Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターバイパスの設定

[edit firewall family family-name filter filter-name term term-name]階層レベルでservice-filter-hit一致/アクションの組み合わせを使用することで、フィルタープロセスを合理化し、チェーン内の各フィルターのパケット処理量を減らし、不要なフィルターを効果的にバイパスできます。

service-filter-hit一致/アクションの組み合わせを使用してファイアウォールフィルターをバイパスするには、チェーン内の少なくとも1つのフィルターでservice-filter-hitアクションを設定しservice-filter-hitバイパスしたい後続のフィルターで一致条件を設定します。すべてのパケットは、チェーン内の各フィルターを通過する必要があります。ただし、パケットにservice-filter-hitフラグが設定されると、パケットはservice-filter-hit一致条件を含む後続のフィルターを「バイパス」し、マークされたパケットをより効率的にパス(受け入れ)してフィルタープロセスを加速します。

注:

service-filter-hit一致/アクションの組み合わせを使用する場合、フィルターが適用される順序が重要です。インターフェイスのフィルター優先度値を指定することで、フィルターが処理される順序を確保できます。動的フィルター処理の詳細については、動的フィルター処理順序の定義を参照してください。

フィルター処理をバイパスするには:

  1. フィルターチェーン内のフィルターに対する service-filter-hit アクションを指定します。

    フィルターの一致条件が満たされると、 service-filter-hit アクションが設定され、それ以上の処理は不要であることを後続のフィルターに通知します。

  2. チェーン内の前のフィルターから適用されたアクションservice-filter-hit検出したい優先度が低い(つまり、precedenceステートメント値が高い)フィルターのservice-filter-hit一致条件を指定します。
  3. 以前のフィルターから適用された service-filter-hit アクションを持つパケットを通過(受け入れ)するようにフィルターを設定します。

関連ドキュメント