Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターバイパスの設定

階層レベルで一致/アクションの組み合わせ[edit firewall family family-name filter filter-name term term-name]を使用することでservice-filter-hit、フィルタープロセスを合理化し、チェーン内の各フィルターのパケット処理量を減らし、不要なフィルターを効果的にバイパスすることができます。

一致/アクションの組み合わせを使用してファイアウォールフィルターを service-filter-hit バイパスするには、チェーン内の少なくとも1つのフィルターでアクションを設定し service-filter-hit 、バイパスする後続のフィルターで一致条件を設定します service-filter-hit 。すべてのパケットは、チェーン内の各フィルターを通過する必要があります。ただし、パケットにフラグが設定されると service-filter-hit 、パケットは一致条件を含む service-filter-hit 後続のフィルターを「バイパス」し、マークされたパケットをより効率的に通過(受け入れ)して、フィルタープロセスを加速します。

メモ:

一致とアクションの組み合わせ service-filter-hit を使用する場合は、フィルターが適用される順序が重要です。インターフェイスにフィルターの優先順位値を指定することで、フィルターが処理される順序を確認できます。動的フィルタ処理の詳細については、「 動的フィルタの処理順序の定義 」を参照してください。

フィルター処理をバイパスするには:

  1. service-filter-hitフィルターチェーン内のすべてのフィルターに対するアクションを指定します。

    フィルターの一致条件が満たされると、アクションは、 service-filter-hit 後続のフィルターに対してそれ以上の処理が不要であることを示すように設定されます。

  2. service-filter-hitチェーン内の以前のフィルターから適用されたアクションを検出するservice-filter-hit優先順位が低い(つまり、ステートメント値が高いprecedence)フィルターで一致条件を指定します。
  3. 以前のフィルターからアクションが適用された service-filter-hit パケットを渡す(受け入れる)ようにフィルターを構成します。

関連ドキュメント