Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ステートレス ファイアウォール フィルターの概要

パケットフロー制御

システムの通過を許可するパケットを制御し、必要に応じてパケットに特別なアクションを適用するために、 ステートレスファイアウォールフィルタを設定できます。ステートレス ファイアウォールは、 フィルター用語と呼ばれる 1 つ以上のパケット フィルタリング規則のシーケンスを指定します。フィルター項目は、一致を判断するために使用する一致条件と、 一致 したパケットに対して実行する アクション を指定します。ステートレス ファイアウォール フィルター を使用すると、レイヤー 3 およびレイヤー 4 ヘッダー フィールドの評価に基づいて、フラグメント パケットを含む特定のプロトコル ファミリーのパケットを操作できます。通常、ステートレス ファイアウォール フィルターは、プロトコル ファミリーの機能が設定された 1 つ以上のインターフェイスに適用します。ステートレス ファイアウォール フィルターは、イングレス インターフェイス、エグレス インターフェイス、またはその両方に適用できます。

データパケットフロー制御

パケットが送信元から宛先に転送される際にデバイスを通過するデータパケットのフローを制御するために、ルーターまたはスイッチの物理インターフェイスの入力または出力にステートレスファイアウォールフィルターを適用できます。

インターフェイス上で送受信されるトラフィックに、指定された帯域幅と最大バースト サイズを適用するために、 ポリサーを構成できます。ポリサーはステートレスファイアウォールフィルターの特殊なタイプであり、Junos OS サービスクラス (CoS)の主要コンポーネントです。

ローカル パケット フロー制御

物理インターフェイスとルーティング エンジン間のローカル パケットのフローを制御するために、 ループバック インターフェイスの入力または出力にステートレス ファイアウォール フィルターを適用できます。ループバックインターフェイス()は、ルーティングエンジンへのインターフェイスであり、データパケットを伝送しません。lo0

Junos OS Evolvedローカルパケットフロー制御

Junos OS Evolvedでは、2つの異なるフィルターを使用できます。ネットワークトラフィック(ループバックトラフィック)向けのフィルターと管理トラフィック向けのフィルターです。2つのフィルターを使用すると、柔軟性が高まります。例えば、ネットワーク制御トラフィックよりも管理インターフェイスのトラフィックに対して、より厳密なフィルターを設定することができます。

管理フィルタリングは、Linux カーネルが提供するフレームワークであるネットフィルタに基づくルーティングエンジンフィルタを使用します。この違いにより、特定の一致とアクションのみがサポートされます。詳細については、 ルーティングエンジンファイアウォールフィルター を参照してください。https://www.juniper.net/documentation/us/en/software/junos/overview-evo/topics/concept/evo-top-differences.html#top-differences-between-junos-os-evolved-and-junos-os__section-routing-engine-firewall-filters

注:

管理インターフェイスに フィルターを明示的に追加する必要があります。Junos OS Evolvedの場合、Junos OSの場合のようにloフィルターが管理トラフィックに適用されなくなりました。

ステートレスおよびステートフルファイアウォールフィルター

ステートレス ファイアウォール フィルターは、 アクセス コントロール リスト (ACL)とも呼ばれ、トラフィックをステートフルに検査しません。代わりに、パケットの内容を静的に評価し、ネットワーク接続の状態を追跡しません。これに対して、 ステートフルファイアウォールフィルター は、他のアプリケーションやデータフロー内の過去の通信から得られた接続状態情報を使用して、動的な制御を決定します。

『ルーティング ポリシー、ファイアウォール フィルター、およびトラフィック ポリサー ユーザー ガイド』では、ステートレス ファイアウォール フィルターについて説明しています。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html

ステートレス ファイアウォール フィルターの目的

ステートレス ファイアウォール フィルターの基本的な目的は、パケット フィルタリングを使用してセキュリティを強化することです。パケット フィルタリングを使用すると、着信パケットまたは発信パケットのコンポーネントを検査し、指定した条件に一致するパケットに対して指定したアクションを実行できます。ステートレス ファイアウォール フィルターの一般的な用途は、悪意のあるパケットや信頼できないパケットからルーティング エンジンのプロセスとリソースを保護することです。

関連項目