ファイアウォール フィルターの計画について
ファイアウォールフィルターを作成してインターフェイスに適用する前に、ファイアウォールフィルターの目的と、その一致条件とアクションを使用して目標を達成する方法を決定します。一致条件に合わせてパケットがどのように一致するか、ファイアウォールフィルターのデフォルトと設定されたアクション、ファイアウォールフィルターの適切な配置を理解する必要があります。
ポート、VLAN、またはルーターインターフェイスごとに、方向ごとに設定および適用できるファイアウォールフィルターは1つだけです。以下の制限は、さまざまなスイッチ モデルのフィルターごとに許可されるファイアウォール フィルター条件の数に適用されます。
EX3300スイッチでは、フィルターあたりの条件数が1436を超えることはできません。
EX3200およびEX4200スイッチでは、フィルターあたりの条件数が7042を超えることはできません。
EX2300スイッチでは、ポート、VLAN、およびレイヤー3インターフェイスに設定されたファイアウォールフィルターのイングレスおよびエグレストラフィックに対して、以下の最大条件数がサポートされています。
イングレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 256
VLAN に設定されたファイアウォール フィルターの条件 256
IPv4トラフィックのレイヤー3インターフェイスに設定されたファイアウォールフィルターの条件256
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 256
エグレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォール フィルターの条件 128
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 512
EX3400スイッチでは、ポート、VLAN、およびレイヤー3インターフェイスに設定されたファイアウォールフィルターのイングレスおよびエグレストラフィックに対して、以下の最大条件数がサポートされています。
イングレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォール フィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 512
エグレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォール フィルターの条件 256
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 1024
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 1024
EX4300スイッチでは、ポート、VLAN、およびレイヤー3インターフェイスに設定されたファイアウォールファイラーのイングレスおよびエグレストラフィックに対して、以下の最大条件がサポートされています。
イングレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 3,500
VLAN に設定されたファイアウォール フィルターの条件 3,500
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 7,000
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 3500
注:EX4300 スイッチ上のイングレス トラフィックの TCAM(三元的なコンテンツ アドレッシング可能メモリ)の制限は、256 エントリです。
エグレストラフィックの場合:
ポートに設定されたファイアウォールフィルターの条件 512
VLAN に設定されたファイアウォール フィルターの条件 256
レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 512
レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 512
注:最大条件数を設定できるのは、スイッチで1種類のファイアウォールフィルター(ポート、VLAN、またはルーター(レイヤー3)ファイアウォールフィルター)を設定した場合、およびスイッチ内の任意のインターフェイスでストーム制御が有効になっていない場合のみです。
EX4500およびEX4550スイッチでは、フィルターあたりの条件数は1200を超えることはできません。
EX6200スイッチでは、フィルターあたりの条件数が1400を超えることはできません。
EX8200スイッチでは、フィルターあたりの条件数が32,768を超えることはできません。
さらに、多数の条件では、コミット中の処理時間が長くなり、ファイアウォール フィルターのテストやトラブルシューティングがより困難になる可能性があるため、各ファイアウォール フィルターに含める条件(ルール)の数を控えめにしてください。同様に、多数のスイッチおよびルーター インターフェイスにファイアウォール フィルターを適用すると、これらのフィルターのルールのテストとトラブルシューティングが困難になる場合があります。
ファイアウォールフィルターを構成して適用する前に、これらのファイアウォールフィルターごとに次の質問に回答してください。
ファイアウォールフィルターの目的は何ですか?
例えば、ファイアウォールフィルターを使用して、送信元と宛先のMACアドレス、特定のプロトコル、特定のデータレートへのトラフィックを制限したり、サービス拒否(DoS)攻撃を防ぐことができます。
適切な一致条件は何ですか?
一致するパケットに含める必要があるパケット ヘッダー フィールドを決定します。可能なフィールドは以下のとおりです。
レイヤー 2 ヘッダー フィールド - 送信元と宛先の MAC アドレス、dot1q タグ、イーサネット タイプ、VLAN
レイヤー 3 ヘッダー フィールド - 送信元と宛先の IP アドレス、プロトコル、IP オプション(IP 優先度、IP フラグメント化フラグ、TTL タイプ)
TCP ヘッダー フィールド - 送信元と宛先のポートとフラグ
ICMP ヘッダー フィールド - パケット タイプとコード
パケットを受信したポート、VLAN、またはルーター インターフェイスを決定します。
一致した場合に実行する適切なアクションは何ですか。
一致が発生した場合に実行できるアクションは、受け入れ、破棄し、ルーティング インスタンスに転送します。
追加のアクション修飾子が必要になる可能性がありますか。
パケットが一致条件に一致した場合、追加のアクションが必要かどうかを判断します。例えば、パケットをカウント、分析、またはポリシー処理するアクション修飾子を指定できます。
どのインターフェイスでファイアウォールフィルターを適用すべきか?
次の基本的なガイドラインから始めます。
ポートに入るすべてのパケットをフィルタリングにさらす必要がある場合は、ポートファイアウォールフィルターを使用します。
ブリッジされたすべてのパケットにフィルタリングが必要な場合は、VLAN ファイアウォール フィルターを使用します。
ルーティングされるすべてのパケットにフィルタリングが必要な場合は、ルーターファイアウォールフィルターを使用します。
ファイアウォールフィルターを適用するインターフェイスを選択する前に、その配置が他のインターフェイスへのトラフィックフローにどのように影響するかを理解してください。一般に、送信元と宛先の IP アドレス、IP プロトコル、またはプロトコル情報(ICMP メッセージ タイプ、TCP および UDP ポート番号など)を送信元デバイスに最も近い値でフィルタリングするファイアウォール フィルターを適用します。ただし、通常は、宛先デバイスに最も近い送信元 IP アドレスでのみフィルターするファイアウォール フィルターを適用します。送信元デバイスの近くに適用されすぎると、送信元IPアドレスでのみフィルターを適用するファイアウォールフィルターが、その送信元デバイスがネットワーク上で利用可能な他のサービスにアクセスできなくなる可能性があります。
注:エグレス ファイアウォール フィルターは、ルーティング エンジンからローカルで生成された制御パケットのフローに影響を与えません。
ファイアウォール フィルターはどの方向に適用すべきでしょうか。
スイッチのポートにファイアウォールフィルターを適用して、ポートに入るパケットをフィルタリングできます。VLAN にファイアウォール フィルターを適用し、レイヤー 3(ルーテッド)インターフェイスを適用して、VLAN またはルーテッド インターフェイスに出入りするパケットをフィルタリングできます。通常、インターフェイスに入るトラフィックに対して、インターフェイスから出るトラフィックとは異なるアクションセットを設定します。