Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの構成に関するガイドライン

このトピックでは、以下の内容について説明します。

ファイアウォールフィルターを構成するためのステートメント階層

標準ファイアウォールフィルターを構成するには、以下のステートメントを含めることができます。IPv4 標準ファイアウォールフィルターの場合、 family inetこのステートメントはオプションです。IPv6 標準ファイアウォールフィルターの場合、 family inet6このステートメントは必須です。

ファイアウォール構成は、以下のいずれかの階層レベルに含めることができます。

  • [edit]

  • [edit logical-systems logical-system-name]

注:

ステートレスファイアウォールフィルタリングでは、トンネル宛先へのネクストホップインターフェイスであるインターフェイス上の入力トラフィックに適用されたファイアウォールフィルターを通過するために、出力トンネルトラフィックを許可する必要があります。ファイアウォールフィルターは、トンネルを介してルーター (またはスイッチ) から出てくるパケットのみに影響します。

ファイアウォールフィルタプロトコルファミリー

ファイアウォールフィルタ構成は、特定のプロトコルファミリーに固有のものです。firewallステートメントの下には、以下のいずれかのステートメントを記述して、トラフィックをフィルタリングするプロトコルファミリを指定します。

  • family any:プロトコルに依存しないトラフィックをフィルタします。

  • family inet:IPv4(インターネット プロトコル バージョン4)トラフィックをフィルタリングするには。

  • family inet6:IPv6(インターネット プロトコル バージョン 6)トラフィックをフィルタリングするには。

  • family mpls—トラフィックをMPLSするには。

  • family vpls:VPLS(仮想プライベート LAN サービス)トラフィックをフィルタリングします。

  • family ccc—レイヤー 2 回線クロスコネクション(CCC)トラフィックをフィルタリングするには。

  • family bridge:レイヤー 2 ブリッジング トラフィックを 3D ユニバーサル エッジ ルーター MX シリーズフィルタするには。

  • family ethernet-switching—レイヤー 2(イーサネット)トラフィックをフィルタリングするには。

このfamily family-nameステートメントは、IPv4 以外のプロトコルファミリーを指定する場合にのみ必要です。IPv4 ファイアウォールフィルターを構成する[edit firewall]には、 family inetステートメントを含めずに階層レベルでフィルターを設定できます[edit firewall][edit firewall family inet]階層レベルは同じであるためです。

注:

ブリッジ ファミリー フィルタでは 、IP プロトコル の一致条件は IPv4 でのみサポートされ、IPv6 ではサポートされていません。これは、MX 3D MPC ラインカードなどの Junos Trio チップセットをサポートするラインカードに適用されます。

ファイアウォールフィルターの名前とオプション

ステートメントのfamily family-name下では、ファイアfilter filter-nameウォールフィルターを作成し、名前を設定するステートメントを含めることができます。フィルター名には、文字、数字、ハイフン (-)、および最大64文字の長さを使用できます。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。

[edit firewall family family-name filter filter-name]階層レベルでは、以下の文はオプションです。

  • accounting-profile

  • instance-shared(MX シリーズルーター (モジュラーポートコンセントレーター) (MPCS) のみ)

  • interface-specific

  • physical-interface-filter

ファイアウォールフィルタ条件

ステートメントのfilter filter-name下では、フィルター term term-name条件を作成して名前を指定するステートメントを含めることができます。

  • ファイアウォールフィルターには、少なくとも1つの条件を設定する必要があります。

  • ファイアウォールフィルター内の各用語に一意の名前を指定する必要があります。名前には、文字、数字、ハイフン (-) を使用でき、最大64文字を使用できます。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。

  • ファイアウォールフィルタ構成内で条件を指定する順序は重要です。ファイアウォールフィルタ条件は、設定された順序で評価されます。デフォルトでは、新しい条件は常に既存のフィルタの末尾に追加されます。insert Configuration mode コマンドを使用して、ファイアウォールフィルターの条件を並べ替えることができます。

[edit firewall family family-name filter filter-name term term-name]階層レベルでは、 filter filter-nameステートメントは or fromthenステートメントと同じ条件では有効ではありません。この階層レベルに含まれているfilter filter-name場合、このステートメントはファイアウォールフィルターをネストするために使用されます。

ファイアウォールフィルターの検索条件

ファイアウォールフィルターの検索条件は、フィルタリング対象のトラフィックのタイプによって異なります。

タグ付き IPv4 MPLS IPv6 トラフィックを除き、ステートメントの下で条件の一致条件を指定 from します。MPLSタグ付き IPv4トラフィックについては、 ステートメントの下で条件のIPv4アドレス固有の一致条件、ステートメントの下で条件のIPv4ポート固有の一致条件を指定します。 ip-version ipv4protocol (tcp | udp)

MPLSタグ付き IPv6トラフィックについては、 ステートメントの下で条件のIPv6アドレス固有の一致条件、ステートメントの下で条件のIPv6ポート固有の一致条件を指定します。 ip-version ipv6protocol (tcp | udp)

表 1ファイアウォールフィルターを構成できるトラフィックのタイプについて説明します。

表 1: プロトコルファミリー別のファイアウォールフィルター条件

トラフィックタイプ

一致条件が指定された階層レベル

プロトコル非依存型

[edit firewall family any filter filter-name term term-name]

照合条件の完全なリストについては、プロトコルに依存しないトラフィックのためのファイアウォールフィルタマッチング条件を参照してください。

IPv4

[edit firewall family inet filter filter-name term term-name]

一致条件の完全なリストについては、「 IPv4 トラフィックのファイアウォールフィルターの一致条件」を参照してください。

IPv6

[edit firewall family inet6 filter filter-name term term-name]

照合条件の完全なリストについては、「 IPv6 トラフィックのファイアウォールフィルターのマッチング条件」を参照してください。

MPLS

[edit firewall family mpls filter filter-name term term-name]

照合条件の完全なリストについては、「 MPLS トラフィックに対するファイアウォールフィルターの検索条件」を参照してください。

データ フロー内の IPv4 MPLSアドレス

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルターの一致条件」を参照してください。

インターフェイス フローの IPv4 MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルターの一致条件」を参照してください。

データ フロー内の IPv6 MPLSアドレス

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルターの一致条件」を参照してください。

インターフェイス フローの IPv6 MPLS

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルターの一致条件」を参照してください。

VPLS

[edit firewall family vpls filter filter-name term term-name]

照合条件の完全なリストについては、 VPLS トラフィックのファイアウォールフィルター Match 条件を参照してください。

レイヤー 2 CCC

[edit firewall family ccc filter filter-name term term-name]

Match 条件の完全なリストについては、レイヤー 2 CCC トラフィックのファイアウォールフィルタマッチング条件を参照してください。

レイヤー 2 ブリッジング

(MX シリーズルーター EX シリーズスイッチのみ)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name](EX シリーズスイッチの場合のみ)

Match 条件の完全なリストについては、レイヤー2ブリッジングトラフィックのファイアウォールフィルター検索条件を参照してください。

一致条件(、 を一致条件)で IPv6 アドレスを指定する場合は addressdestination-addresssource-address 、RFC 4291、IP バージョン 6 アアドレス アーキテクチャ で説明されているテキスト表現の構文を使用します。IPv6 アドレスの詳細については、「 ipv6 の概要」および「サポートされる ipv6 規格」を参照してください。

ファイアウォールフィルタアクション

ファイアウォールthenフィルタ条件に対応する文の下で、条件に一致するパケットに対して実行するアクションを指定できます。

表 2ファイアウォールフィルタ条件で指定できるアクションのタイプをまとめたものです。

表 2: ファイアウォールフィルタアクションのカテゴリー

アクションのタイプ

説明

コメント

中断

特定のパケットについて、ファイアウォールフィルタの評価をすべて停止します。ルーター (またはスイッチ) は指定されたアクションを実行します。また、追加の条件を使用してパケットを検証することはありません。

ファイアウォールフィルタ条件には、終端アクションを1つだけ指定できます。ただし、1つの終端に終端アクション以外のアクションが含まれている場合は、それらを指定することができます。たとえば、and acceptcountsyslogを使用して指定できます。終了時のアクションを含む用語の数に関係なく、システムが終端のアクションを処理すると、ファイアウォールフィルター全体の処理が停止します。

ファイアウォールフィルターの中断アクションを参照してください。

終端以外

パケット上でその他の機能 (カウンターの増加、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、またはシステムログ機能を使用したリモートホストへの情報送信など) を実行しますが、その他の条件を使用してパック.

終了していないアクションには、すべて暗黙の accept アクションが含まれています。この accept アクションは、他の終端アクションが同じ用語で構成されていない場合に実行されます。

ファイアウォールフィルターの終端以外のアクションを参照してください。

フロー制御

標準ファイアウォールフィルターのみの場合next term 、アクションはルーター (またはスイッチ) に対して、パケット上で設定されたアクションを実行するよう指示し、フィルターを終了するのではなく、フィルターの次の用語を使用してパケットを評価します。このnext termアクションが含まれている場合、一致するパケットはファイアウォールフィルターの次の用語に対して評価されます。そうしないと、一致したパケットはファイアウォールフィルタの後続の条件に対して評価されません。

たとえば、条件を設定しないアクションを使用して条件を設定すると、その用語のアクションは暗黙的に countdiscard 変わります accept 。このnext termアクションにより、ファイアウォールフィルターの継続的な評価が強制的に実行されます。

同じフィルタ条件 next term で終了アクションを使用してアクションを設定することはできません。ただし、同じフィルタ条件で別の終端以外のアクションを使用して、次の条件を設定できます。

標準のファイアウォール フィルタ設定では、最大 1,024 next term のアクションがサポートされています。この制限を超える標準ファイアウォールフィルターを構成すると、受験者の設定によってコミットエラーが発生します。

注:

Junos OS 進化するとnext term 、そのアクションの最後の条件としては表示できません。フィルター条件がアクションnext termとして指定されていますが、合致する範囲が構成されていない場合、サポートされていません。