ファイアウォールフィルターの概要(QFXシリーズ)

フィルターを適用できる場所

ファイアウォールフィルターを設定した後、以下に適用できます。

• ポート—レイヤー 2 トラフィック転送システム ポートをフィルターします。

• VLAN — VLAN に入る、VLAN 内でブリッジされる、または VLAN を離れるレイヤー 2 パケットのアクセス コントロールをフィルターして提供します。

• レイヤー 3(ルーテッド)インターフェイス — IPv4 および IPv6 インターフェイス、RVI(Routed VLAN Interface)、ループバック インターフェイス上のトラフィックをフィルターします。ループバック インターフェイスは、スイッチ自体に送信されたトラフィック、またはスイッチによって生成されたトラフィックをフィルタリングします。

• レイヤー2 CCCインターフェイス-レイヤー2回線クロスコネクト(CCC)インターフェイスをフィルターします。

• MPLS — MPLS インターフェイスをフィルターします。

また、QFXおよびEX4600スタンドアロンスイッチの管理インターフェイス(me0など)にファイアウォールフィルターを適用することもできます。QFX3000-G または QFX3000-M システム上の管理インターフェイスにフィルターを適用することはできません。

• (QFX シリーズ)Junos OS リリース 13.2X51-D15 以降では、エグレス方向のループバック インターフェイスにフィルターを適用できます。

• (QFX10000)Junos OS リリース 18.2R1 以降、レイヤー 2 回線インターフェイスに および のポリサー アクションを使用 count して、イングレスおよび discard エグレス ファイアウォール フィルターを適用できるようになりました。

• (QFX10002-36Q、QFX10002-72Q、QFX10002-60C、QFX10008、QFX10016、PTX10008、PTX10016)Junos OSリリース19.2R1以降、IPv4およびIPv6インターフェイスのエグレス方向に 、 forwarding-class、 、および loss-priority 一致条件を適用interfaceできます。

ファイアウォール フィルターの構成

ファイアウォールフィルターを設定する場合、ファミリーアドレスタイプ(イーサネットスイッチング、inet(IPv4の場合)、inet6(IPv6の場合)、サーキットクロスコネクト(CCC)、またはMPLS)、フィルタリング基準(条件、一致条件を含む)、および一致した場合に実行するアクションを定義します。

各項は、以下で構成される。

• 一致条件 — パケットが一致と見なされるために含める必要がある値。IP、TCP、UDP、または ICMP ヘッダーのほとんどのフィールドの値を指定できます。また、インターフェイス名で一致することもできます。

• アクション — パケットが一致条件に一致した場合に実行されるアクション。ファイアウォールフィルターを設定して、一致するパケットを受け入れる、破棄する、または拒否し、カウント、分類、ポリシー実行などのより多くのアクションを実行できます。デフォルトのアクションは受け入れられます。

ファイアウォール フィルターの処理方法

フィルタに複数の項がある場合、項の順序は重要です。パケットが最初の条件に一致する場合、スイッチはその条件で定義されたアクションを実行し、他の条件は評価されません。スイッチがパケットと最初の条件の間に一致するものを見つけない場合、スイッチはパケットを次の条件と比較します。パケットと 2 番目の条件の間で一致が発生しない場合、システムは、一致が見つかるまで、フィルター内の連続する各条件とパケットを比較し続けます。条件が一致しない場合、スイッチはデフォルトでパケットを破棄します。