Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルタの一致条件について

ファイアウォール フィルターの条件を定義する前に、条件で指定する照合条件をどのように処理するか、およびさまざまなタイプの照合条件を指定して目的のフィルタリング結果を達成する方法を理解する必要があります。照合条件は、照合条件を定義する文字列(match ステートメントと呼ばれる)で構成されます。照合条件は、パケットに含まれている必要がある値またはフィールドです。

フィルターの一致条件

fromファイアウォール フィルタ条件のステートメントでは、次のいずれかのステートメントでアクションをトリガーするパケット条件をthen指定します。then 様々なオプションで、 then interface または then vlan. ステートメント内のすべての条件は、 from 実行するアクションと一致する必要があります。一致条件を指定する順序は重要ではありません。パケットは一致する条件のすべての条件を一致させる必要があるためです。

条件に一致条件を指定しない場合、その条件はすべてのパケットと一致します。

ステートメント内の個々の from 条件には、値のリストを含めることはできません。たとえば、数値範囲や複数の送信元アドレスまたは宛先アドレスを指定することはできません。

ステートメント内の個々の from 条件を否定することはできません。否定条件は明示的な不一致です。

数値フィルターの一致条件

数値フィルター条件は、ポート番号やプロトコル番号などの数値によって識別されるパケット フィールドと一致します。数値フィルタの照合条件では、条件を識別するキーワードと、パケット内のフィールドが一致する必要がある 1 つの値を指定します。

数値は、次のいずれかの方法で指定できます。

  • 単一の数値 — フィールドの値が数値と一致した場合に一致が発生します。例えば、

  • 単一の数値のテキスト シノニム — フィールドの値がシノニムに対応する番号と一致する場合、一致が発生します。例えば、

フィルター条件に複数の値を指定するには、一致条件を定義する文字列である独自の照会ステートメントに各値を入力します。たとえば、次の項の値が 10 または 30 の vlan 場合、一致が発生します。

数値フィルターの一致条件には、以下の制限が適用されます。

  • 値の範囲を指定することはできません。

  • コンマ区切り値のリストを指定することはできません。

  • 数値フィルター照会条件で特定の値を除外することはできません。たとえば、一致条件が指定された値と等しくない場合にのみ一致する条件を指定することはできません。

インターフェイス フィルタの一致条件

インターフェイス フィルタの照合条件は、パケット内のインターフェイス名の値を照合できます。インターフェイス フィルタの照合条件では、次のようにインターフェイスの名前を指定します。

ポートおよび VLAN インターフェイスは、論理ユニット番号を使用しません。ただし、ルーター インターフェイスに適用されるファイアウォール フィルタは、インターフェイス フィルタの一致条件で論理ユニット番号を指定できます。

たとえば、インターフェイス名の * 一部としてワイルドカードを含めることができます。

IP アドレス フィルターの照会条件

アドレス フィルタの照合条件は、IP 送信元および宛先プレフィックスなど、パケット内のプレフィックス値を照会できます。アドレス フィルターの照合条件では、パケットが一致する必要があるそのタイプのフィールドと 1 つのプレフィックスを識別するキーワードを指定します。

アドレスは、単一のプレフィックスとして指定します。フィールドの値がプレフィックスと一致する場合、一致が発生します。例えば、

各プレフィックスには暗黙的な 0/0 except ステートメントが含まれています。つまり、指定されたプレフィックスと一致しないプレフィックスは、明示的に一致しないと見なされます。

アドレスプレフィックスを指定するには、表記プレフィックス/プレフィックス長を使用します。プレフィックス長を省略すると、デフォルトで /32 になります。例えば、

フィルター条件に複数の IP アドレスを指定するには、それぞれのアドレスを独自の照会ステートメントに入力します。たとえば、フィールドの値が次のいずれかの送信元アドレス プレフィックスと一致する source-address 場合、一致は次の項で行われます。

MAC アドレス フィルターの一致条件

MAC アドレス フィルタの照合条件は、パケット内の送信元と宛先の MAC アドレス値を照会できます。MAC アドレス フィルターの照合条件では、パケットが一致する必要があるそのタイプのフィールドと 1 つの値を識別するキーワードを指定します。

MAC アドレスは、次の形式で 6 個の 16 進バイトとして指定できます。

フィルタ条件に複数のMACアドレスを指定するには、各MACアドレスを独自の照合ステートメントに入力します。たとえば、フィールドの値が次のいずれかのアドレスと一致する source-mac-address 場合、一致は次の項で行われます。

ビット フィールド フィルタの照合条件

ビット フィールド フィルタ条件は、これらのフィールドの特定のビットが設定されている場合、または設定されていない場合にパケット フィールドを照合します。IP オプション、TCP フラグ、IP フラグメント化フィールドを照合できます。ビット フィールド フィルターの照合条件では、フィールドを識別するキーワードを指定し、フィールドにオプションが存在することを確認するテストを行います。

照合するビットフィールド値を指定するには、値を二重引用符で囲みます。たとえば、TCP フラグ フィールドのビットが RST 設定されている場合に一致が発生します。

通常、キーワードを使用してテストするビットを指定します。ビットフィールド照合キーワードは、常に単一のビット値にマッピングされます。また、ビット・フィールドを 16 進数値または 10 進数として指定することもできます。

複数のビットフィールド値を照合するには、で説明 表 1されている論理演算子を使用します。演算子は、優先度が最も高いものから優先度が最も低い順に表示されます。操作は左に関連付けられています。

表 1: 複数のビットフィールド演算子を照合するための論理演算子

論理演算子

説明

!

否定。

&

論理 AND。

|

論理 OR。

一致を無効にするには、値の前に感嘆符を付けます。たとえば、TCP フラグ フィールドの RST ビットが設定されていない場合にのみ、一致が発生します。

論理 AND 操作の次の例では、パケットが TCP セッション上の最初のパケットである場合に一致が発生します。

論理 OR 操作の次の例では、パケットが TCP セッション確立の一部であるか、または破棄された場合に一致が発生します。

論理 OR 操作では、1 つの条件で最大 2 つの照合条件を指定できます。論理 OR 操作で 2 つ以上のビット フィールド値を照合する必要がある場合は、同じ照合条件を追加のビット フィールド値で連続して設定します。次の例では、2 つの条件が TCP フラグ フィールドの SYN、ACK、FIN、または RST ビットと一致するように設定されています。

テキストシノニムを使用して、一般的なビットフィールドの一致を指定できます。これらの照合は、単一のキーワードとして指定します。テキスト シノニムの次の例では、パケットが TCP セッションの最初のパケットである場合に一致が発生します。