ファイアウォール フィルターの概要(QFX シリーズ)

フィルタを適用できる場所

ファイアウォールフィルターを構成した後、以下に適用できます。

• ポート — レイヤー 2 トラフィックトランジット システム ポートにフィルターを適用します。

• VLAN —VLAN に入るレイヤー 2 パケット、VLAN 内でブリッジされる、または VLAN を離れるレイヤー 2 パケットに対してフィルターとアクセス コントロールを提供します。

• レイヤー 3(ルート)インターフェイス—IPv4 および IPv6 インターフェイス、RVI(Routed VLAN Interface)、ループバック インターフェイス上のトラフィックをフィルターします。ループバックインターフェイスは、スイッチ自体に送信されたトラフィック、またはスイッチによって生成される通信をフィルタリングします。

• レイヤー 2 CCC インターフェイス:CCC(レイヤー 2 回線クロスコネクト)インターフェイスをフィルターします。

• MPLS—インターフェイスMPLSフィルタします。

また、QFX および EX4600 のスタンドアロンスイッチで、管理インターフェイス (たとえば、me0) にファイアウォールフィルターを適用することもできます。フィルタは、特定のアプリケーションやシステムの管理インターフェイスQFX3000-G QFX3000-M使用できます。

• (QFX シリーズ)Junos OS リリース 13.2 X51-D15 では、送信方向でループバックインターフェースにフィルターを適用できます。

• (QFX10000)Junos OS のリリース18.2 から開始して、レイヤー2サーキットインターフェイス上でのcountアクションdiscardとして and として受信および送信ファイアウォールフィルターを適用できます。

• (QFX10002-36Q、QFX10002-72Q、QFX10002-60C、QFX10008、QFX10016、PTX10008、PTX10016)Junos OS リリース19.2 以降では、IPv4 および IPv6 インターフェイスinterface上forwarding-classで、 loss-priority and と match 条件を送信方向に適用できます。

ファイアウォールフィルターの構成

ファイアウォールフィルターを構成する場合は、ファミリアドレスタイプ (イーサネットスイッチング、inet (IPv4 の場合)、inet6 (IPv6)、サーキットクロスコネクト (CCC)、または MPLS)、フィルタリング基準 (条件付き)、一致が発生した場合のアクションを定義します。

各条件は、以下のもので構成されています。

• 一致条件 — パケットが一致とみなす必要がある値。IP、TCP、UDP、または ICMP ヘッダーのほとんどのフィールドの値を指定できます。インターフェイス名についても照合できます。

• アクション — パケットが一致条件と一致した場合に実行されるアクション。条件に一致したパケットを受け入れたり、破棄または拒否したり、カウント、分類、ポリシー適用などの多くのアクションを実行したりするように、ファイアウォールフィルターを構成することができます。デフォルトのアクションは accept です。

ファイアウォールフィルターの処理方法

フィルターに複数の条件がある場合は、条件の順序が重要になります。パケットが最初の条件に一致した場合、その条件によって定義されたアクションを実行し、その他の条件は評価されません。スイッチがパケットと最初の用語の間に一致を見つけなかった場合、スイッチはパケットを次の用語と比較します。パケットと2つ目の条件が一致しない場合、システムは、一致が見つかるまで、フィルター内の連続する各用語とパケットを比較し続けます。条件に一致しない場合、デフォルトでは、スイッチはパケットを廃棄します。