Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルターがパケットプロトコルをテストする方法を理解する

一致条件を検証する場合、ジュニパーネットワークス EX シリーズ イーサネット スイッチ用のジュニパーネットワークス Junos OS(Junos OS)は、指定されたフィールドのみをテストします。ソフトウェアは暗黙的に IP ヘッダーをテストして、パケットが IP パケットかどうかを判断しません。したがって、場合によっては、他の照合条件と組み合わせてフィールド照合条件を指定 protocol して、フィルターが予想される一致を実行するようにする必要があります。

プロトコルの一致条件、または ICMP タイプまたは TCP フラグ フィールドの一致を指定した場合、暗黙的なプロトコルの一致はありません。次の一致条件では、同じ条件でプロトコルの一致条件を明示的に指定する必要があります。

  • destination-port—一致 protocol tcp または protocol udp.

  • source-port—一致 protocol tcp または protocol udp.

前述のフィールドを使用する際にプロトコルを指定しない場合は、フィルターが予想される一致を実行するように慎重に設計してください。たとえば、一致を destination-port ssh指定すると、スイッチは IP プロトコル フィールドを確認することなく、IP ヘッダーの 22 末尾から 2 バイトの 2 バイトの値を持つパケットを決定的に照合します。