ステートレス ファイアウォール フィルターの概要
パケットフロー制御
システムの通過を許可するパケットを制御し、必要に応じてパケットに特別なアクションを適用するために、 ステートレスファイアウォールフィルタを設定できます。ステートレス ファイアウォールは、 フィルター用語と呼ばれる 1 つ以上のパケット フィルタリング規則のシーケンスを指定します。フィルター項目は、一致を判断するために使用する 一致条件 と、一致したパケットに対して実行する アクション を指定します。ステートレス ファイアウォール フィルター を使用すると、レイヤー 3 およびレイヤー 4 ヘッダー フィールドの評価に基づいて、フラグメント パケットを含む特定のプロトコル ファミリーのパケットを操作できます。通常、ステートレス ファイアウォール フィルターは、プロトコル ファミリーの機能が設定された 1 つ以上のインターフェイスに適用します。ステートレス ファイアウォール フィルターは、イングレス インターフェイス、エグレス インターフェイス、またはその両方に適用できます。
データパケットフロー制御
パケットが送信元から宛先に転送される際にデバイスを通過するデータパケットのフローを制御するために、ルーターまたはスイッチの物理インターフェイスの入力または出力にステートレスファイアウォールフィルターを適用できます。
インターフェイス上で送受信されるトラフィックに、指定された帯域幅と最大バースト サイズを適用するために、 ポリサーを構成できます。ポリサーはステートレスファイアウォールフィルターの特殊なタイプであり、Junos OS サービスクラス (CoS)の主要コンポーネントです。
ローカル パケット フロー制御
物理インターフェイスとルーティング エンジン間のローカル パケットのフローを制御するために、 ループバック インターフェイスの入力または出力にステートレス ファイアウォール フィルターを適用できます。ループバック インターフェイス(lo0)は、ルーティング エンジンへのインターフェイスであり、データ パケットを伝送しません。
Junos OS Evolvedローカルパケットフロー制御
Junos OS Evolvedでは、2つの異なるフィルターを使用できます。ネットワークトラフィック(ループバックトラフィック)向けのフィルターと管理トラフィック (管理インターフェイス)向けのフィルター。2つのフィルターを使用すると、柔軟性が高まります。例えば、ネットワーク制御トラフィックよりも管理インターフェイスのトラフィックに対して、より厳密なフィルターを設定することができます。
Junos OSとJunos OS Evolvedでは、ネットワーク制御トラフィックファイアウォールフィルターまたはループバックファイアウォールフィルター(Lo0/Lo6)の動作は同じであり、違いはありません。INETでLo0/Lo6ファイアウォールフィルターを設定するか、Lo0/Lo6インターフェイスのINET6ファイアウォールフィルター階層を設定します。Lo0インターフェイスで出るパケットにフィルタリング機能を提供するために、ファイアウォールフィルターはジュニパーのNetfiltersを介してソフトウェアカーネルに実装されています。NetfiltersはLinuxカーネルにインストールされており、ハードウェアはこれに関与していません。
以下は、Lo0ファイアウォールフィルターの設定例です。
set firewall family inet filter finet interface-specific set firewall family inet filter finet term t1 from source-address 10.0.0.2/32 set firewall family inet filter finet term t1 from destination-address 10.0.0.1/32 set firewall family inet filter finet term t1 from protocol tcp set firewall family inet filter finet term t1 from source-port ssh set firewall family inet filter finet term t1 from destination-port ssh set firewall family inet filter finet term t1 then count c1 set firewall family inet filter finet term t1 then log set interfaces lo0 unit 0 family inet filter input finet
表 1、 表 2、 表 3、および 表 4 は、Junos OS EvolvedのLo0/Lo6ファイアウォールフィルターファミリーでサポートされている一致条件とアクションを示しています。
|
ファイアウォールフィルター一致条件 |
Lo0 |
Lo6 |
|---|---|---|
|
IP 宛先アドレス |
◯ |
◯ |
|
IP送信元アドレス |
◯ |
◯ |
|
宛先プレフィックスリスト |
◯ |
◯ |
|
ソースプレフィックスリスト |
◯ |
◯ |
|
宛先ポート |
◯ |
◯ |
|
送信元ポート |
◯ |
◯ |
|
IP プロトコル |
◯ |
◯ |
|
最初のフラグメント |
◯ |
いいえ |
|
IS-fragment |
◯ |
いいえ |
|
tcp フラグ |
◯ |
◯ |
|
ティッカー |
◯ |
いいえ |
|
ティッカー |
◯ |
いいえ |
|
ファイアウォールフィルター一致条件 |
Lo0 |
Lo6 |
|---|---|---|
|
IP 宛先アドレス |
いいえ |
◯ |
|
IP送信元アドレス |
いいえ |
◯ |
|
宛先プレフィックスリスト |
いいえ |
◯ |
|
ソースプレフィックスリスト |
いいえ |
◯ |
|
宛先ポート |
いいえ |
◯ |
|
アクション |
Lo0 |
Lo6 |
|---|---|---|
|
count |
◯ |
◯ |
|
捨てる |
◯ |
◯ |
|
ポリサー |
◯ |
◯ |
|
3 色ポリサー |
◯ |
◯ |
|
アクション |
Lo0 |
Lo6 |
|---|---|---|
|
count |
◯ |
◯ |
|
捨てる |
◯ |
◯ |
|
ポリサー |
◯ |
◯ |
|
3 色ポリサー |
◯ |
◯ |
管理フィルタリングは、Linux カーネルが提供するフレームワークであるネットフィルタに基づくルーティングエンジンフィルタを使用します。この違いにより、特定の一致とアクションのみがサポートされます。 ルーティングエンジンファイアウォールフィルターでは、Junos OSとJunos OS Evolvedの主な違いをしています。
Junos OS Evolved の場合、Junos OS の場合のように、lo0 フィルターは管理トラフィックに適用されなくなったため、管理インターフェイスにフィルターを明示的に追加する必要があります。
管理インターフェイス フィルター で を設定するには、管理インターフェイスのファミリー INET または INET6 ファイアウォール フィルター階層でフィルターを設定する必要があります。以下は、管理インターフェイスにファイアウォールフィルターを設定するための設定例です。
set firewall family inet filter f1 interface-specific set firewall family inet filter f1 term t1 from protocol tcp set firewall family inet filter f1 term t1 then count c1 set firewall family inet filter f1 term t1 then accept set firewall family inet filter f1 term t2 from protocol icmp set firewall family inet filter f1 term t2 then count c3 set firewall family inet filter f1 term dft then count dft_cnt set firewall family inet filter f1 term dft then accept set interfaces re0:mgmt-0 unit 0 family inet filter input f1
表 5、 表 6、および 表 7 は、管理インターフェイスでサポートされているファイアウォールフィルターの一致条件とアクションを示しています。
|
ファイアウォールフィルター一致条件 |
対応 |
|---|---|
|
address |
◯ |
|
宛先アドレス |
◯ |
|
宛先ポート |
◯ |
|
宛先ポート以外 |
◯ |
|
宛先プレフィックスリスト |
◯ |
|
ICMPコード |
◯ |
|
icmp-code-except |
◯ |
|
ICMPタイプ |
◯ |
|
icmp-type-except |
◯ |
|
ネクストヘッダー |
◯ |
|
ネクストヘッダー-except |
◯ |
|
パケット長 |
◯ |
|
パケット長-except |
◯ |
|
ペイロードプロトコル |
◯ |
|
ペイロードプロトコル以外 |
◯ |
|
port |
◯ |
|
ポート-except |
◯ |
|
プレフィックスリスト |
◯ |
|
送信元アドレス |
◯ |
|
送信元ポート |
◯ |
|
送信元ポート-except |
◯ |
|
ソースプレフィックスリスト |
◯ |
|
TCP確立 |
◯ |
|
tcp フラグ |
◯ |
|
tcp イニシャル |
◯ |
|
トラフィッククラス |
◯ |
|
トラフィッククラス以外 |
◯ |
|
ファイアウォールフィルター一致条件 |
対応 |
|---|---|
|
ティッカー |
◯ |
|
dscp-except |
◯ |
|
順位 |
◯ |
|
優先順位-except |
◯ |
|
protocol |
◯ |
|
プロトコル-except |
◯ |
|
ティッカー |
◯ |
|
ttl-except |
◯ |
|
ファイアウォール フィルター動作 |
IPv4 |
IPv6 |
|---|---|---|
|
受け入れ |
◯ |
◯ |
|
count |
◯ |
◯ |
|
転送クラス |
◯ |
◯ |
|
損失優先度 |
◯ |
◯ |
|
ポリサー |
◯ |
◯ |
|
拒む |
◯ |
◯ |
|
シスログ |
◯ |
◯ |
ステートレスおよびステートフルファイアウォールフィルター
ステートレス ファイアウォール フィルターは、 アクセス コントロール リスト (ACL)とも呼ばれ、トラフィックをステートフル に検査しません。代わりに、パケットの内容を静的に評価し、ネットワーク接続の状態を追跡しません。これに対して、 ステートフルファイアウォールフィルター は、他のアプリケーションやデータフロー内の過去の通信から得られた接続状態情報を使用して、動的な制御を決定します。
『ルーティング ポリシー、ファイアウォール フィルター、およびトラフィック ポリサー ユーザー ガイド』では、ステートレス ファイアウォール フィルターについて説明しています。
ステートレス ファイアウォール フィルターの目的
ステートレス ファイアウォール フィルターの基本的な目的は、パケット フィルタリングを使用してセキュリティを強化することです。パケット フィルタリングを使用すると、着信パケットまたは発信パケットのコンポーネントを検査し、指定した条件に一致するパケットに対して指定したアクションを実行できます。ステートレス ファイアウォール フィルターの一般的な用途は、悪意のあるパケットや信頼できないパケットからルーティング エンジンのプロセスとリソースを保護することです。