ファイアウォール フィルターの概要(QFX シリーズ)

フィルターを適用できる場所

ファイアウォール フィルターを設定した後、次の項目に適用できます。

• ポート—レイヤー 2 トラフィックトランジット システム ポートをフィルタリングします。

• VLAN—VLAN に入る、VLAN 内でブリッジ接続される、または VLAN を残すレイヤー 2 パケットのアクセス コントロールをフィルターして提供します。

• レイヤー 3(ルーテッド)インターフェイス:IPv4 および IPv6 インターフェイス、RVI(Routed VLAN Interface)、ループバック インターフェイス上のトラフィックをフィルターします。ループバック インターフェイスは、スイッチ自体に送信されたか、スイッチによって生成されたトラフィックをフィルタリングします。

• レイヤー 2 CCC インターフェイス:レイヤー 2 回線クロスコネクト(CCC)インターフェイスをフィルターします。

• MPLS — MPLS インターフェイスをフィルターします。

また、QFX および EX4600 スタンドアロン スイッチの管理インターフェイス(me0 など)にファイアウォール フィルタを適用することもできます。QFX3000-G または QFX3000-M システムの管理インターフェイスにフィルターを適用することはできません。

• (QFXシリーズ)Junos OS リリース 13.2X51-D15 以降では、エグレス方向のループバック インターフェイスにフィルターを適用できます。

• (QFX10000)Junos OS リリース 18.2R1 以降では、レイヤー 2 回線インターフェイスに対して、受信/discard送信ファイアウォール フィルターとcountポリサー アクションを適用できます。

• (QFX10002-36Q、QFX10002-72Q、QFX10002-60C、QFX10008、QFX10016、PTX10008、PTX10016)Junos OS リリース 19.2R1 以降では、IPv4 および IPv6 インターフェイスでエグレス方向に 、、およびloss-priority照合条件を適用interfaceforwarding-classできます。

ファイアウォール フィルターの構成

ファイアウォール フィルターを設定する場合は、ファミリー アドレス タイプ(IPv4 の場合はイーサネット スイッチング、inet)、inet6(IPv6 用)、CCC(回線クロスコネクト)、MPLS)、フィルタリング基準(条件、照合条件を含む)、および一致が発生した場合に実行するアクションを定義します。

各項は、以下で構成されます。

• 照合条件 — パケットに含める必要がある値を一致と見なします。IP、TCP、UDP、または ICMP ヘッダーのほとんどのフィールドに値を指定できます。インターフェイス名を照合することもできます。

• アクション — パケットが一致条件に一致した場合に実行されるアクション。一致するパケットの受け入れ、破棄、拒否を行うファイアウォール フィルターを設定し、カウント、分類、ポリシー設定など、より多くのアクションを実行できます。デフォルトアクションは[Accept](受け入れる)です。

ファイアウォール フィルターの処理方法

フィルタに複数の条件がある場合、条件の順序は重要です。パケットが最初の項と一致する場合、スイッチはその項で定義されたアクションを実行し、他の条件は評価されません。スイッチがパケットと最初の項の間に一致するものが見つからなかった場合、スイッチはパケットを次の項と比較します。パケットと 2 番目の項の間に一致が発生しない場合、システムは一致するものが見つかるまで、フィルター内の連続する各項とパケットを比較し続けます。条件が一致しない場合、スイッチはデフォルトでパケットを破棄します。