ネストされた構成における複数のファイアウォールフィルターについて

課題大規模なファイアウォールフィルター管理の簡素化

通常は、単一の ファイアウォールフィルター を入力または出力方向、あるいはその両方のインターフェイスに適用します。しかし、ルーター(またはスイッチ)に多数のインターフェイスが構成されている場合、この方法は実用的ではない可能性があります。この規模の環境では、影響を受けるすべてのインターフェイスのフィルターを再設定することなく、複数のインターフェイスに共通するフィルタリング項目を変更できる柔軟性が必要です。

一般的に、解決策は、複数のステートレスファイアウォールフィルターの効果的な「連鎖」構造を単一のインターフェイスに適用することです。各ルーター(またはスイッチ)インターフェイスに固有のフィルターを適用できるだけでなく、必要に応じて複数のルーター(またはスイッチ)インターフェイスに共通のフィルターを適用できるように、フィルタリング項目を複数のファイアウォールフィルターに分割します。Junos OS ポリシー フレームワークには、個々のルーター(またはスイッチ)インターフェイスに対する複数の個別のファイアウォール フィルターの適用を管理する 2 つのオプションがあります。1 つのオプションは、複数のフィルターを 1 つの入力リストまたは出力リストとして適用することです。もう 1 つのオプションは、別のステートレス ファイアウォール フィルターの条件内からステートレス ファイアウォール フィルターを参照することです。

ソリューション: ファイアウォールフィルターへのネストされた参照の設定

複数のファイアウォールフィルターに共通する重複したフィルター用語を構成しないようにする最も構造化された方法は、共通のフィルター用語を含む個別のフィルター を参照 することにより、各フィルターに共有フィルター用語が含まれるように複数のファイアウォールフィルターを構成することです。Junos OSは、フィルター条件を、フィルター定義に現れる順序で)使用して、インターフェイスを通過するパケットを評価します。複数のインターフェイスで共有されるフィルタリング項目を変更する必要がある場合、修正する必要があるファイアウォールフィルターは 1 つだけです。

注:

別のアプローチ(ファイアウォールフィルターのリストを適用する)と同様に、ネストされたファイアウォールフィルターを構成すると、複数のファイアウォールフィルターが新しいファイアウォールフィルター定義に結合されます。

ネストされたファイアウォールフィルターの設定

ルーター(またはスイッチ)インターフェイスごとにネストされたファイアウォールフィルターを設定するには、次のように共有パケットフィルタリングルールをインターフェイス固有のパケットフィルタリングルールから分離する必要があります。

• 複数のインターフェイスに共通するパケットフィルタリングルールのセットごとに、共有フィルタリング条件を含む個別のファイアウォールフィルターを設定します。

• ルーター(またはスイッチ)インターフェイスごとに、以下を含む個別のファイアウォールフィルターを設定します。

  • そのインターフェイスに固有のすべてのフィルター項目。

  • 共通のフィルター用語を含むファイアウォールフィルターへの参照を含む 追加のフィルター用語。filter

ルーターまたはスイッチインターフェイスへのネストされたファイアウォールフィルターの適用

ネストされたファイアウォールフィルターの適用は、ネストされていないファイアウォールフィルターの適用と同じです。各インターフェイスについて、 スタンザ内に または ステートメント(あるいはその両方)を含めることで、適切なネストされたファイアウォールフィルターを指定できます。inputoutputfilter

ネストされたファイアウォールフィルターをインターフェイスに適用すると、共有フィルタリング条件とインターフェイス固有のファイアウォールフィルターは、別のフィルタリング条件内のステートメントを介して他のフィルターを含む単一のネストされたファイアウォールフィルターを介して適用されます。filter

注:

コミットチェックとコミットは、サポートされていないネストされたフィルターに対して失敗しません。サポートされていないネストされたフィルタは、vtyコマンドに記載されていないフィルタの組み合わせです show jexpr dfw filter-types.