されたアクションを実行し、フィルターを終了するのではなく、フィルター内の次の項を評価できます。
標準のステートレス ファイアウォール フィルター構成ごとに、最大 1024 個の next term
アクションがサポートされます。この制限を超える標準フィルターを設定すると、候補の設定でコミット エラーが発生します。