ファイアウォールフィルターの計画について
ファイアウォールフィルターを作成して適用する前に、フィルターで何を実現するか、および目標を達成するためにその一致条件とアクションを使用する方法を決定します。パケットの照合方法、ファイアウォールフィルターのデフォルトアクションと設定済みアクション、ファイアウォールフィルターの適用場所について理解しておくことが重要です。
各方向(入力および出力)に適用できるファイアウォールフィルターは、ルーター インターフェイスごとです。たとえば、特定のインターフェイスに対して、入力方向に最大 1 つのフィルターを適用し、出力方向に 1 つのフィルターを適用できます。用語の数が多いと、コミット操作中の処理時間が長くなり、テストとトラブルシューティングがより困難になる可能性があるため、各ファイアウォールフィルターに含める用語(ルール)の数は控えめにする必要があります。
ファイアウォールフィルターを構成して適用する前に、それぞれについて以下の質問に答えてください:
フィルターの目的は何ですか?
たとえば、システムは、ヘッダー情報に基づくパケットのドロップ、トラフィックのレート制限、パケットの転送クラスへの分類、パケットのログとカウント、サービス拒否攻撃の防止を行うことができます。
適切な一致条件とは一致させるためにパケットに含める必要があるパケットヘッダーフィールドを決定します。可能なフィールドは次のとおりです。
レイヤー3ヘッダーフィールド—送信元と宛先のIPアドレス、プロトコル、IPオプション(IP優先度、IPフラグメント化フラグ、TTLタイプ)。
TCPヘッダーフィールド—送信元および宛先ポートとフラグ。
ICMPヘッダーフィールド—パケットタイプとコード。
一致が発生した場合に取るべき適切なアクションは何ですか?
システムは、パケットを受け入れる、破棄する、または拒否することができます。
どのような追加のアクション修飾子が必要になる可能性がありますか?
例えば、指定されたポートにパケットをミラーリング(コピー)したり、一致するパケットをカウントしたり、トラフィック管理を適用したり、パケットをポリシングしたりするようにシステムを設定できます。
ファイアウォールフィルターはどのレイヤー3インターフェイスに適用すべきか?
ファイアウォールフィルターを適用するインターフェイスを選択する前に、その配置が他のインターフェイスへのトラフィックフローにどのように影響するかを理解しておいてください。一般に、送信元または宛先のIPアドレス、IPプロトコル、またはプロトコル情報(ICMPメッセージタイプ、TCPまたはUDPポート番号など)でフィルターが一致する場合は、送信元デバイスの近くでフィルターを適用します。ただし、送信元 IP アドレスでのみフィルター が一致する場合は、宛先デバイスに近いフィルターを適用する必要があります。ソース デバイスに近すぎるフィルターを適用すると、ソース デバイスがネットワーク上で使用可能な他のサービスにアクセスできなくなる可能性があります。
ファイアウォールフィルターはどの方向に適用する必要がありますか?
通常、インターフェイスに入るトラフィックに対しては、インターフェイスから出るトラフィックに対して設定するアクションとは異なるアクションを設定します。
いくつのフィルターを作成する必要がありますか?