Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルタプランとは

ファイアウォールフィルターを作成して適用する前に、フィルターを実行する方法と、その条件とアクションを使用して目標を達成する方法を決定します。パケットの照合方法、デフォルトおよび設定済みのファイアウォールフィルターのアクション、ファイアウォールフィルタを適用する場所を理解しておくことが重要です。

ポート、VLAN、またはルーターインターフェイスごとに、1つの方向 (入力および出力) ごとに、複数のファイアウォールフィルターを適用することはできません。たとえば、特定のポートに対しては、入力方向で1つのフィルターと、出力方向に1つのフィルターを適用できます。1つのファイアウォールフィルターに含める条件 (ルール) 数を控えめに考慮する必要があります。この場合、コミット操作中に処理時間が長くかかるため、テストやトラブルシューティングが困難になる可能性があるからです。

ファイアウォールフィルターを構成して適用する前に、それぞれの質問に回答してください。

  1. このフィルターの目的は何でしょうか。

    たとえば、システムは、header 情報に基づいてパケットをドロップし、速度とトラフィックを制限し、パケットを転送クラス、ログ、カウントパケット、またはサービス拒否攻撃から保護することができます。

  2. 適切な対応条件は何でしょうか。パケットに含める必要があるパケットヘッダーフィールドを特定します。以下のフィールドがあります。

    • レイヤー 2 ヘッダー フィールド — 送信元と宛先の MAC アドレス、802.1Q タグ、イーサネット タイプ、または VLAN。

    • レイヤー 3 ヘッダー フィールド - 送信元と宛先の IP アドレス、プロトコル、IP オプション(IP の優先、IP フラグメント化フラグ、TTL タイプ)

    • TCP ヘッダー フィールド — 送信元と宛先のポートとフラグ。

    • ICMP ヘッダー フィールド — パケット タイプとコード。

  3. 対戦が発生した場合に、どのような対策を講じるか?

    パケットの受け入れ、破棄、または拒否を行うことができます。

  4. 追加のアクション修飾子が必要になる場合があります。

    たとえば、指定したポートにパケットをミラー (コピー) したり、マッチングパケットをカウントしたり、トラフィック管理やポリシーのポリシーを適用したりするようにシステムを設定できます。

  5. ファイアウォールフィルターを適用する必要があるのは、ポート、ルーターインターフェイス、または VLAN についてですか?

    まず、次の基本的なガイドラインに従ってください。

    • レイヤー 2 インターフェイス(ポート)でパケットが受信または離れる場合は、階層レベルでフィルタを [edit family ethernet switching filter] 適用します。これはポートフィルターです。

    • 特定の VLAN にあるポートに出入りするパケットがフィルタリングする必要がある場合は、VLAN フィルターを使用します。

    • レイヤー 3(ルート)インターフェイスまたはRVI(RoutedVLAN Interface)を受信または離れるパケットをフィルタリングする必要がある場合は、ルーター ファイアウォール フィルタを使用します。階層レベルの[edit family inet]インターフェイスにフィルターを適用します。また、ループバックインターフェイスにルーターファイアウォールフィルターを適用することもできます。

    ファイアウォールフィルターを適用するインターフェイスまたは VLAN を選択する前に、その配置が他のインターフェイスへのトラフィックフローにどのように影響するかを理解しておく必要があります。一般的に、送信元または宛先の IP アドレス、IP プロトコル、プロトコル情報(ICMP メッセージ タイプ、TCP または UDP ポート番号など)でフィルターが一致する場合、送信元デバイスの近くにフィルタを適用します。ただし、フィルターが送信元 IP アドレスのみに一致する場合は、宛先デバイスに近いフィルターを適用する必要があります。フィルターをソースデバイスにより近くに適用すると、フィルターによって、ソースデバイスからネットワーク上で利用可能な他のサービスにアクセスできなくなる可能性があります。

    注:

    送信ファイアウォールフィルターは、ルーティングエンジンからローカルに生成された制御パケットのフローに影響を与えません。

  6. ファイアウォールフィルターを適用する方向を選択してください。

    通常は、インターフェイスを通過するトラフィック用に設定するよりも、インターフェイスを通過するためのさまざまなアクションを設定します。

  7. いくつのフィルターを作成する必要がありますか?

    適用可能なファイアウォールフィルターの詳細については、作成するファイアウォールフィルターの数を計画するを参照してください。