ファイアウォールフィルターがパケットフローを制御する方法の理解
ジュニパーネットワークスのEXシリーズイーサネットスイッチは、データパケットとローカルパケットのフローを制御できるファイアウォールフィルターをサポートしています。データ パケット は、送信元から宛先に転送されるときにスイッチを通過するデータのチャンクです。ローカルパケット は、スイッチとの間で送受信されるデータのチャンクです。ローカル パケットには通常、ルーティング プロトコル データ、Telnet や SSH などの IP サービス用のデータ、ICMP(インターネット制御メッセージ プロトコル)などの管理プロトコル用のデータが含まれています。
ファイアウォールフィルターを作成して、スイッチを通過してネットワークの宛先に向かうトラフィックや、スイッチ上のルーティングエンジン宛ての過剰なトラフィックからスイッチを保護します。ローカルパケットを制御するファイアウォールフィルターは、サービス拒否(DoS)攻撃などの外部インシデントからスイッチを保護することもできます。
ファイアウォールフィルターは、スイッチのインターフェイスに出入りするパケットフローに影響を与えます。
イングレスファイアウォールフィルターは、スイッチのインターフェイスが受信するデータパケットのフローに影響を与えます。パケット転送エンジンがこのフローを処理します。スイッチは、インターフェイスでデータパケットを受信すると、宛先への最適なルート(レイヤー2スイッチング、レイヤー3ルーティング)を転送テーブルで探して、パケットの転送先を決定します。データパケットは、発信インターフェイスを介して宛先に転送されます。ローカル宛先のパケットは、ルーティング エンジンに転送されます。
エグレス ファイアウォール フィルターは、スイッチのインターフェイスから送信されるデータ パケットのフローに影響しますが、ルーティング エンジンからローカルで生成された制御パケットのフローには影響しません。パケット転送エンジンはスイッチから送信されるデータパケットのフローを処理し、ここではエグレスファイアウォールフィルターが適用されます。パケット転送エンジンは、ルーティングエンジンからの制御パケットのフローも処理します。
図 1 は、スイッチを通過するパケットのフローを制御するための、イングレスおよびエグレスファイアウォールフィルターのアプリケーションを示しています。
スイッチのインターフェイスで受信され、ルーティング エンジン宛てのローカル宛先パケットを制御するために、適用されるイングレス ファイアウォール フィルター 。
スイッチのインターフェイス上の着信パケットを制御するために適用されるイングレスファイアウォールフィルター。
スイッチのインターフェイスを通過するパケットを制御するために適用されるエグレスファイアウォールフィルター。