ファイアウォールフィルター(QFXシリーズ)の概要
ファイアウォールフィルターは、ACL( アクセスコントロールリスト )とも呼ばれ、インターフェイスを通過するパケットを受け入れるか破棄するかを定義するルールを提供します。パケットが受諾されると、class-of-service(CoS)マーキング(類似したタイプのトラフィックをグループ化し、各タイプのトラフィックを独自のサービス優先度レベルを持つクラスとして扱う)やトラフィックポリシング(送受信されるトラフィックの最大レートを制御する)など、パケットに対してより多くのアクションを設定できます。
ファイアウォールフィルターを設定して、ポート、VLAN、レイヤー2 CCC、レイヤー3(ルーティング)インターフェイス、RVI(ルーテッドVLANインターフェイス)、またはMPLSインターフェイスに出入りする前に、パケットを受け入れるか破棄するかを決定できます。
インターフェイスまたはVLANに入るパケットにはイングレス(入力) ファイアウォールフィルターが適用され、インターフェイスまたはVLANから出るパケットにはエグレス(出力)ファイアウォールフィルターが適用されます。
ネットワーク ポート、レイヤー 2 およびレイヤー 3、または IRB インターフェイスのポリサーは、ホスト宛てのトラフィックをポリシングしません。しかし、DDoS攻撃を防ぎたい場合は、ルーティングエンジンを保護するファイアウォールフィルターをlo0上に作成できます。
フィルターを適用できる場所
ファイアウォールフィルターを構成した後、それを以下に適用できます:
-
ポート—システムポートを通過するレイヤー2トラフィックをフィルタリングします。
-
VLAN—VLAN に入るレイヤー 2 パケット、VLAN 内でブリッジされるパケット、または VLAN を離れるレイヤー 2 パケットをフィルタリングしてアクセス制御します。
-
レイヤー 3(ルーティング)インターフェイス - IPv4 および IPv6 インターフェイス、RVI(ルーテッド VLAN インターフェイス)、ループバック インターフェイス上のトラフィックをフィルターします。ループバック インターフェイスは、スイッチ自体に送信されるトラフィック、またはスイッチによって生成されたトラフィックをフィルターします。
-
レイヤー 2 CCC インターフェイス - レイヤー 2 CCC(回線クロスコネクト)インターフェイスをフィルターします。
-
MPLS—MPLS インターフェイスをフィルターします。
また、QFX および EX4600 スタンドアロンスイッチ上の管理インターフェイス(me0 など)にファイアウォールフィルターを適用することもできます。QFX3000-G または QFX3000-M システムの管理インターフェイスにフィルターを適用することはできません。
指定された方向のポート、VLAN、またはレイヤー2 CCCインターフェイスに適用できるファイアウォールフィルターは1つだけです。例えば、インターフェイス ge-0/0/6.0 では、イングレス方向に 1 つのフィルターを適用でき、エグレス方向に 1 つのフィルターを適用できます。
-
(QFXシリーズ)Junos OSリリース13.2X51-D15以降、エグレス方向のループバックインターフェイスにフィルターを適用できます。
-
(QFX10000)Junos OS Release 18.2R1 以降、レイヤー 2 回線インターフェイスで、
count
およびdiscard
をポリサー アクションとしてイングレスおよびエグレス ファイアウォール フィルターを適用できます。 -
(QFX10002-36Q、QFX10002-72Q、QFX10002-60C、QFX10008、QFX10016、PTX10008、PTX10016)Junos OSリリース19.2R1以降、IPv4およびIPv6インターフェイスでは、エグレス方向に
interface
、forwarding-class
、およびloss-priority
一致条件を適用できます。
EX4600、QFX5000シリーズ、QFX5000 EVOシリーズスイッチは、異なるルーティングインスタンスで設定されたループバックフィルターのVRF一致に依存しません。ルーティングインスタンスごとのループバックフィルター(lo0.100、lo0.103、lo0.105など)はサポートされていないため、予期しない動作が発生する可能性があります。ループバックフィルター(lo0.0)はマスタールーティングインスタンスにのみ適用することをお勧めします。
ファイアウォールフィルターの構成
ファイアウォールフィルターを設定する際には、ファミリーアドレスタイプ(イーサネットスイッチング、inet(IPv4 の場合)、inet6(IPv6 の場合)、CCC(回線クロスコネクト)、または MPLS)、フィルタリング基準(条件、一致条件付き)、および一致が発生した場合に実行するアクションを定義します。
各用語は、次のもので構成されます
-
一致条件—一致したとみなされるにはパケットに含まれる必要のある値。IP、TCP、UDP、または ICMP ヘッダーのほとんどのフィールドに値を指定できます。インターフェイス名で一致させることもできます。
-
アクション:パケットが一致条件に一致した場合に実行されるアクション。一致したパケットを受け入れる、破棄する、または拒否するようにファイアウォールフィルターを設定し、カウント、分類、ポリシングなどのその他のアクションを実行できます。デフォルトのアクションは accept です。
ファイアウォールフィルターの処理方法
フィルターに複数の用語がある場合は、用語の順序が重要です。パケットが最初の項と一致した場合、スイッチはその項で定義されたアクションを実行し、他の項は評価されません。パケットと最初の項が一致しない場合、スイッチはパケットを次の項と比較します。パケットと 2 番目の条件の間に一致がない場合、システムは一致が見つかるまでフィルター内の連続する各項とパケットを比較し続けます。一致する条件がない場合、スイッチはデフォルトでパケットを廃棄します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
interface
、 forwarding-class
、および loss-priority
一致条件を適用できます。 count
および discard
をポリサー アクションとしてイングレスおよびエグレス ファイアウォール フィルターを適用できます。