Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの評価方法について

ファイアウォールフィルタは1つまたは複数の条件で構成され、フィルター内の条件の順序は重要です。ファイアウォールフィルターを構成する前に、スイッチ内の条件を評価する方法、およびパケットが条件に対して評価される方法を理解しておく必要があります。

ファイアウォールフィルターを1つの条件で構成する場合、このフィルターは次のように評価されます。

  • パケットがすべての条件に一致した場合、 thenステートメント内のアクションが実行されます。

  • パケットがすべての条件に一致し、ステートメントにアクションが指定されていない場合は、 then デフォルトのアクションが accept 実行されます。

  • パケットがすべての条件に一致しない場合は、スイッチによって破棄されます。

ファイアウォールフィルターが複数の条件で構成されている場合は、フィルターは順次評価します。

  1. 最初の用語では、パケットはfromステートメントの条件に対して評価されます。

  2. パケットがすべての条件に一致した場合、 thenステートメント内のアクションが実行され、評価が終了します。フィルター内の後続の条件は評価されません。

  3. パケットが条件の一部に一致しない場合、そのパケットはfromステートメント内の2つ目の条件に対して評価されます。

    このプロセスは、パケットが後続の条件のいずれかfromでステートメント内のすべての条件に一致するか、フィルターに条件がこれ以上含まれない限り続けられます。

  4. パケットが一致しないでフィルター内のすべての条件を通過する場合、スイッチはそれを廃棄します。

注:

パケットは一致するすべてのfrom条件を満たしている必要があるため、ステートメント内の条件の順序は重要ではありません。

図 1は、ファイアウォールフィルタ内の条件を評価する方法を示しています。

図 1: ファイアウォールフィルター内の条件の評価ファイアウォールフィルター内の条件の評価

条件にfrom文が含まれていない場合は、すべてのパケットが条件と一致し、 then文によって処理されます。用語にthen文が含まれていない場合、またはthen文でアクションが設定されていない場合は、条件に一致するパケットがあればそれが受け入れられます。

すべてのファイアウォールフィルターにdenyは、フィルタの最後に暗黙的なステートメントが含まれています。これは、以下の明示的フィルタ用語と同等です。

その結果、ファイアウォールフィルターの条件に一致しないパケットは破棄されます。条件を満たしていないフィルターを構成すると、そのフィルターを通過するすべてのパケットが破棄されます。

注:

ファイアウォールフィルタリングは、少なくとも64バイト長のパケットでサポートされています。