Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの評価方法の理解

ファイアウォールフィルターは1つ以上の用語で構成され、 ファイアウォールフィルター 内の用語の順序は重要です。ファイアウォールフィルターを設定する前に、ジュニパーネットワークスEXシリーズイーサネットスイッチがファイアウォールフィルター内の条件をどのように評価するか、およびパケットが条件に対してどのように評価されるかを理解しておく必要があります。

ファイアウォールフィルターが単一の項で構成されている場合、そのフィルターは以下のように評価されます:

  • パケットがすべての条件に一致する場合、 ステートメントの アクションが実行されます。then

  • パケットがすべての条件に一致し、 ステートメントで アクションが指定されていない場合、デフォルトアクション が実行されます。thenaccept

ファイアウォールフィルターが複数の項で構成されている場合、ファイアウォールフィルターは順次評価されます。

  1. パケットは、最初の用語の ステートメントの条件に対して評価されます。from

  2. パケットが条件のすべての条件に一致する場合、ステートメントの アクションが実行され、評価が終了します。then フィルタ内の後続の項は評価されません。

  3. パケットが条件のすべての条件に一致しない場合、パケットは 2 番目の条件のステートメントの条件に対して 評価されます。from

    このプロセスは、パケットが後続の条件のいずれかのステートメントの条件 に一致するか、フィルターにそれ以上条件がなくなるまで続きます。from

  4. パケットが一致しないままフィルター内のすべての条件を通過した場合、そのパケットは廃棄されます。

図 1 は、EX シリーズ スイッチがファイアウォール フィルター内の条件をどのように評価するかを示しています。

図 1: ファイアウォールフィルター内の用語の評価ファイアウォールフィルター内の用語の評価

条件にステートメントが含まれていない 場合、パケットは一致したと見なされ、用語のステートメント内の アクションが実行されます。fromthen

条件にステートメントが含まれていない 場合、またはステートメントで アクションが設定されておらず、パケットが条件のステートメントの条件 に一致する場合、パケットは受け入れられます。thenthenfrom

すべてのファイアウォールフィルターでは、フィルターの最後に暗黙的な ステートメントがあり、これは以下の明示的なフィルター条件と同等です。deny

したがって、パケットが条件に一致せずにフィルター内のすべての条件を通過した場合、パケットは廃棄されます。条件のないファイアウォールフィルターを設定すると、フィルターを通過するすべてのパケットが破棄されます。

関連項目