ファイアウォールフィルターの設定ガイドライン
このトピックでは、次の情報について説明します。
ファイアウォールフィルターを設定するためのステートメント階層
標準のファイアウォールフィルターを設定するには、以下のステートメントを含めることができます。IPv4標準ファイアウォールフィルターの場合、 family inet ステートメントはオプションです。IPv6標準ファイアウォールフィルターの場合、 family inet6 ステートメントは必須です。
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
以下の階層レベルのいずれかにファイアウォール設定を含めることができます。
-
[edit] -
[edit logical-systems logical-system-name]
ステートレスファイアウォールフィルタリングの場合、トンネル宛先へのネクストホップインターフェイスであるインターフェイス上の入力トラフィックに適用されるファイアウォールフィルターを介した出力トンネルトラフィックを許可する必要があります。ファイアウォールフィルターは、トンネルを経由してルーター(またはスイッチ)から出るパケットのみに影響を与えます。
ACX7100プラットフォームでは、VPLSファイアウォールフィルターはfamily VPLSではなくfamily ethernet-switchingで設定されます。管理フィルターは、ファミリーinetまたはinet6で設定され、構文は次の形式です。
set interfaces re0:mgmt-0 unit logical-unit-number family family-name filter input filter-name.
ファイアウォールフィルタープロトコルファミリー
ファイアウォールフィルターの設定は、特定のプロトコルファミリーに固有です。 firewall ステートメントの下に、以下のいずれかのステートメントを含めて、トラフィックをフィルタリングするプロトコルファミリーを指定します。
family any—プロトコル非依存型トラフィックをフィルタリングします。family inet—Internet Protocol version 4(IPv4)トラフィックをフィルタリングします。family inet6—Internet Protocol version 6(IPv6)トラフィックをフィルタリングします。family mpls—MPLSトラフィックをフィルタリングします。family vpls—仮想プライベートLANサービス(VPLS)トラフィックをフィルタリングします。family ccc- レイヤー 2 CCC(回線クロスコネクション)トラフィックをフィルタリングします。family bridge- MX シリーズ3Dユニバーサルエッジルーターのレイヤー2 ブリッジングトラフィックのみをフィルターします。family ethernet-switching—レイヤー2 (イーサネット)トラフィックをフィルタリングします。
family family-nameステートメントは、IPv4以外のプロトコルファミリーを指定する場合にのみ必要です。IPv4ファイアウォールフィルターを設定するには、[edit firewall]階層レベルと[edit firewall family inet]階層レベルが同一であるため、family inetステートメントを含まずに[edit firewall]階層レベルでフィルターを設定することができます。
ブリッジ ファミリー フィルターの場合、 ip-protocol 一致基準は IPv4 でのみサポートされ、IPv6 ではサポートされません。これは、MX 3D MPCラインカードなど、Junos Trioチップセットをサポートするラインカードに適用されます。
ファイアウォールフィルター名とオプション
family family-nameステートメントの下に、ファイアウォールフィルターを作成し、名前を付けるためのfilter filter-nameステートメントを含めることができます。フィルター名には、文字、数字、ハイフン(-)を使用でき、最大64文字まで使用できます。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
[edit firewall family family-name filter filter-name]階層レベルでは、以下のステートメントはオプションです。
accounting-profileinstance-shared(MPCS(モジュラーポートコンセントレータ)を搭載したMXシリーズルーターのみ)interface-specificphysical-interface-filter
ファイアウォールフィルターの用語
filter filter-nameステートメントの下に、フィルター条件を作成し、名前を付けるためのterm term-nameステートメントを含めることができます。
ファイアウォールフィルターに少なくとも1つの条件を設定する必要があります。
ファイアウォールフィルター内の各用語に一意の名前を指定する必要があります。用語名には、文字、数字、ハイフン(-)を含めることができ、最大64文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
ファイアウォールフィルター設定内で用語を指定する順序は重要です。ファイアウォールフィルターの用語は、設定された順番に評価されます。デフォルトでは、新しい用語は常に既存のフィルターの最後に追加されます。
insert設定モードコマンドを使用して、ファイアウォールフィルターの条件を並べ替えることができます。
[edit firewall family family-name filter filter-name term term-name]階層レベルでは、filter filter-nameステートメントはfromステートメントやthenステートメントと同じ条件では有効ではありません。この階層レベルに含まれる場合、filter filter-nameステートメントはファイアウォールフィルターのネストに使用されます。
ファイアウォールフィルター一致条件
ファイアウォールフィルターの一致条件は、フィルタリングされるトラフィックのタイプに固有です。
MPLSタグ付き IPv4 または IPv6 トラフィックを除き、 from ステートメントの下で条件の一致条件を指定します。MPLSタグ付き IPv4 トラフィックの場合、 ip-version ipv4 ステートメントで条件の IPv4 アドレス固有の一致条件を指定し、 protocol (tcp | udp) ステートメントで条件の IPv4 ポート固有の一致条件を指定します。
MPLSタグ付きIPv6トラフィックの場合、 ip-version ipv6 ステートメント下で条件のIPv6アドレス固有の一致条件を指定し、 protocol (tcp | udp) ステートメント下で条件のIPv6ポート固有の一致条件を指定します。
表1に 、ファイアウォールフィルターを設定できるトラフィックのタイプを示します。
トラフィックタイプ |
一致条件を指定する階層レベル |
|---|---|
プロトコル非依存 |
一致条件の全リストについては、 プロトコル非依存型トラフィックのファイアウォールフィルター一致条件を参照してください。 |
IPv4 |
一致条件の完全なリストについては、 IPv4トラフィックのファイアウォールフィルター一致条件を参照してください。 |
IPv6 |
一致条件の完全なリストについては、 IPv6トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS |
一致条件の完全なリストについては、 MPLSトラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS フローの IPv4 アドレス |
一致条件の完全なリストについては、 MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLSフローの IPv4 ポート |
一致条件の完全なリストについては、 MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS フローの IPv6 アドレス |
一致条件の完全なリストについては、 MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS フローの IPv6 ポート |
一致条件の完全なリストについては、 MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件を参照してください。 |
VPLS |
一致条件の全リストについては、 VPLSトラフィックのファイアウォールフィルター一致条件を参照してください。 |
レイヤー 2 CCC |
一致条件の完全なリストについては、 レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件を参照してください。 |
レイヤー 2 ブリッジング (MX シリーズルーターおよびEXシリーズスイッチのみ) |
一致条件の全リストについては、 レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件を参照してください。 |
一致条件( address、 destination-address、または source-address 一致条件)でIPv6アドレスを指定する場合は、RFC 4291、 IPバージョン 6アドレッシングアーキテクチャに記載されているテキスト表現の構文を使用します。IPv6アドレスの詳細については、 IPv6 の概要と サポートされているIPv6標準を参照してください。
ファイアウォールフィルターアクション
ファイアウォールフィルター条件の then ステートメントでは、条件に一致するパケットに対して実行するアクションを指定できます。
表2 は、ファイアウォールフィルターの条件で指定できるアクションのタイプをまとめたものです。
アクションの種類 |
説明 |
コメント |
|---|---|---|
終端中 |
特定のパケットに対するファイアウォールフィルターのすべての評価を停止します。ルーター(またはスイッチ)は指定されたアクションを実行し、パケットの検査に追加の用語は使用されません。 ファイアウォールフィルター条件で指定できる終了アクションは1つだけです。フィルター条件内で複数の終了アクションを指定しようとすると、最新の終了アクションが既存の終了アクションに置き換わります。ただし、1つの条件で1つ以上の終了アクションを使用して、1つの終了アクションを指定することはできます。例えば、条件内で、 |
ファイアウォールフィルター終了アクションを参照してください。 |
非終端 |
パケットに対してその他の機能(カウンターのインクリメント、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報送信など)を実行しますが、追加の用語はパケットの検査に使用されます。 |
すべての非終了アクションには、暗黙のacceptアクションが含まれます。このacceptアクションは、同じ条件で他の終了アクションが設定されていない場合に実行されます。 ファイアウォールフィルター非終了アクションを参照してください。 |
フロー制御 |
標準ファイアウォールフィルターの場合のみ、 例えば、非終了アクション |
同じフィルター条件内の終了アクションで 標準ファイアウォールフィルター設定ごとに、最大1024 の
注:
Junos OS Evolvedでは、 |