Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルタがパケットフローを制御する方法について

ジュニパーネットワークス EX シリーズイーサネットスイッチは、データパケットとローカルパケットのフローを制御できるファイアウォールフィルターをサポートします。データパケットは、送信元から宛先に転送される際にスイッチを転送するデータのチャンクです。ローカルパケットは、スイッチによって宛先または送信されるデータのチャンクです。通常、ローカルパケットには、ルーティングプロトコルデータ、Telnet や SSH などの IP サービスのデータ、インターネット制御メッセージプロトコル (ICMP) などの管理プロトコルのデータが含まれています。

ファイアウォールフィルターを作成し、はからネットワーク宛先へ、またはスイッチ上のルーティングエンジン宛てに、過度のトラフィックからスイッチを保護します。ローカルパケットを制御するファイアウォールフィルターは、サービス拒否 (DoS) 攻撃などの外部のインシデントからスイッチを保護することもできます。

ファイアウォール フィルターは、スイッチのインターフェイスに入り込む、またはスイッチから出るパケット フローに影響します。

  • イングレス ファイアウォール フィルターは、スイッチのインターフェイスによって受信されたデータ パケットのフローに影響を与えます。パケット転送エンジンは、このフローを処理します。スイッチがインターフェイスでデータ パケットを受信すると、スイッチは転送テーブルを参照して最適なルート(レイヤー 2 スイッチング、レイヤー 3 ルーティング)を宛先に転送する場所を決定します。データパケットはアウトゴーイングインターフェイスを介して宛先に転送されます。ローカルで送信されたパケットは、ルーティングエンジンに転送します。

  • エグレス ファイアウォール フィルターは、スイッチのインターフェイスから送信されるデータ パケットのフローに影響を与えますが、スイッチからローカルで生成された制御パケットのフローには影響ルーティング エンジン。パケット転送エンジンは、スイッチから送信されるデータパケットのフローを処理し、出力ファイアウォールフィルターをここで適用します。パケット転送エンジンでは、ルーティングエンジンからの制御パケットのフローも処理されます。

図 1は、入口および出口のファイアウォールフィルターを適用して、スイッチ経由でパケットのフローを制御する方法を示しています。

図 1: パケットフローを制御するためのファイアウォールフィルターの適用パケットフローを制御するためのファイアウォールフィルターの適用
  1. 受信 ファイアウォール フィルタ は、スイッチのインターフェイスで受信され、スイッチ宛てのローカル宛てのパケットを制御ルーティング エンジン。

  2. イングレス ファイアウォール フィルタを適用して、スイッチのインターフェイス上の受信パケットを制御します。

  3. スイッチのインターフェイスを通過するパケットを制御するために、ファイアウォール フィルタを送信します。