Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

標準ファイアウォール フィルターを適用するためのガイドライン

ファイアウォール フィルターの適用の概要

標準のファイアウォールフィルターは、ルーター上のループバックインターフェイス、またはルーター上の物理または論理インターフェイスに適用できます。ファイアウォールフィルターは、単一のインターフェイスまたはルーター上の複数のインターフェイスに適用できます。表 1 は、フィルターをアタッチするポイントに基づいたファイアウォール フィルターの動作を要約しています。

表 1: フィルター添付ポイントによるファイアウォール フィルターの動作

フィルタ取り付けポイント

フィルター動作

ループバック インターフェイス

ルーターのループバックインターフェイスである、 lo0はルーティングエンジンへのインターフェイスであり、データパケットは伝送されません。ループバックインターフェイスにファイアウォールフィルターを適用すると、ルーティングエンジンが受信または送信したローカルパケットを評価します。

注:

  • ACX5048およびACX5096ルーターは、ループバックインターフェイスフィルター用のルーティングエンジンによって送信されるパケットの評価をサポートしていません。

物理インターフェイスまたは論理インターフェイス

ルーター上の物理インターフェイス、または論理インターフェイス(またはインターフェイスで定義された集合型イーサネットバンドルのメンバー)にフィルターを適用すると、そのインターフェイスを通過するすべてのデータパケットが評価されます。

複数のインターフェイス

同じファイアウォールフィルターを1回以上使用できます。

Mシリーズルーター(M120およびM320ルーターを除く)では、ファイアウォールフィルターを複数のインターフェイスに適用すると、フィルターは、これらのインターフェイスに出入りするトラフィックの合計に作用します。

T Series、M120、M320、およびMXシリーズルーターでは、インターフェイスは複数のパケット転送コンポーネントに分散されます。これらのルーターでは、ファイアウォールフィルターとサービスフィルターを設定し、複数のインターフェイスに適用された場合、複数のインターフェイス上のトラフィックの合計に関係なく、各インターフェイスに出入りする個々のトラフィックストリームに対して動作します。

詳細については、 インターフェイス固有のファイアウォールフィルターインスタンスの概要を参照してください。

プロトコル非依存型およびプロトコル固有のファイアウォールフィルターが接続された単一のインターフェイス

以下のハードウェアでのみホストされているインターフェイスの場合、プロトコル非依存(family any)ファイアウォールフィルターとプロトコル固有の(family inet または family inet6)ファイアウォールフィルターを同時にアタッチできます。プロトコル非依存型ファイアウォールが最初に実行されます。

  • ACXシリーズユニバーサルメトロルーター

  • M7iおよびM10iマルチサービスエッジルーターにおけるフレキシブルPICコンセントレータ(FPC)

  • MXシリーズ5Gユニバーサルルーティングプラットフォームのモジュラーインターフェイスカード(MIC)とMPC(モジュラーポートコンセントレータ)

  • T シリーズ コア ルーター

注:

以下のハードウェアでホストされるインターフェイスは、プロトコル非依存型ファイアウォールフィルターをサポートしていません。

  • M120ルーターのFEB(転送エンジンボード)

  • M320 ルーターの拡張 III FPC

  • MX シリーズ ルーターの FPC2 および FPC3 モジュール

  • MXシリーズルーターの高密度ポートコンセントレータ(DPC)

  • PTXシリーズ・パケット・トランスポート・ルーター

ファイアウォールフィルターを適用するためのステートメント階層

標準のファイアウォールフィルターを論理インターフェイスに適用するには、 または [edit logical-systems logical-system-name] 階層レベルで定義された論理インターフェイスに ステートメントを[edit]設定filterします。ステートメントの下には filter 、以下のステートメントのうち1つ以上を含めることができます。group group-number、 、 input filter-nameinput-list filter-nameoutput filter-name、または output-list filter-name。ステートメントをアタッチ filter する階層レベルは、設定するフィルタータイプとデバイスタイプによって異なります。

MXシリーズルーターのプロトコル非依存型ファイアウォールフィルター

MXシリーズルーターの論理インターフェイスにプロトコル非依存型ファイアウォールフィルターを適用するには、 論理ユニットの下で ステートメントを直接設定filterします。

論理インターフェイス上のその他のすべてのファイアウォール フィルター

MXシリーズルーターのプロトコル非依存型フィルター 以外 のすべてのケースで、標準のファイアウォールフィルターを論理インターフェイスに適用するには、 プロトコルファミリーの下で filter ステートメントを設定します。

ファイアウォール フィルターの適用に関する制限

論理インターフェイス当たりの入出力フィルター数

Input filters-同じフィルターを複数回使用することはできますが、1 つの入力フィルターまたは 1 つの入力フィルター リストのみをインターフェイスに適用できます。

  • インターフェイスで受信したパケットを評価するために使用する単一のファイアウォールフィルターを指定するには、スタンザに input filter-name ステートメントを filter 含めます。

  • インターフェイスで受信したパケットを評価するために使用するファイアウォールフィルターの順序指定リストを指定するには、スタンザに ステートメントをfilterinput-list [ filter-names ]めます。フィルター入力リストには、最大 16 個のファイアウォール フィルターを指定できます。

Output filters- 同じフィルターを複数回使用することはできますが、1 つの出力フィルターまたは 1 つの出力フィルター リストのみをインターフェイスに適用できます。

  • インターフェイス上で送信されるパケットを評価するために使用する単一のファイアウォールフィルターを指定するには、スタンザに output filter-name ステートメントを filter 含めます。

  • インターフェイス上で送信されるパケットを評価するために使用するファイアウォールフィルターの順序指定リストを指定するには、スタンザに ステートメントをfilteroutput-list [ filter-names ]めます。フィルター出力リストには、最大 16 個のファイアウォール フィルターを指定できます。

リスト内の MPLS およびレイヤー 2 CCC ファイアウォール フィルター

input-list filter-namesおよび プロトコルファミリーのファイアウォールフィルターの ccc および output-list filter-namesmpls ステートメントは、以下を除くすべてのインターフェイスでサポートされています。

  • 管理インターフェイスと内部イーサネット インターフェイス(fxp または em0)

  • ループバック インターフェイス(lo0)

  • USBモデムインターフェイス(umd)

MXシリーズルーターとEXシリーズスイッチ上のレイヤー2 CCCファイアウォールフィルター

MXシリーズルーターとEXシリーズスイッチでのみ、レイヤー2 CCCステートレスファイアウォールフィルター(階層レベルで [edit firewall filter family ccc] 設定されたファイアウォールフィルター)を出力フィルターとして適用することはできません。MXシリーズルーターとEXシリーズスイッチでは、 ステートメントに family ccc 設定されたファイアウォールフィルターは、入力フィルターとしてのみ適用できます。

PTXシリーズパケットトランスポートルーターのIPv6ファイアウォールフィルター

PTX10001-20C ルーターでは、IPv6 ファイアウォール フィルターを以下に適用することはできません。

  • トンネル用インターフェイス数

  • IRB インターフェイス

  • エグレス インターフェイス

  • 階層レベルで設定されたインターフェイス固有の [edit firewall family inet6 filter filter-name] フィルター。

  • トラフィック ポリサー

  • Junos Telemetry Interface

関連項目