Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

クラシックフィルターの概要

動的ファイアウォール機能は、インターフェイスに動的に適用される静的フィルターであるクラシックフィルターをサポートします。これらはコミット時にコンパイルされ、サービスがアクティブになると、フィルターのインターフェイス固有のクローンが作成され、 論理インターフェイスにアタッチされます。この動的アプリケーションは、入力フィルターまたは出力フィルターを動的プロファイルに関連付けることによって実行されます。

この概要では、以下の内容を取り上げます。

クラシックフィルタータイプ

以下のクラシックフィルタータイプがサポートされています。

  • ポート(レイヤー2) ファイアウォールフィルター—ポートファイアウォールフィルターはレイヤー2スイッチポートに適用されます。ポートファイアウォールフィルターは、物理ポートのイングレス方向にのみ適用できます。

  • VLANファイアウォールフィルター—VLANファイアウォールフィルターは、VLANに入るパケット、VLAN内でブリッジされるパケット、およびVLANを離れるパケットのアクセス制御を提供します。VLANファイアウォールフィルターは、VLAN上のイングレス方向とエグレス方向の両方に適用できます。VLANファイアウォールフィルターは、VLANとの間で転送されるすべてのパケットに適用されます。

  • ルーター(レイヤー3)ファイアウォールフィルター—レイヤー3(ルーティング)インターフェイスのイングレス方向とエグレス方向の両方にルーターファイアウォールフィルターを適用できます。

クラシックフィルターコンポーネント

クラシックフィルターを作成する際には、まずファミリーアドレスタイプ(inet または inet6)を定義し、次にフィルタリング基準と一致が発生した場合に実行するアクションを指定する1つ以上の用語を定義します。

各条件またはルールは、以下のコンポーネントで構成されています。

  • 一致条件—パケットに含める必要がある値またはフィールドを指定します。次のようなさまざまな一致条件を定義できます。

    • IP送信元アドレスフィールド

    • IP宛先アドレスフィールド

    • 伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)送信元ポートフィールド

    • IPプロトコルフィールド

    • Internet Control Message Protocol(ICMP)パケットタイプ

    • TCPフラグ

    • インターフェイス

    一致条件(Junos OS Evolved)—パケットに含める必要がある値またはフィールドを指定します。次のようなさまざまな一致条件を定義できます。

    • 宛先プレフィックスリスト

    • ソースプレフィックスリスト

    • 転送クラスを除く

    • 宛先アドレス

    • 宛先ポート

    • 送信元ポート

    • プロトコル

  • アクション—一致条件が発生した場合に何をするかを指定します。可能なアクションは、パケットの受け入れまたは破棄です。さらに、パケットをカウントして統計情報を収集することもできます。条件にアクションが指定されていない場合、デフォルトのアクションはパケットの受け入れです。

    アクション(Junos OS Evolved)—accept、count、discard、enhanced-hierarchical-policer、forwarding-class、sample、skip(パケットをドロップするためのサービスフィルターにのみ使用)、service(サービスフィルターにのみ使用)

  • 加入者管理ファイアウォールフィルター - 加入者インターフェイスに動的に適用される静的フィルターを指定します(Junos OS Evolvedリリース24.2R1以降、追加フィルター、ACX7100-48L、ACX7332、およびACX7348デバイスでサポート)

  • 転送クラス
  • 損失の優先度
  • パケット長
  • DSCP
  • トラフィッククラス

従来のフィルター処理

クラシックフィルター内の用語の順序は重要です。パケットは、ファイアウォールフィルター設定に用語が記載されている順序で、各用語に対してテストされます。ファイアウォールフィルターに複数の条件が含まれている場合、ルーターはトップダウンアプローチを採用し、パケットをファイアウォールフィルターの最初の条件と比較します。パケットが最初の条件に一致する場合、ルーターはその条件で定義されたアクションを実行して、パケットを受け入れるか拒否するかを選択し、それ以外の条件は評価されません。ルーターは、パケットと最初の条件に一致するものを見つけられなかった場合、同じ一致プロセスを使用して、パケットをファイアウォールフィルター内の次の条件と比較します。パケットと 2 番目の用語の間に一致が発生しない場合、ルーターは、一致するものが見つかるまで、ファイアウォール フィルターで定義された連続する各用語とパケットを比較し続けます。パケットがファイアウォールフィルターのどの条件にも一致しない場合、デフォルトのアクションはパケットを破棄することです。

また、動的プロファイル内の入力および出力フィルターに優先順位(0〜255)を指定して、特定の順序でフィルター処理を強制することもできます。フィルターの優先度を低い値に設定すると、動的プロファイル内で優先度が高くなります。優先度の低いフィルターは、優先度の高い値のフィルターよりも先のインターフェイスに適用されます。優先順位がゼロ(デフォルト)の場合、フィルターの優先順位が最も高くなります。優先順位が指定されていない場合、フィルターの優先順位はゼロ(最高優先順位)を受け取ります。優先順位が一致するフィルタ(ゼロまたはそれ以外)は、ランダムな順序で適用されます。

注:

ダイナミックフィルターは、ルーティングエンジンから送信されたアウトバウンドパケットを処理しません。ルーティングエンジンから発信されるアウトバウンドパケットをフィルタリングするには、各インターフェイスに対して静的なアウトバウンドフィルタを作成します。

加入者インターフェイス用クラシックフィルターの作成と適用に関するガイドライン

ファイアウォールフィルターの動的設定がサポートされています。ただし、通常どおりインターフェイス用に静的ファイアウォールフィルターを作成し続け、動的プロファイルを使用して静的に作成されたインターフェイスにそれらのフィルターを動的に適用することもできます。動的プロファイルを使用して、RADIUSを介して入出力フィルターを接続することもできます。

フィルターを作成して適用するときは、次の点に留意してください。

  • 入出力フィルターのみの動的適用がサポートされます。

  • フィルターはインターフェイス固有である必要があります。

  • ファミリー固有の inet inet6 フィルターを作成できます。

  • インターフェイスに設定されたすべてのファミリー タイプ(inetまたはinet6)に適用されるインターフェイス固有のフィルターをunitレベルで作成できます。

  • IPv4とIPv6の両方のフィルターを追加または削除するには、同じサービスの有効化または無効化が可能です。

  • 一方のフィルタータイプを削除しても、他のタイプのフィルターに影響を与えることはありません。例えば、IPv6フィルターを削除し、現在のIPv4フィルターをアクティブなままにすることができます。

  • 最大5つの入力フィルターと4つの出力フィルターを一緒にチェーンできます。

  • フィルターを設定して適用しない場合、インターフェイスはデフォルトのグループフィルター設定を使用します。

  • 同じ論理インターフェイス上の加入者がバインドされている間は、ファイアウォールフィルターを変更または削除することはできません。

関連ドキュメント