ファイアウォールフィルターの設定に関するガイドライン
このトピックでは、次の情報について説明します。
ファイアウォールフィルターを設定するためのステートメント階層
標準ファイアウォールフィルターを設定するには、以下のステートメントを含めることができます。IPv4 標準ファイアウォールフィルターの場合、 family inet
ステートメントはオプションです。IPv6 標準ファイアウォールフィルターの場合、 family inet6
ステートメントは必須です。
firewall { family family-name { filter filter-name { accounting-profile name; instance-shared; interface-specific; physical-interface-filter; term term-name { filter filter-name; } term term-name { from { match-conditions; ip-version ip-version { match-conditions; protocol (tcp | udp) { match conditions; } } } then { actions; } } } } }
ファイアウォールの設定は、以下の階層レベルのいずれかに含めることができます。
-
[edit]
-
[edit logical-systems logical-system-name]
ステートレス ファイアウォール フィルタリングの場合、トンネル宛先へのネクストホップ インターフェイスであるインターフェイスの入力トラフィックに適用されるファイアウォール フィルターを介した出力トンネル トラフィックを許可する必要があります。ファイアウォールフィルターは、トンネルを経由してルーター(またはスイッチ)から出るパケットにのみ影響します。
ACX7100プラットフォームでは、VPLS ファイアウォール フィルターは family
VPLS
ではなく family
ethernet-switching
で設定されます。管理フィルタはファミリ inet
または inet6
で設定され、構文は次の形式です。
set interfaces re0:mgmt-0 unit logical-unit-number family family-name
filter input filter-name.
ファイアウォール フィルター プロトコル ファミリー
ファイアウォールフィルターの設定は、特定のプロトコルファミリーに固有です。firewall
ステートメントの下に、トラフィックをフィルタリングするプロトコルファミリーを指定するステートメントのいずれかを含めます。
family any
- プロトコル非依存トラフィックをフィルタリングします。family inet
:IPv4(インターネット プロトコル バージョン 4)トラフィックをフィルタリングします。family inet6
- インターネット プロトコル バージョン 6(IPv6)トラフィックをフィルタリングします。family mpls
- MPLS トラフィックをフィルタリングします。family vpls
- VPLS(仮想プライベートLANサービス)トラフィックをフィルタリングします。family ccc
- レイヤー 2 CCC(回線相互接続)トラフィックをフィルタリングします。family bridge
—MXシリーズ3Dユニバーサルエッジルーターのみのレイヤー2ブリッジングトラフィックをフィルタリングします。family ethernet-switching
- レイヤー 2(イーサネット)トラフィックをフィルタリングします。
family family-name
ステートメントは、IPv4 以外のプロトコルファミリーを指定する場合にのみ必要です。IPv4ファイアウォールフィルターを設定するには、[edit firewall]
階層レベルと[edit firewall family inet]
階層レベルが同等であるため、family inet
ステートメントを含めずに、[edit firewall]
階層レベルでフィルターを設定できます。
ブリッジ ファミリー フィルターの場合、 ip-protocol 一致条件は IPv4 でのみサポートされ、IPv6 ではサポートされていません。これは、MX 3D MPCラインカードなど、Junos Trioチップセットをサポートするラインカードに適用されます。
ファイアウォールフィルターの名前とオプション
family family-name
ステートメントの下には、ファイアウォールフィルターを作成したり、名前を付けるための filter filter-name
ステートメントを含めることができます。フィルター名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
[edit firewall family family-name filter filter-name]
階層レベルでは、以下のステートメントはオプションです。
accounting-profile
instance-shared
(MPCS(Modular Port Concentrators)を搭載したMXシリーズルーターのみ)interface-specific
physical-interface-filter
ファイアウォールフィルターの用語
filter filter-name
ステートメントの下には、フィルター用語を作成したり命名するための term term-name
ステートメントを含めることができます。
ファイアウォールフィルターには、少なくとも 1 つの条件を設定する必要があります。
ファイアウォールフィルター内の各用語に固有の名前を指定する必要があります。条件名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
ファイアウォールフィルター設定内で用語を指定する順序は重要です。ファイアウォールフィルターの用語は、設定された順序で評価されます。既定では、新しい用語は常に既存のフィルターの最後に追加されます。
insert
設定モード コマンドを使用して、ファイアウォール フィルターの条件の順序を変更することができます。
[edit firewall family family-name filter filter-name term term-name]
階層レベルでは、filter filter-name
ステートメントは、from
または then
ステートメントと同じ用語では無効です。この階層レベルに含まれる場合、 filter filter-name
ステートメントはファイアウォールフィルターを入れ 子 にするために使用されます。
ファイアウォールフィルター一致条件
ファイアウォールフィルターの一致条件は、フィルタリングされるトラフィックのタイプに固有です。
MPLSタグ付きのIPv4またはIPv6トラフィックを除き、 from
ステートメントで条件の一致条件を指定します。MPLSタグ付きIPv4トラフィックの場合、 ip-version ipv4
ステートメントで条件のIPv4アドレス固有の一致条件を指定し、 protocol (tcp | udp)
ステートメントで条件のIPv4ポート固有の一致条件を指定します。
MPLSタグ付きIPv6トラフィックの場合、 ip-version ipv6
ステートメントで条件のIPv6アドレス固有の一致条件を指定し、 protocol (tcp | udp)
ステートメントで条件のIPv6ポート固有の一致条件を指定します。
表 1 ファイアウォール フィルターを設定できるトラフィックの種類について説明します。
トラフィック タイプ |
一致条件を指定する階層レベル |
---|---|
プロトコル非依存 |
一致条件の完全なリストについては、 プロトコル非依存型トラフィックのファイアウォールフィルター一致条件を参照してください。 |
IPv4 |
一致条件の完全なリストについては、 IPv4トラフィックのファイアウォールフィルター一致条件を参照してください。 |
IPv6 |
一致条件の完全なリストについては、 IPv6トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS |
一致条件の完全なリストについては、 MPLS トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS フローの IPv4 アドレス |
一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS フローの IPv4 ポート |
一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS フローの IPv6 アドレス |
一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。 |
MPLS フローの IPv6 ポート |
一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。 |
VPLS |
一致条件の完全なリストについては、 VPLSトラフィックのファイアウォールフィルター一致条件を参照してください。 |
レイヤー 2 CCC |
一致条件の完全なリストについては、 レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件を参照してください。 |
レイヤー 2 ブリッジング (MXシリーズルーターおよびEXシリーズスイッチのみ) |
一致条件の完全なリストについては、 レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件を参照してください。 |
一致条件( address
、 destination-address
、または source-address
一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング・アーキテクチャーで説明されているテキスト表現の構文 を使用してください。IPv6 アドレスの詳細については、「 IPv6 の概要 」および 「サポートされている IPv6 標準」を参照してください。
ファイアウォールフィルターアクション
ファイアウォールフィルター条件の then
ステートメントの下で、条件に一致するパケットに対して実行するアクションを指定できます。
表 2 は、ファイアウォールフィルターの条件で指定できるアクションの種類をまとめたものです。
アクションの種類 |
説明 |
コメント |
---|---|---|
終了 |
特定のパケットに対するファイアウォール フィルターのすべての評価を停止します。ルーター(またはスイッチ)は指定されたアクションを実行し、パケットの検査に追加の用語は使用されません。 ファイアウォールフィルターの条件に指定できる 終了アクション は1つだけです。フィルター条件内で複数の 終了アクション を指定しようとすると、最新の 終了アクション が既存の 終了アクションに置き換わります。ただし、1 つの用語に 1 つ以上の 非終了アクション を指定して、1 つの終了アクションを指定することができます。たとえば、用語内では、 |
ファイアウォールフィルターの終了アクションをご覧ください。 |
非終端 |
パケットに対して他の機能(カウンターのインクリメント、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報の送信など)を実行しますが、追加の用語はパケットの検査に使用されます。 |
すべての非終了アクションには、暗黙的な accept アクションが含まれます。この受け入れアクションは、同じ条件で他の終了アクションが設定されていない場合に実行されます。 ファイアウォールフィルター非終了アクションを参照してください。 |
フロー制御 |
標準のファイアウォールフィルターの場合のみ、 たとえば、非終了アクション |
同じフィルター条件内で、 標準 のファイアウォールフィルター設定ごとに、 最大 1024の 注:
Junos OS Evolved では、 はアクションの最終項として表示することは |