Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーティングポリシーとファイアウォールフィルターの比較

ルーティングポリシーとファイアウォールフィルターはアーキテクチャを共有しますが、その目的、実装、および設定は異なります。 表 1 、その目的について説明します。 表 2 は、ルーティングポリシーとファイアウォールフィルターの実装の詳細を比較し、それらの設定の類似点と相違点を強調しています。

表 1: ルーティングポリシーとファイアウォールフィルターの目的

ポリシー

ソース:

ポリシーの目的

ルーティングポリシー

ルーティング情報は、内部ネットワーク ピアによって生成されます。

ルーティング テーブルのサイズと内容、アドバタイズするルート、さまざまな宛先に到達するのに最適と見なされるルートを制御する。

ファイアウォールフィルター

パケットは、敵対的な攻撃が実行される可能性のある内部および外部のデバイスによって生成されます。

ネットワーク サービスを中断する可能性のある過剰な着信トラフィックや悪意のある攻撃からルーターとネットワークを保護し、どのパケットがどのルーター インターフェイスから転送されるかを制御するため。
表 2: ルーティングポリシーとファイアウォールフィルターの実装の違い

ポリシー アーキテクチャ

ルーティングポリシーの実装

ファイアウォールフィルターの実装

コントロールポイント

インポート・ルーティング・ポリシーを使用してルーティング・テーブルに配置され、エクスポート・ルーティング・ポリシーを使用してルーティング・テーブルからアドバタイズされるルーティング情報を制御します。

入力ファイアウォール フィルターを備えたルーター インターフェイスで受け入れられ、出力ファイアウォール フィルターを備えたインターフェイスから転送されるパケットを制御します。

構成タスク:

  • ポリシーの定義

  • ポリシーの適用

用語、一致条件、およびアクションを含むポリシーを定義します。

1つ以上のエクスポートまたはインポートポリシーをルーティングプロトコルに適用します。また、複数のインポートまたはエクスポートポリシーでブール論理演算子を使用する ポリシー式を適用することもできます。

また、1 つ以上のエクスポート ポリシーを転送テーブルに適用することもできます。

用語、一致条件、およびアクションを含むポリシーを定義します。

1 つの入力または出力ファイアウォール フィルターを物理インターフェイスまたは物理インターフェイス グループに適用して、物理インターフェイスで受信または物理インターフェイスに転送されたデータ パケットをフィルタリングします(インターネット プロセッサー II ASIC(特定用途向け集積回路)を搭載したルーティング プラットフォームのみ)。

また、1 つの入力または出力ファイアウォール フィルターを、ルーティング エンジンへのインターフェイスであるルーティング プラットフォームのループバック インターフェイス(すべてのルーティング プラットフォーム上の)に適用することもできます。これにより、ルーティングエンジンが受信またはルーティングエンジンから転送するローカルパケットをフィルタリングできます。

条件

必要な数の用語を構成します。各項の名前を定義します。

用語は、指定した順序で評価されます。

ポリシーの評価は、パケットが用語の基準に一致し、定義済みまたはデフォルトのポリシーアクション(受け入れまたは拒否)が実行された後に終了します。ルートは、同じポリシーまたは後続のポリシー内の後続の条件に対して評価されません。

必要な数の用語を構成します。各項の名前を定義します。

用語は、指定した順序で評価されます。

ファイアウォールフィルターの評価は、パケットが条件の基準に一致し、定義済みアクションまたはデフォルトアクションが実行された後に終了します。パケットは、ファイアウォールフィルター内の後続の条件に対して評価されません。

一致条件

ルートが一致する必要がある 0 個以上の条件を指定します。ルートの送信元、宛先、またはプロパティに基づいて条件を指定できます。また、追加の設定が必要な以下の一致条件を指定することもできます。

  • 自律システム(AS)パス式 - AS 番号と正規表現演算子の組み合わせ。

  • コミュニティ - 共通のプロパティを共有する宛先のグループ。

  • プレフィックス リスト - プレフィックスの名前付きリスト。

  • ルート リスト—宛先プレフィックスのリスト。

  • サブルーチン—他のルーティングポリシーから繰り返し呼び出されるルーティングポリシー。

パケットが一致する必要がある 0 個以上の基準を指定します。パケットのヘッダーのさまざまなフィールドを一致させる必要があります。フィールドは、次のカテゴリに分類されます。

  • ポート番号やプロトコル番号などの数値。

  • IP 送信元プレフィックスと宛先プレフィックスなどのプレフィックス値。

  • ビットフィールド値—IPオプション、伝送制御プロトコル(TCP)フラグ、IPフラグメント化フィールドなど、フィールド内の特定のビットが設定されているかどうか。フィールドは、ブール論理演算子を使用して指定できます。

アクション

ルートがすべての条件に一致する場合に実行するアクションを 0 個または 1 個指定します。次のアクションを指定できます。

  • Accept—ルートをルーティングテーブルに受け入れ、伝送します。このアクションが実行されると、後続の条件とポリシーの評価は終了します。

  • 拒否—ルーティングテーブルにルートを承認せず、伝送しません。このアクションが実行されると、後続の条件とポリシーの評価は終了します。

上記のアクションに加えて、次のタイプのアクションを 0 個以上指定することもできます。

  • 次の条件—ルーティングポリシーの次の条件を評価します。

  • 次のポリシー:次のルーティング ポリシーを評価します。

  • ルーティング プロトコルがルートをルーティング テーブルに配置したり、ルーティング テーブルからアドバタイズしたりする際に、ルートに関連付けられた特性を操作するアクション。

  • トレース アクション:ルートの一致をログに記録します。

パケットがすべての基準に一致した場合に実行するアクションを 0 個または 1 個指定します。(常にアクションを明示的に設定することをお勧めします)。次のアクションを指定できます。

  • 受け入れ - パケットを受け入れます。

  • 破棄 - ICMP メッセージを送信せずに、気付かれることなくパケットを破棄します。

  • 拒否—パケットを破棄し、ICMP 宛先到達不能メッセージを送信します。

  • ルーティングインスタンス—パケットが転送されるルーティングテーブルを指定します。

  • 次の条件 - ファイアウォール フィルターで次の条件を評価します。

    注:

    Junos OS Evolved では、 はアクションの最終項として表示することはnext termできません。設定した一致条件なしで next term がアクションとして指定されるフィルター項はサポートされていません。

0 個または前のアクションに加えて、0 個以上のアクション修飾子を指定することもできます。次のアクション修飾子を指定できます。

  • カウント—カウント合計にパケットを追加します。

  • 転送クラス—パケット転送クラスを0〜3の指定値に設定します。

  • IPsec セキュリティ アソシエーション - 送信元アドレスと宛先アドレスの一致条件で使用し、パケットの IP セキュリティ(IPsec)セキュリティ アソシエーション(SA)を指定します。

  • ログ—ルーティングエンジンにパケットのヘッダー情報を保存します。

  • 損失の優先度:PLP(パケット損失の優先度)ビットを指定した値、0 または 1 に設定します。

  • ポリサー - トラフィックにレート制限手順を適用します。

  • サンプル—パケットトラフィックをサンプルします。

  • Syslog:パケットのアラートをログに記録します。

既定のポリシーとアクション

着信または発信ルートが到着し、そのルートに関連するポリシーが明示的に設定されていない場合は、関連するルーティングプロトコルのデフォルトポリシーで指定されたアクションが実行されます。

ルーティング・ポリシーには、以下のデフォルト・アクションがあります:

  • ポリシーで一致条件が指定されていない場合、そのポリシーに対して評価されたすべてのルートが一致します。

  • 一致が発生したが、ポリシーで accept、reject、next term、または next policy アクションが指定されていない場合は、次のいずれかが発生します。

    • 次の項が存在する場合は、その項が評価されます。

    • 他の項が存在しない場合は、次のポリシーが評価されます。

    • 他のポリシーが存在しない場合は、デフォルトポリシーで指定されたアクションが実行されます。

  • ポリシー内の項との一致が発生しず、同じポリシー内の後続の項が存在する場合は、次の項が評価されます。

  • ポリシー内のどの項とも一致せず、後続のポリシーが存在する場合は、次のポリシーが評価されます。

  • ポリシーの終わりまでに一致が発生しず、他のポリシーが存在しない場合は、デフォルトポリシーで指定された受け入れまたは拒否アクションが実行されます。

着信パケットまたは発信パケットがインターフェイスに到着し、ファイアウォールフィルターがそのインターフェイスに設定されていない場合は、デフォルトのポリシーが採用されます(パケットが受け入れられます)。

ファイアウォールフィルターには、以下のデフォルトアクションがあります:

  • ファイアウォールフィルターが一致条件を指定しない場合、すべてのパケットが一致したと見なされます。

  • 一致してもファイアウォールフィルターがアクションを指定しない場合、パケットは受け入れられます。

  • 一致が発生した場合、定義済みアクションまたはデフォルト・アクションが実行され、評価は終了します。next termアクションが指定されていない限り、ファイアウォールフィルター内の後続の条件は評価されません。

    注:

    Junos OS Evolved では、 はアクションの最終項として表示することはnext termできません。設定した一致条件なしで next term がアクションとして指定されるフィルター項はサポートされていません。

  • ファイアウォールフィルター内の条件との一致が発生しず、同じフィルター内の後続の条件が存在する場合、次の条件が評価されます。

  • ファイアウォールフィルターの終了時までに一致するものが発生しない場合、パケットは破棄されます。

関連項目