Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターバイパスの設定

[edit firewall family family-name filter filter-name term term-name]階層レベルでservice-filter-hit一致/アクションの組み合わせを使用することで、フィルタープロセスを合理化し、チェーン内の各フィルターのパケット処理量を減らし、不要なフィルターを効果的にバイパスすることができます。

service-filter-hit一致/アクションの組み合わせを使用してファイアウォールフィルターをバイパスするには、チェーン内の少なくとも1つのフィルターでservice-filter-hitアクションを設定し、バイパスする後続のフィルターでservice-filter-hit一致条件を設定します。すべてのパケットは、チェーン内の各フィルターを通過する必要があります。ただし、パケットに service-filter-hit フラグが設定されると、パケットはservice-filter-hit一致条件を含む後続のフィルターを「バイパス」し、マークされたパケットをより効率的に通過(受け入れ)し、フィルタープロセスを加速します。

手記:

service-filter-hit一致/アクションの組み合わせを使用する場合は、フィルターが適用される順序が重要です。インターフェイスにフィルターの優先順位値を指定することで、フィルターが処理される順序を確認できます。動的フィルタ処理の詳細については、「動的フィルタの処理順序の定義」を参照してください。

フィルター処理をバイパスするには:

  1. フィルターチェーン内のすべてのフィルターに対する service-filter-hit アクションを指定します。

    フィルターの一致条件が満たされると、 service-filter-hit アクションは、後続のフィルターに対してそれ以上の処理が不要であることを示すように設定されます。

  2. チェーン内の以前のフィルターから適用されたアクションservice-filter-hit検出する優先度の低い(つまり、precedence ステートメント値が高い)フィルターのservice-filter-hit一致条件を指定します。
  3. 以前のフィルターから service-filter-hit アクションが適用されたパケットを渡す(受け入れる)ようにフィルターを構成します。

関連ドキュメント