ファイアウォールフィルターの計画について
ファイアウォールフィルターを作成してインターフェイスに適用する前に、ファイアウォールフィルターで何を実現したいか、およびその一致条件とアクションを使用して目標を達成する方法を決定します。一致条件に対するパケットのマッチング方法、ファイアウォールフィルターのデフォルトアクションと設定済みアクション、ファイアウォールフィルターの適切な配置について理解しておく必要があります。
ポート、VLAN、またはルーターインターフェイスごと、方向ごとに設定および適用できるファイアウォールフィルターは1つだけです。以下の制限は、さまざまなスイッチ モデルで、フィルターごとに許可されるファイアウォール フィルター条件の数に適用されます。
EX3300 スイッチでは、フィルターあたりの条件数は 1436 を超えることはできません。
EX3200およびEX4200スイッチでは、フィルターあたりの用語数は7042を超えることはできません。
EX2300 スイッチでは、ポート、VLAN、およびレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターのイングレスおよびエグレス トラフィックで、以下の最大条件数がサポートされています。
イングレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 256
VLAN に設定されたファイアウォールフィルターの条件 256
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 256
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 256
エグレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォールフィルターの条件 128
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 512
EX3400 スイッチでは、ポート、VLAN、およびレイヤー 3 インターフェイス上に設定されたファイアウォールフィルターのイングレストラフィックとエグレストラフィックで、以下の最大条件数がサポートされています。
イングレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォールフィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 512
エグレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォールフィルターの条件 256
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 1024
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 1024
EX4300 スイッチでは、ポート、VLAN、およびレイヤー 3 インターフェイス上で設定されたファイアウォールファイラーのイングレストラフィックとエグレストラフィックで、以下の最大条件数がサポートされています。
イングレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 3500
VLAN に設定されたファイアウォールフィルターの条件 3500
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 7000
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 3500
注:EX4300スイッチのイングレストラフィックのTCAM(Ternary Content Addressable Memory)制限は256エントリーです。
エグレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォールフィルターの条件 256
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 512
注:最大条件数を設定できるのは、スイッチで 1 種類のファイアウォールフィルター(ポート、VLAN、またはルーター(レイヤー 3)ファイアウォールフィルター)を設定している場合、およびスイッチ内のどのインターフェイスでもストーム制御が有効になっていない場合のみです。
EX4500およびEX4550スイッチでは、フィルターあたりの用語数は1200を超えることはできません。
EX6200 スイッチでは、フィルターあたりの条件数は 1400 を超えることはできません。
EX8200 スイッチでは、フィルターあたりの用語数は 32,768 を超えることはできません。
また、条件の数が多いとコミット中の処理時間が長くなり、ファイアウォールフィルターのテストとトラブルシューティングが困難になる可能性があるため、各ファイアウォールフィルターに含める条件(ルール)の数は控えめにしてください。同様に、多くのスイッチやルーターのインターフェイスにファイアウォールフィルターを適用すると、フィルターのルールのテストやトラブルシューティングが困難になる可能性があります。
ファイアウォールフィルターを構成して適用する前に、各ファイアウォールフィルターについて以下の質問に答えてください。
ファイアウォールフィルターの目的とは?
たとえば、ファイアウォールフィルターを使用して、送信元および宛先MACアドレス、特定のプロトコル、または特定のデータレートへのトラフィックを制限したり、サービス拒否(DoS)攻撃を防止したりできます。
適切な一致条件とは
一致させるためにパケットに含める必要があるパケットヘッダーフィールドを決定します。可能なフィールドは次のとおりです。
レイヤー2ヘッダーフィールド—送信元と宛先のMACアドレス、dot1qタグ、イーサネットタイプ、VLAN
レイヤー3ヘッダーフィールド—送信元と宛先のIPアドレス、プロトコル、IPオプション(IP優先度、IPフラグメント化フラグ、TTLタイプ)
TCPヘッダーフィールド—送信元および宛先ポートとフラグ
ICMPヘッダーフィールド—パケットタイプとコード
パケットを受信したポート、VLAN、またはルーター インターフェイスを特定します。
一致が発生した場合に取るべき適切なアクションは何ですか?
一致が発生した場合に実行できるアクションは、受け入れ、破棄、ルーティングインスタンスへの転送です。
どのような追加のアクション修飾子が必要になる可能性がありますか?
パケットが一致条件に一致する場合に追加のアクションが必要かどうかを判断します。たとえば、アクション修飾子を指定して、パケットをカウント、分析、または規制できます。
ファイアウォールフィルターはどのインターフェイスに適用する必要がありますか?
次の基本的なガイドラインから始めます。
ポートに入るすべてのパケットをフィルタリングにさらす必要がある場合は、ポートファイアウォールフィルタを使用します。
ブリッジされるすべてのパケットにフィルタリングが必要な場合は、VLANファイアウォールフィルタを使用します。
ルーティングされるすべてのパケットにフィルタリングが必要な場合は、ルーターファイアウォールフィルターを使用します。
ファイアウォールフィルターを適用するインターフェイスを選択する前に、その配置が他のインターフェイスへのトラフィックフローにどのように影響するかを理解しておいてください。一般に、送信元と宛先のIPアドレス、IPプロトコル、またはICMPメッセージタイプ、TCPとUDPのポート番号などのプロトコル情報でフィルタリングするファイアウォールフィルターを適用します。ただし、通常は、宛先デバイスに最も近い送信元IPアドレスのみをフィルタリングするファイアウォールフィルターを適用します。ソース デバイスの近くに適用した場合、ソース IP アドレスのみをフィルター処理するファイアウォール フィルターにより、ソース デバイスがネットワーク上で利用可能な他のサービスにアクセスできなくなる可能性があります。
注:エグレス ファイアウォール フィルターは、ルーティング エンジンからローカルに生成された制御パケットのフローには影響しません。
ファイアウォールフィルターはどの方向に適用する必要がありますか?
スイッチのポートにファイアウォールフィルターを適用して、ポートに入るパケットをフィルタリングできます。ファイアウォールフィルターをVLANに適用し、レイヤー3(ルーティング)インターフェイスを適用して、VLANまたはルーティングインターフェイスに出入りするパケットをフィルタリングできます。通常、インターフェイスに入るトラフィックに対しては、インターフェイスから出るトラフィックに対して設定するアクションとは異なるアクションセットを設定します。