ファイアウォール フィルターの評価方法について
ファイアウォール フィルターは 1 つ以上の条件で構成され、ファイアウォール フィルター内の条件の順序は重要です。ファイアウォール フィルターを設定する前に、ジュニパーネットワークス EX シリーズ イーサネット スイッチがファイアウォール フィルタ内の条件を評価する方法と、条件に対するパケットの評価方法を理解しておく必要があります。
ファイアウォール フィルターが単一の条件で構成されている場合、フィルターは次のように評価されます。
パケットがすべての条件と一致すると、ステートメント内の
then
アクションが実行されます。パケットがすべての条件に一致し、ステートメントで
then
アクションが指定されていない場合、デフォルトのアクション accept が実行されます。
ファイアウォール フィルターが複数の条件で構成されている場合、ファイアウォール フィルターは次のように順次評価されます。
パケットは、最初の項のステートメントの
from
条件に対して評価されます。パケットが条件のすべての条件と一致する場合、ステートメント内の
then
アクションが実行され、評価が終了します。フィルター内の後続の条件は評価されません。パケットが条件のすべての条件と一致しない場合、パケットは 2 番目の項のステートメントの
from
条件に照らして評価されます。このプロセスは、パケットが後続の条件のいずれかでステートメント内
from
の条件と一致するか、フィルターにこれ以上条件がないまで続きます。パケットが一致せずにフィルター内のすべての条件を通過すると、パケットは破棄されます。
図 1 は、EX シリーズ スイッチがファイアウォール フィルタ内の条件をどのように評価するかを示しています。

条件にステートメントが含 from
まれていない場合、パケットは一致すると見なされ、その条件のステートメント内の then
アクションが実行されます。
条件にステートメントが含 then
まれていない場合、またはステートメントで then
アクションが設定されていない場合、パケットが条件ステートメントの from
条件と一致する場合、パケットが受け入れられます。
すべてのファイアウォール フィルターには、フィルターの最後に暗黙的 deny
なステートメントが含まれています。これは、次の明示的なフィルター条件に相当します。
term implicit-rule { then discard; }
その結果、パケットが条件を一致させることなくフィルター内のすべての条件を通過すると、パケットは破棄されます。条件のないファイアウォール フィルターを設定すると、そのフィルターを通過するすべてのパケットが破棄されます。