ファイアウォールフィルターの評価方法の理解
ファイアウォールフィルターは1つ以上の用語で構成され、ファイアウォールフィルター内の用語の順序は重要です。ファイアウォールフィルターを設定する前に、ジュニパーネットワークスEXシリーズイーサネットスイッチがファイアウォールフィルター内の条件をどのように評価するか、およびパケットが条件に対してどのように評価されるかを理解しておく必要があります。
ファイアウォールフィルターが単一の項で構成されている場合、そのフィルターは以下のように評価されます:
パケットがすべての条件に一致する場合、
then
ステートメントのアクションが実行されます。パケットがすべての条件に一致し、
then
ステートメントでアクションが指定されていない場合は、デフォルトのアクション accept が実行されます。
ファイアウォールフィルターが複数の項で構成されている場合、ファイアウォールフィルターは順次評価されます。
パケットは、最初の用語の
from
ステートメントの条件に対して評価されます。パケットが条件のすべての条件に一致する場合、
then
ステートメントのアクションが実行され、評価が終了します。フィルタ内の後続の項は評価されません。パケットが条件のすべての条件に一致しない場合、パケットは第 2 条件の
from
ステートメントの条件に対して評価されます。このプロセスは、パケットが後続の条件の 1 つの
from
ステートメントの条件に一致するか、フィルターにそれ以上の用語がなくなるまで続きます。パケットが一致しないままフィルター内のすべての条件を通過した場合、そのパケットは廃棄されます。
図 1 は、EX シリーズ スイッチがファイアウォール フィルター内の条件をどのように評価するかを示しています。
条件に from
ステートメントが含まれていない場合、パケットは一致したと見なされ、その用語の then
ステートメントのアクションが実行されます。
条件に then
ステートメントが含まれていない場合、または then
ステートメントでアクションが設定されておらず、パケットが条件の from
ステートメントの条件に一致する場合、パケットは受け入れられます。
すべてのファイアウォールフィルターの末尾には、フィルターの最後に暗黙的な deny
ステートメントがあり、これは以下の明示的なフィルター条件と同等です。
term implicit-rule { then discard; }
したがって、パケットが条件に一致せずにフィルター内のすべての条件を通過した場合、パケットは廃棄されます。条件のないファイアウォールフィルターを設定すると、フィルターを通過するすべてのパケットが破棄されます。