ファイアウォールフィルターの概要(OCXシリーズ)
ファイアウォールフィルターは、インターフェイスを通過するパケットを受け入れるか破棄するかを定義するルールを提供します。パケットが受け入れられた場合、サービスクラス(CoS)マーキング(同様のタイプのトラフィックをグループ化し、各タイプのトラフィックを独自のサービス優先度でクラスとして扱う)やトラフィックのポリシー実行(送受信するトラフィックの最大レートを制御)など、パケットに対して実行する追加のアクションを設定できます。ファイアウォールフィルターを設定して、パケットがレイヤー3(ルーティング)インターフェイスに出入りする前に、パケットを受け入れるか破棄するかを決定します。
イングレス ファイアウォールフィルターは、インターフェイスに入るパケットに適用され、エグレスファイアウォールフィルターはインターフェイスから出るパケットに適用されます。
ファイアウォール フィルターは、ACL( アクセス コントロール リスト )と呼ばれることもあります。
フィルターを適用できる場所
IPv4またはIPv6レイヤー3(ルーテッド)インターフェイスとループバックインターフェイスでは、イングレス方向とエグレス方向の両方にルーターファイアウォールフィルターを適用できます。このインターフェイス は、スイッチ自体に送信されたトラフィックやスイッチによって生成されたトラフィックをフィルタリングします。
入力方向のループバックインターフェイスにフィルターを適用して、スイッチを不要なトラフィックから保護します。また、スイッチ自体から発信されたパケットの転送クラスと DSCP ビット値を設定できるように、出力方向のループバック インターフェイスにフィルターを適用することもできます。この機能により、CPU で生成されるパケットの分類を非常に細かく制御できます。たとえば、異なる DSCP 値と転送クラスを、異なるルーティング プロトコルによって生成されたトラフィックに割り当て、それらのプロトコルのトラフィックを他のデバイスによって差別化された方法で処理することができます。
QFX5220スイッチでは、イングレス方向のループバックインターフェイスにのみフィルターを適用できます。
同じインターフェイスにイングレスフィルターとエグレスフィルターを適用すると、イングレスフィルターが最初に処理されます。
ファイアウォールフィルターを適用するには::
ファイアウォールフィルターを設定します。
ファイアウォールフィルターをレイヤー3インターフェイスに適用し、方向を指定します。方向を指定した
input場合、トラフィックはイングレスでフィルタリングされます。方向を指定したoutput場合、トラフィックはエグレスでフィルタリングされます。
特定の方向のレイヤー 3 インターフェイスに適用できるファイアウォール フィルターは 1 つだけです。例えば、特定 family inet のインターフェイスでは、入力に1つのフィルターを適用し、1つを出力に適用できます。
OCX スイッチは、 に示す接続ポイントのタイプごとの ファイアウォール フィルター 条件の最大数を 表 1サポートします。
| フィルター タイプ | 最大フィルター数 |
イングレス |
1536 |
出口 |
1024 |
ファイアウォール フィルター コンポーネント
ファイアウォールフィルターでは、まずファミリーアドレスタイプ(inet IPv4または inet6 IPv6の場合)を定義し、フィルタリング基準と一致した場合に実行するアクションを指定する1つ以上の条件を定義します。
各項は、以下のコンポーネントで構成されています。
一致条件 — 一致と見なされるためにパケットに含める必要がある値を指定します。
アクション — パケットが一致条件に一致した場合の対処方法を指定します。フィルターは、一致するパケットを受け入れ、破棄または拒否し、カウント、分類、ポリシー実行などの追加のアクションを実行できます。条件に対してアクションが指定されていない場合、デフォルトは一致するパケットを受け入れます。
ファイアウォール フィルター処理
フィルタに複数の項がある場合、項の順序は重要です。パケットが最初の条件に一致する場合、スイッチはその条件で定義されたアクションを実行し、他の条件は評価されません。スイッチがパケットと最初の条件の間で一致するものが見つからなければ、パケットを次の条件と比較します。パケットと 2 番目の条件の間で一致が発生しない場合、システムは、一致が見つかるまで、フィルター内の連続する各条件とパケットを比較し続けます。パケットがフィルターのどの条件にも一致しない場合、スイッチはデフォルトでパケットを破棄します。