Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルターによるパケット フローの制御方法を理解する

ジュニパーネットワークスEXシリーズイーサネットスイッチは、データパケットとローカルパケットのフローを制御できるファイアウォールフィルターをサポートしています。データ パケット は、送信元から宛先に転送されるスイッチを通過するデータのチャンクです。ローカル パケット は、スイッチ宛てまたはスイッチによって送信されるデータのチャンクです。ローカルパケットには、通常、ルーティングプロトコルデータ、TelnetやSSHなどのIPサービス用のデータ、インターネット制御メッセージプロトコル(ICMP)などの管理プロトコルのデータが含まれます。

ファイアウォール フィルターを作成して、スイッチをネットワークの宛先に送信する過剰なトラフィックや、スイッチ上のルーティング エンジン宛ての過剰なトラフィックからスイッチを保護します。ローカル パケットを制御するファイアウォール フィルターにより、サービス拒否(DoS)攻撃などの外部インシデントからスイッチを保護することもできます。

ファイアウォール フィルターは、スイッチのインターフェイスに出入りするパケット フローに影響を与えます。

  • イングレス ファイアウォール フィルターは、スイッチのインターフェイスが受信するデータ パケットのフローに影響を与えます。パケット転送エンジンはこのフローを処理します。スイッチがインターフェイス上のデータパケットを受信すると、スイッチは、宛先に最適なルート(レイヤー2スイッチング、レイヤー3ルーティング)を探して、パケットを転送する場所を決定します。データパケットは、発信インターフェイスを介して宛先に転送されます。ローカル宛てのパケットは、ルーティング エンジンに転送されます。

  • エグレス ファイアウォール フィルターは、スイッチのインターフェイスから送信されるデータ パケットのフローに影響を与えますが、ルーティング エンジンからローカルに生成された制御パケットのフローには影響しません。パケット転送エンジンは、スイッチから送信されるデータパケットのフローを処理し、ここではエグレスファイアウォールフィルターが適用されます。パケット転送エンジンは、ルーティング エンジンからの制御パケットのフローも処理します。

図 1 は、スイッチを通過するパケットのフローを制御するイングレスおよびエグレス ファイアウォール フィルターの適用を示しています。

図 1: ファイアウォール フィルターの適用によるパケット フローの制御ファイアウォール フィルターの適用によるパケット フローの制御
  1. スイッチのインターフェイスで受信され、ルーティング エンジン宛てのローカル宛先パケットを制御するために適用されるイングレス ファイアウォール フィルター

  2. スイッチのインターフェイス上の受信パケットを制御するために適用されるイングレス ファイアウォール フィルター。

  3. スイッチのインターフェイスを通過するパケットを制御するために適用されるエグレス ファイアウォール フィルター。