Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

標準ファイアウォールフィルターの適用に関するガイドライン

ファイアウォールフィルターの適用の概要

標準のファイアウォールフィルターを、ルーターのループバックインターフェイス、またはルーターの物理インターフェイスまたは論理インターフェイスに適用できます。ファイアウォールフィルターは、単一のインターフェイスまたはルーター上の複数のインターフェイスに適用できます表 1 は、フィルターをアタッチしたポイントに基づくファイアウォールフィルターの動作を要約しています。

表 1: フィルター接続ポイント別のファイアウォールフィルターの動作

フィルターアタッチメントポイント

フィルターの動作

ループバック インターフェイス

ルーターのループバックインターフェイスである lo0は、ルーティングエンジンへのインターフェイスであり、データパケットを伝送しません。ファイアウォールフィルターをループバックインターフェイスに適用すると、フィルターはルーティングエンジンによって受信または送信されたローカルパケットを評価します。

注:

  • ACX5048およびACX5096ルーターは、ループバックインターフェイスフィルター用のルーティングエンジンによって送信されたパケットの評価をサポートしていません。

物理インターフェイスまたは論理インターフェイス

ルーター上の物理インターフェイスまたは論理インターフェイス(またはインターフェイス上で定義された集合型イーサネットバンドルのメンバー)にフィルターを適用すると、フィルターはそのインターフェイスを通過するすべてのデータパケットを評価します。

複数のインターフェイス

同じファイアウォールフィルターを1回以上使用できます。

M120およびM320ルーターを除くMシリーズルーターでは、ファイアウォールフィルターを複数のインターフェイスに適用すると、フィルターはそれらのインターフェイスから送受信されるトラフィックの合計に作用します。

T Series、M120、M320、およびMXシリーズルーターでは、インターフェイスは複数のパケット転送コンポーネントに分配されます。これらのルーターでは、ファイアウォールフィルターとサービスフィルターを設定し、複数のインターフェイスに適用すると、複数のインターフェイスのトラフィックの合計に関係なく、各インターフェイスから送受信される個々のトラフィックストリームに作用することができます。

詳細については、 インターフェイス固有のファイアウォールフィルターインスタンスの概要を参照してください。

プロトコル非依存型およびプロトコル固有のファイアウォールフィルターが接続された単一インターフェイス

以下のハードウェアでホストされているインターフェイスの場合のみ、プロトコル非依存(family any)ファイアウォールフィルターとプロトコル固有(family inet または family inet6)ファイアウォールフィルターを同時にアタッチできます。プロトコル非依存型ファイアウォールが最初に実行されます。

  • ACXシリーズユニバーサルメトロルーター

  • M7iおよびM10iマルチサービスエッジルーターのフレキシブルPICコンセントレータ(FPC)

  • MXシリーズ5Gユニバーサルルーティングプラットフォームにおけるモジュラーインターフェイスカード(MIC)とモジュラーポートコンセントレータ(MPC)

  • Tシリーズコアルーター

注:

以下のハードウェアでホストされているインターフェイスは、プロトコル非依存型ファイアウォールフィルターをサポートしていません。

  • M120ルーターのフォワーディングエンジンボード(FEB)

  • M320ルーターの拡張III FPC

  • MXシリーズルーターのFPC2およびFPC3モジュール

  • MXシリーズルーターの高密度ポートコンセントレータ(DPC)

  • PTXシリーズパケットトランスポートルーター

ファイアウォールフィルターを適用するためのステートメント階層

論理インターフェイスに標準ファイアウォールフィルターを適用するには、[edit] 階層レベルまたは [edit logical-systems logical-system-name]階層レベルで定義された論理インターフェイスに filter ステートメントを設定します。filter ステートメントの下には、以下のステートメントを 1 つ以上含めることができます。group group-numberinput filter-nameinput-list filter-nameoutput filter-name、またはoutput-list filter-namefilter ステートメントをアタッチする階層レベルは、設定するフィルター タイプとデバイス タイプによって異なります。

MXシリーズルーターのプロトコル非依存型ファイアウォールフィルター

プロトコル非依存型ファイアウォールフィルターをMXシリーズルーター上の論理インターフェイスに適用するには、論理ユニットの下に filterステートメントを設定します。

論理インターフェイス上の他のすべてのファイアウォール フィルター

MX シリーズルーターのプロトコル非依存型フィルター 以外の すべてのケースで 、論理インターフェイスに標準ファイアウォールフィルターを適用するには、プロトコルファミリーで filter ステートメントを設定します。

ファイアウォールフィルターの適用に関する制限

論理インターフェイス当たりの入力および出力フィルターの数

Input filters- 同じフィルターを複数回使用できますが、インターフェイスに適用できるのは1つの入力フィルターまたは1つの入力フィルターリストのみです。

  • インターフェイスで受信したパケットの評価に使用する単一のファイアウォールフィルターを指定するには、filter スタンザに input filter-name ステートメントを含めます。

  • インターフェイスで受信したパケットの評価に使用するファイアウォールフィルターの順序付きリストを指定するには、filter スタンザに input-list [ filter-names ] ステートメントを含めます。フィルター入力リストには、最大 16 個のファイアウォール フィルターを指定できます。

Output filters- 同じフィルターを複数回使用できますが、インターフェイスに適用できるのは1つの出力フィルターまたは1つの出力フィルターリストのみです。

  • インターフェイスで送信されるパケットの評価に使用する単一のファイアウォールフィルターを指定するには、filterスタンザに output filter-nameステートメントを含めます。

  • インターフェイスで送信されるパケットの評価に使用するファイアウォールフィルターの順序付きリストを指定するには、filterスタンザに output-list [ filter-names ] ステートメントを含めます。フィルター出力リストには、最大 16 個のファイアウォール フィルターを指定できます。

リスト内のMPLSおよびレイヤー2 CCCファイアウォールフィルター

cccおよびmplsプロトコルファミリーのファイアウォールフィルターのinput-list filter-namesおよびoutput-list filter-namesステートメントは、以下を除くすべてのインターフェイスでサポートされています。

  • 管理インターフェイスと内部イーサネット インターフェイス(fxp または em0)

  • ループバック インターフェイス(lo0)

  • USB モデム インターフェイス(umd)

MXシリーズルーターおよびEXシリーズスイッチのレイヤー2 CCCファイアウォールフィルター

MXシリーズルーターとEX シリーズスイッチでのみ、レイヤー 2 CCCステートレスファイアウォールフィルター( [edit firewall filter family ccc] 階層レベルで設定されたファイアウォールフィルター)を出力フィルターとして適用することはできません。MX シリーズルーターおよび EX シリーズスイッチでは、 family ccc ステートメント用に設定されたファイアウォールフィルターは、入力フィルターとしてのみ適用できます。

PTXシリーズパケットトランスポートルーターのIPv6ファイアウォールフィルター

PTX10001-20C ルーターでは、IPv6 ファイアウォールフィルターを次の目的に適用することはできません。

  • トンネル用インターフェイス数

  • IRB インターフェイス

  • エグレスインターフェイス

  • [edit firewall family inet6 filter filter-name]階層レベルで設定されるインターフェイス固有のフィルター。

  • 交通ポリサー

  • Junos Telemetry Interface

関連項目