Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルターの計画について

ファイアウォール フィルターを作成して適用する前に、フィルターの実行対象と、その一致条件とアクションを使用して目標を達成する方法を決定します。パケットの照合方法、ファイアウォール フィルタのデフォルトおよび設定済みアクション、ファイアウォール フィルタの適用場所を理解することが重要です。

ルーター インターフェイスごとに、方向(入出力)ごとに ファイアウォール フィルタを 1 つ以上適用することはできません。たとえば、特定のインターフェイスに対して、入力方向に最大 1 つのフィルタ、出力方向に 1 つのフィルタを適用できます。各ファイアウォール フィルターに含める条件(ルール)の数は控えめにしてください。なぜなら、多くの条件ではコミット操作中の処理時間が長くなり、テストやトラブルシューティングが難しくなる可能性があるためです。

ファイアウォール フィルターを設定して適用する前に、それぞれの質問に回答してください。

  1. フィルターの目的は何ですか?

    たとえば、システムはヘッダー情報に基づいてパケットをドロップしたり、トラフィックをレート制限したり、パケットを転送クラスに分類したり、パケットをログに記録してカウントしたり、サービス拒否攻撃を防ぐことができます。

  2. 適切な照合条件は何ですか? 一致するパケットに含める必要があるパケット ヘッダー フィールドを決定します。使用可能なフィールドは次のとおりです。

    • レイヤー 3 ヘッダー フィールド — 送信元と宛先の IP アドレス、プロトコル、IP オプション(IP 優先度、IP フラグメント化フラグ、TTL タイプ)。

    • TCP ヘッダー フィールド — 送信元と宛先のポートとフラグ。

    • ICMP ヘッダー フィールド — パケット タイプとコード。

  3. 一致が発生した場合に実行する適切なアクションは何ですか?

    システムは、パケットを受け入れる、破棄する、または拒否できます。

  4. 追加で必要となるアクション修飾子は何ですか?

    たとえば、指定したポートにパケットをミラーリング(コピー)したり、一致するパケットをカウントしたり、トラフィック管理を適用したり、パケットをポリサーするようにシステムを設定できます。

  5. どのレイヤー 3 インターフェイスでファイアウォール フィルターを適用する必要がありますか。

    ファイアウォール フィルタを適用するインターフェイスを選択する前に、その配置が他のインターフェイスへのトラフィック フローに与える影響を理解してください。一般に、フィルターが送信元または宛先 IP アドレス、IP プロトコル、またはプロトコル情報(ICMP メッセージ タイプ、TCP または UDP ポート番号など)で一致する場合は、送信元デバイスの近くにフィルターを適用します。ただし、フィルタが送信元 IP アドレス でのみ 一致する場合は、宛先デバイスの近くにフィルタを適用する必要があります。フィルターをソース デバイスの近くにあまりにも適用すると、そのフィルターによって、そのソース デバイスがネットワーク上で利用可能な他のサービスにアクセスできなくなる可能性があります。

  6. ファイアウォール フィルターはどの方向に適用すべきでしょうか?

    通常、インターフェイスに入るトラフィックに対して、インターフェイスから出たトラフィックに対して設定するアクションとは異なるアクションを設定します。

  7. いくつのフィルターを作成する必要がありますか?