ファイアウォール フィルターの評価方法を理解する
ファイアウォールフィルターは1つ以上の条件で構成されており、ファイアウォールフィルター内の条件の順序は重要です。ファイアウォールフィルターを設定する前に、ジュニパーネットワークスEXシリーズイーサネットスイッチがファイアウォールフィルター内の条件をどのように評価し、パケットを条件に対してどのように評価するかを理解する必要があります。
ファイアウォールフィルターが単一の条件で構成されている場合、フィルターは次のように評価されます。
パケットがすべての条件に一致する場合、 ステートメント内の
then
アクションが実行されます。パケットがすべての条件に一致し、 ステートメントで
then
アクションが指定されていない場合、デフォルトのアクション accept が実行されます。
ファイアウォールフィルターが複数の条件で構成されている場合、ファイアウォールフィルターは順次評価されます。
パケットは、最初の項の ステートメント内の
from
条件に対して評価されます。パケットが条件のすべての条件に一致する場合、ステートメント内の
then
アクションが実行され、評価が終了します。フィルタ内の後続の項は評価されません。パケットが条件のすべての条件に一致しない場合、パケットは2番目の条件の ステートメント内の
from
条件に対して評価されます。このプロセスは、パケットが後続の条件の1つのステートメント内
from
の条件に一致するか、フィルターにこれ以上条件がないまで続きます。パケットが一致せずにフィルター内のすべての条件を通過した場合、パケットは破棄されます。
図 1 は、EXシリーズスイッチがファイアウォールフィルター内の条件を評価する方法を示しています。

条件にステートメントが含 from
まれていない場合、パケットは一致すると見なされ、条件のステートメント内 then
のアクションが実行されます。
条件にステートメントが含 then
まれていない場合、または ステートメントで then
アクションが設定されていない場合、パケットが条件のステートメントの from
条件に一致する場合、パケットが受け入れられます。
すべてのファイアウォールフィルターには、フィルターの最後に暗黙的 deny
なステートメントが含まれています。これは、以下の明示的なフィルター条件に相当します。
term implicit-rule { then discard; }
その結果、パケットが条件に一致せずにフィルター内のすべての条件を通過すると、パケットは破棄されます。条件のないファイアウォールフィルターを設定した場合、フィルターを通過するすべてのパケットは破棄されます。