クラシック フィルターの概要
動的ファイアウォール機能は、動的にインターフェイスに適用される静的フィルターである従来のフィルターをサポートしています。これらはコミット時にコンパイルされ、サービスがアクティブになると、フィルターのインターフェイス固有のクローンが作成され、 論理インターフェイスにアタッチされます。この動的アプリケーションは、入力フィルターまたは出力フィルターを動的プロファイルに関連付けることで実行されます。
この概要では、以下について説明します。
クラシック フィルター タイプ
次の従来のフィルター タイプがサポートされています。
ポート(レイヤー2) ファイアウォールフィルター-ポートファイアウォールフィルターは、レイヤー2スイッチポートに適用されます。ポートファイアウォールフィルターは、物理ポートのイングレス方向にのみ適用できます。
VLAN ファイアウォール フィルター — VLAN ファイアウォール フィルターは、VLAN に入り、VLAN 内でブリッジングされ、VLAN を残すパケットに対してアクセス コントロールを提供します。VLAN ファイアウォール フィルターは、VLAN 上のイングレス方向とエグレス方向の両方に適用できます。VLANファイアウォールフィルターは、VLANに転送またはVLANから転送されるすべてのパケットに適用されます。
ルーター(レイヤー3)ファイアウォールフィルター-ルーターファイアウォールフィルターは、レイヤー3(ルーテッド)インターフェイスのイングレス方向とエグレス方向の両方に適用できます。
クラシック フィルター コンポーネント
従来のフィルターを作成する場合は、まずファミリー アドレス タイプ(inet
または inet6
)を定義し、一致した場合に実行するフィルタリング基準とアクションを指定する 1 つ以上の条件を定義します。
各用語またはルールは、以下のコンポーネントで構成されています。
一致条件 — パケットに含める必要がある値またはフィールドを指定します。以下を含むさまざまな一致条件を定義できます。
IP 送信元アドレス フィールド
IP 宛先アドレス フィールド
伝送制御プロトコル(TCP)またはユーザー データグラム プロトコル(UDP)送信元ポート フィールド
IP プロトコル フィールド
ICMP(Internet Control Message Protocol)パケット タイプ
TCP フラグ
インターフェイス
アクション — 一致条件が発生した場合の対応を指定します。可能なアクションは、パケットを受け入れるか、破棄することです。さらに、パケットをカウントして統計情報を収集できます。条件に対してアクションが指定されていない場合、デフォルトのアクションはパケットを受け入れます。
クラシック フィルター処理
従来のフィルター内の項の順序は重要です。パケットは、ファイアウォールフィルター設定に条件がリストされている順序で、各条件に対してテストされます。ファイアウォールフィルターに複数の条件が含まれている場合、ルーターはトップダウンアプローチを採用し、ファイアウォールフィルターの最初の条件とパケットを比較します。パケットが最初の条件に一致する場合、ルーターはその条件によって定義されたアクションを実行してパケットを受け入れるか拒否するか、他の条件は評価されません。ルーターがパケットと最初の条件の間で一致するものが見つからなければ、同じ一致プロセスを使用して、パケットをファイアウォールフィルターの次の条件と比較します。パケットと2番目の条件の間に一致が発生しない場合、ルーターは、一致が見つかるまで、ファイアウォールフィルターで定義された連続した各条件とパケットを比較し続けます。パケットがファイアウォールフィルターのどの条件にも一致しない場合、デフォルトのアクションはパケットを破棄することです。
また、動的プロファイル内の入出力フィルターに優先度(0~255)を指定して、フィルター処理を特定の順序で強制することもできます。フィルターの優先度の低い値を設定すると、動的プロファイル内の優先度が高くなります。優先度の低い値のフィルターは、優先度の高い値を持つフィルターの前にインターフェイスに適用されます。ゼロ(デフォルト)の優先度は、フィルターに最高の優先度を与えます。優先度が指定されていない場合、フィルターはゼロ(最高優先度)の優先度を受信します。一致する優先度のフィルター(ゼロまたはそれ以外の場合)は、順不同で適用されます。
動的フィルターは、ルーティングエンジンから送信されたアウトバウンドパケットを処理しません。ルーティングエンジンから発信されたアウトバウンドパケットをフィルタリングするには、各インターフェイスに静的なアウトバウンドフィルターを作成できます。
加入者インターフェイスにクラシック フィルターを作成および適用するためのガイドライン
ファイアウォールフィルターの動的構成がサポートされています。ただし、通常と同様にインターフェイスに静的ファイアウォールフィルターを作成し続け、動的プロファイルを使用して静的に作成されたインターフェイスに動的に適用することもできます。また、動的プロファイルを使用して、RADIUSを介して入力フィルターと出力フィルターをアタッチすることもできます。
フィルターを作成して適用する場合は、次の事項に留意してください。
入出力フィルターのみの動的適用がサポートされています。
フィルターは、インターフェイス固有である必要があります。
ファミリ固有
inet
およびフィルタをinet6
作成できます。インターフェイス上で設定されたファミリータイプ(
inet
またはinet6
)に適用されるレベルでunit
、インターフェイス固有のフィルターを作成できます。同じサービスアクティベーションまたは非アクティブ化で、IPv4とIPv6の両方のフィルターを追加または削除できます。
もう一方のフィルター タイプに影響を与えることなく、1 つのフィルター タイプを削除できます。例えば、IPv6フィルターを削除し、現在のIPv4フィルターをアクティブのままにすることができます。
最大 5 つの入力フィルターと 4 つの出力フィルターをチェーン化できます。
フィルターを設定および適用しない場合、インターフェイスはデフォルトのグループフィルター設定を使用します。
同じ論理インターフェイス上の加入者がバインドされている間、ファイアウォールフィルターを変更または削除することはできません。