ファイアウォールフィルターの概要(QFXシリーズ)
ACL( アクセスコントロールリスト )とも呼ばれるファイアウォールフィルターは、インターフェイスを通過するパケットを受け入れるか破棄するかを定義するルールを提供します。パケットが受け入れられた場合、サービスクラス(CoS)のマーキング(同様のタイプのトラフィックをグループ化し、各タイプのトラフィックを独自のサービス優先度を持つクラスとして扱う)やトラフィックのポリシー実行(送受信するトラフィックの最大レートを制御)など、より多くのアクションを設定できます。
ファイアウォール フィルターを設定して、ポート、VLAN、レイヤー 2 CCC、レイヤー 3(ルーテッド)インターフェイス、RVI(Routed VLAN Interface)、MPLS インターフェイスに出入りする前に、パケットを受け入れるか破棄するかを決定できます。
イングレス(入力) ファイアウォールフィルターは、インターフェイスまたはVLANに入るパケットに適用され、エグレス(出力)ファイアウォールフィルターはインターフェイスまたはVLANから出るパケットに適用されます。
ネットワーク ポート、レイヤー 2、レイヤー 3、または IRB インターフェイスのポリサーは、ホストバウンド トラフィックをポリサーしません。ただし、DDoS 攻撃を防御したい場合は、ルーティング エンジンを保護するファイアウォール フィルターを lo0 上に作成できます。
フィルターを適用できる場所
ファイアウォールフィルターを設定した後、以下に適用できます。
-
ポート—レイヤー 2 トラフィック転送システム ポートをフィルターします。
-
VLAN — VLAN に入る、VLAN 内でブリッジされる、または VLAN を離れるレイヤー 2 パケットのアクセス コントロールをフィルターして提供します。
-
レイヤー 3(ルーテッド)インターフェイス — IPv4 および IPv6 インターフェイス、RVI(Routed VLAN Interface)、ループバック インターフェイス上のトラフィックをフィルターします。ループバック インターフェイスは、スイッチ自体に送信されたトラフィック、またはスイッチによって生成されたトラフィックをフィルタリングします。
-
レイヤー2 CCCインターフェイス-レイヤー2回線クロスコネクト(CCC)インターフェイスをフィルターします。
-
MPLS — MPLS インターフェイスをフィルターします。
また、QFXおよびEX4600スタンドアロンスイッチの管理インターフェイス(me0など)にファイアウォールフィルターを適用することもできます。QFX3000-G または QFX3000-M システム上の管理インターフェイスにフィルターを適用することはできません。
特定の方向のポート、VLAN、またはレイヤー 2 CCC インターフェイスに適用できるファイアウォール フィルターは 1 つだけです。例えば、インターフェイスge-0/0/6.0では、イングレス方向に1つのフィルターを適用し、もう1つはエグレス方向に適用できます。
-
(QFX シリーズ)Junos OS リリース 13.2X51-D15 以降では、エグレス方向のループバック インターフェイスにフィルターを適用できます。
-
(QFX10000)Junos OS リリース 18.2R1 以降、レイヤー 2 回線インターフェイスに および のポリサー アクションを使用
count
して、イングレスおよびdiscard
エグレス ファイアウォール フィルターを適用できるようになりました。 -
(QFX10002-36Q、QFX10002-72Q、QFX10002-60C、QFX10008、QFX10016、PTX10008、PTX10016)Junos OSリリース19.2R1以降、IPv4およびIPv6インターフェイスのエグレス方向に 、
forwarding-class
、 、およびloss-priority
一致条件を適用interface
できます。
ファイアウォール フィルターの構成
ファイアウォールフィルターを設定する場合、ファミリーアドレスタイプ(イーサネットスイッチング、inet(IPv4の場合)、inet6(IPv6の場合)、サーキットクロスコネクト(CCC)、またはMPLS)、フィルタリング基準(条件、一致条件を含む)、および一致した場合に実行するアクションを定義します。
各項は、以下で構成される。
-
一致条件 — パケットが一致と見なされるために含める必要がある値。IP、TCP、UDP、または ICMP ヘッダーのほとんどのフィールドの値を指定できます。また、インターフェイス名で一致することもできます。
-
アクション — パケットが一致条件に一致した場合に実行されるアクション。ファイアウォールフィルターを設定して、一致するパケットを受け入れる、破棄する、または拒否し、カウント、分類、ポリシー実行などのより多くのアクションを実行できます。デフォルトのアクションは受け入れられます。
ファイアウォール フィルターの処理方法
フィルタに複数の項がある場合、項の順序は重要です。パケットが最初の条件に一致する場合、スイッチはその条件で定義されたアクションを実行し、他の条件は評価されません。スイッチがパケットと最初の条件の間に一致するものを見つけない場合、スイッチはパケットを次の条件と比較します。パケットと 2 番目の条件の間で一致が発生しない場合、システムは、一致が見つかるまで、フィルター内の連続する各条件とパケットを比較し続けます。条件が一致しない場合、スイッチはデフォルトでパケットを破棄します。
forwarding-class
、 、および loss-priority
一致条件を適用interface
できます。 count
して、イングレスおよび discard
エグレス ファイアウォール フィルターを適用できるようになりました。