IPv4ファイアウォールフィルターの追加

現在地:IPV4>ネットワーク>ファイアウォールフィルター。

IPV4 ファイアウォールフィルターを追加するには:

表 1 と表 2 のガイドラインに従って設定を完了します。
[Add New IPv4 Filter] セクションで [ Add ] をクリックします。

新しいIPv4ファイアウォールフィルターが作成されます。
[ OK ] をクリックして変更を保存します。変更を破棄する場合は、[ キャンセル] をクリックします。

表 1: [Add IPv4 Firewall Filter] ページのフィールド
畑	アクション
IPv4 フィルターの概要
[アクション(Action)] 列	オプションを選択します。使用可能なオプションは次のとおりです。アイテムを上に移動するには - アイテムを見つけて、同じ行から上矢印をクリックします。アイテムを下に移動するには - アイテムを見つけて、同じ行の下向き矢印をクリックします。アイテムを削除するには - アイテムを見つけて、同じ行の [X ] をクリックします。
フィルター名	フィルターの名前が表示され、展開すると、フィルターにアタッチされている用語が一覧表示されます。各用語に設定されている一致条件とアクションを表示します。フィルターに用語を追加したり、フィルター用語を変更したりできます。使用可能なオプションは次のとおりです。フィルターに追加された用語を表示するには、フィルター名の横にあるプラス記号をクリックします。また、条件に設定された一致条件とアクションも表示されます。フィルターを編集するには - フィルター名をクリックします。用語を編集するには、用語の名前をクリックします。
捜索
IPv4 フィルタ名	既存のフィルター名を入力します。使用可能なオプションは次のとおりです。特定のフィルターを検索するには、[フィルター名] ボックスにフィルターの名前を入力します。共通のプレフィックスまたはサフィックスを持つすべてのフィルターを一覧表示するには、フィルターの名前を入力するときにワイルドカード文字()を使用します。たとえば、 te は、名前が文字 te で始まるすべてのフィルターを一覧表示します。
IPv4用語名	既存の用語を用語名で入力します。使用可能なオプションは次のとおりです。特定の用語を検索するには、[用語名(Term Name)] ボックスに用語の名前を入力します。共通のプレフィックスまたはサフィックスを持つすべての用語をリストするには、用語の名前を入力するときにワイルドカード文字()を使用します。たとえば、 ra は、名前が ra という文字で始まるすべての項をリストします。
表示する項目数	1 ページに表示するフィルターまたは用語の数を入力します。1ページに表示する項目数を選択します。
新しいIPv4フィルタを追加
フィルター名	既存のフィルター名を入力します。使用可能なオプションは次のとおりです。特定のフィルターを検索するには、[フィルター名] ボックスにフィルターの名前を入力します。共通のプレフィックスまたはサフィックスを持つすべてのフィルターを一覧表示するには、フィルターの名前を入力するときにワイルドカード文字()を使用します。たとえば、 te は、名前が文字 te で始まるすべてのフィルターを一覧表示します。
用語名	既存の用語を用語名で入力します。使用可能なオプションは次のとおりです。特定の用語を検索するには、[用語名(Term Name)] ボックスに用語の名前を入力します。共通のプレフィックスまたはサフィックスを持つすべての用語をリストするには、用語の名前を入力するときにワイルドカード文字()を使用します。たとえば、 ra は、名前が ra という文字で始まるすべての項をリストします。
場所	新しいフィルターを次のいずれかの場所に配置します。最終 IPv4 フィルターの後—すべてのフィルターの最後。 [IPv4 フィルターの後(After IPv4 Filter)]:指定されたフィルターの後。 [IPv4 フィルタの前(Before IPv4 Filter)]:指定されたフィルタの前。
足す	新しいフィルター名を追加します。このフィルターの用語サマリーページが開き、このフィルターに新しい用語を追加できます。
新しいIPv4条件を追加
場所	新しい用語を次のいずれかの位置に配置します。最終 IPv4 フィルターの後—すべての期間の終了時。 [IPv4 フィルターの後(After IPv4 Filter)]:指定した条件の後。 IPv4フィルターの前—指定された条件の前。
足す	[Filter Term] ページが開き、この条件の一致条件とアクションを定義できます。

表 2: IPv4 ファイアウォールフィルターの一致条件のフィールド
畑	アクション
ソースの一致
送信元アドレス	一致条件に含める、または一致条件から除外する IP 送信元アドレスを入力します。一致条件から送信元 IP アドレスを削除できます。住所が 25 個を超える場合、このフィールドにはリンクが表示され、ページをスクロールしたり、住所の順序を変更したり、住所を検索したりすることが簡単にできます。使用可能なオプションは次のとおりです。追加—一致条件にアドレスを含めます。を除く—一致条件からアドレスを除外し、[追加] を選択して、一致条件にアドレスを含めます。削除—一致条件からIP送信元アドレスを削除します。 IP 送信元アドレスとプレフィックス長を入力し、オプションを選択します。
送信元プレフィックスリスト	すでに定義済みの元プレフィックスリストを、一致条件に含めるように入力します。一致条件からプレフィックスリストを削除できます。次のいずれかを選択します。追加—定義済みの元プレフィックスリストを一致条件に含めるには、プレフィックスリスト名を入力します。 Except—プレフィックスリストを一致条件から除外し、[追加]を選択して、プレフィックスリストを一致条件に含めます。削除—一致条件からプレフィックスリストを削除します。
送信元ポート	一致条件に含める、または一致条件から除外する送信元ポートタイプを入力します。一致条件から送信元ポートタイプを削除できます。手記：この一致条件では、ポートで使用されているプロトコルタイプは確認されません。プロトコルタイプ(TCP または UDP)一致条件を同じ条件で指定してください。使用可能なオプションは次のとおりです。追加—一致条件にポートを含めます。 except —一致条件からポートを除外し、[追加] を選択して、ポートを一致条件に含めます。削除—一致条件からポートを削除します。ポート名リストからポートを選択します。ポート名、番号、または範囲を入力し、オプションを選択します。
宛先の一致
宛先アドレス	一致条件に含める、または一致条件から除外する宛先アドレスを入力します。一致条件からIP アドレスを削除できます。住所が 25 個を超える場合、このフィールドにはリンクが表示され、ページをスクロールしたり、住所の順序を変更したり、住所を検索したりすることが簡単にできます。使用可能なオプションは次のとおりです。追加—一致条件にアドレスを含めます。 Except—一致条件からアドレスを除外し、[追加]を選択して、アドレスを一致条件に含めます。削除—一致条件からIPアドレスを削除します。 IP 宛先アドレスとプレフィックス長を入力し、オプションを選択します。
宛先プレフィックスリスト(Destination Prefix List)	すでに定義済みの宛先プレフィックスリストを、一致条件に含めるように入力します。一致条件からプレフィックスリストを削除できます。次のいずれかを選択します。 [追加(Add)]:事前定義された宛先プレフィックスリストを含めるには、プレフィックスリスト名を入力します。 Except—プレフィックスリストを一致条件から除外し、[追加]を選択して、プレフィックスリストを一致条件に含めます。削除—一致条件からプレフィックスリストを削除します。
宛先ポート	一致条件に含める、または一致条件から除外する宛先ポートタイプを入力します。一致条件から宛先ポートタイプを削除できます。手記：この一致条件では、ポートで使用されているプロトコルタイプは確認されません。プロトコルタイプ(TCP または UDP)一致条件を同じ条件で指定してください。使用可能なオプションは次のとおりです。追加—一致条件にポートを含めます。 except —一致条件からポートを除外し、[追加] を選択して、ポートを一致条件に含めます。削除—一致条件からポートタイプを削除します。ポート名リストからポートを選択します。ポート名、番号、または範囲を入力します。をクリックし、オプションを選択します。
送信元または宛先の一致
住所	送信元または宛先の一致条件に含める、または一致条件から除外する IP アドレスを入力します。一致条件からIPアドレスを削除できます。アドレスが 25 個を超える場合、このフィールドにはリンクが表示され、ページをスクロールしたり、アドレスの順序を変更したり、アドレスを検索したりすることが簡単にできます。手記：このアドレス一致条件を、同じ条件の送信元アドレスまたは宛先アドレスの一致条件と組み合わせて指定することはできません。使用可能なオプションは次のとおりです。追加—一致条件にアドレスを含めます。 Except—一致条件からアドレスを除外し、[追加]を選択して、アドレスを一致条件に含めます。削除—一致条件からIPアドレスを削除します。 IP 宛先アドレスとプレフィックス長を入力し、オプションを選択します。
プレフィックスリスト	送信元または宛先の一致条件に含めるプレフィックスリストを入力します。一致条件からプレフィックスリストを削除できます。手記：このプレフィックスリスト一致条件を、同じ条件の元プレフィックスリストまたは宛先プレフィックスリスト一致条件と組み合わせて指定することはできません。次のいずれかを選択します。 [追加(Add)]:定義済みの宛先プレフィックスリストを含めるには、プレフィックスリスト名を入力します。削除—一致条件からプレフィックスリストを削除します。
港	送信元または宛先の一致条件に含める、または除外するポートタイプを入力します。一致条件から宛先ポートタイプを削除できます。手記：この一致条件では、ポートで使用されているプロトコルタイプは確認されません。プロトコルタイプ(TCP または UDP)一致条件を同じ条件で指定してください。また、このポート一致条件を、同じ条件の送信元ポートまたは宛先ポートの一致条件と組み合わせて指定することはできません。使用可能なオプションは次のとおりです。追加—一致条件にポートを含めます。 except —一致条件からポートを除外し、[追加] を選択して、ポートを一致条件に含めます。削除—一致条件からポートタイプを削除します。ポート名リストからポートを選択します。ポート名、番号、または範囲を入力します。をクリックし、オプションを選択します。
一致インターフェイス
インターフェイス	一致条件に含めるインターフェイスを入力します。一致条件からインターフェイスを削除できます。使用可能なオプションは次のとおりです。追加—一致条件にインターフェイスを含めます。削除—一致条件からインターフェイスを削除します。インターフェイス名リストから名前を選択するか、インターフェイス名を入力してオプションを選択します。
インターフェイスセット	すでに定義済みのインターフェイスセットを一致条件に含めるように入力します。一致条件からインターフェイスセットを削除できます。使用可能なオプションは次のとおりです。 [追加(Add)]:一致条件にグループを含めます。削除—一致条件からインターフェイスグループを削除します。インターフェイスセット名を入力し、オプションを選択します。
インターフェイスグループ	すでに定義済みのインターフェイスグループを入力し、一致条件に含めるか、一致条件から除外します。一致条件からインターフェイスグループを削除できます。使用可能なオプションは次のとおりです。追加—一致条件にポートを含めます。 except —一致条件からポートを除外し、[追加] を選択して、ポートを一致条件に含めます。削除 - 一致条件からポートタイプを削除します。グループの名前を入力し、オプションを選択します。
パケットとネットワークの一致
最初のフラグメント	チェックボックスを選択します。フラグメントパケットの最初のフラグメントを照合します。
フラグメントである	チェックボックスを選択します。フラグメントパケットの末尾のフラグメント(最初のフラグメントを除くすべて)を照合します。
フラグメントフラグ	一致条件に含めるフラグメント化フラグを入力します。フラグを定義するテキストまたは数値文字列を入力します。
TCP確立	チェックボックスを選択します。接続の最初のパケット以外のすべての伝送制御プロトコルパケットを照合します。手記：この一致条件は、ポートでTCPが使用されていることを確認しません。必ず同じ条件の一致条件としてTCPを指定してください。
TCP初期状態	チェックボックスを選択します。接続の最初の伝送制御プロトコルパケットと一致します。手記：この一致条件は、ポートでTCPが使用されていることを確認しません。必ず同じ条件の一致条件としてTCPを指定してください。
TCPフラグ	一致条件に含める伝送制御プロトコルフラグを入力します。手記：この一致条件は、ポートでTCPが使用されていることを確認しません。必ず同じ条件の一致条件としてTCPを指定してください。
議定書	一致条件に含める、または一致条件から除外するIPv4プロトコルタイプを入力します。一致条件からIPv4プロトコルタイプを削除できます。使用可能なオプションは次のとおりです。追加—一致条件にプロトコルを含めます。 Except—一致条件からプロトコルを除外し、[追加]を選択して、プロトコルを一致条件に含めます。削除—一致条件からIPv4プロトコルタイプを削除します。リストからプロトコル名を選択するか、プロトコル名またはプロトコル番号を入力してオプションを選択します。
ICMPタイプ	リストからパケットタイプを選択するか、パケットタイプ名または番号を入力してオプションを選択します。手記：このプロトコルは、ICMPがポートで使用されていることを確認しません。必ず同じ条件で ICMPタイプ一致条件を指定してください。使用可能なオプションは次のとおりです。追加—一致条件にパケットタイプを含めます。を除く—一致条件からパケットタイプを除外し、を選択します。追加—一致条件にパケットタイプを含めます。削除—一致条件からICMPパケットタイプを削除します。
ICMP コード	リストからパケットコードを選択するか、パケットコードをテキストまたは数字で入力し、オプションを選択します。手記： ICMP コードは ICMPタイプに依存します。必ず同じ条件で ICMPタイプ一致条件を指定してください。使用可能なオプションは次のとおりです。追加—一致条件にパケットタイプを含めます。 Except—一致条件からパケットタイプを除外し、追加—一致条件にパケットタイプを含めます。削除—一致条件からICMPパケットタイプを削除します。
フラグメントオフセット	フラグメントのオフセット番号または範囲を入力し、オプションを選択します。使用可能なオプションは次のとおりです。追加—一致条件にオフセットを含めます。 except - 一致条件からオフセットを除外し、[追加] を選択して、オフセットを一致条件に含めます。削除—一致条件からフラグメントオフセット値を削除します。
順位	一致条件に含める、または一致条件から除外するIP優先度を入力します。一致条件から IP precedence エントリを削除できます。使用可能なオプションは次のとおりです。追加—一致条件に優先順位を含めます。 Except—一致条件から優先順位を除外し、追加—一致条件に優先順位を含めます。削除—一致条件からIP優先順位を削除します。
DSCP	リストから [DSCP] を選択します。または、DSCP 値をキーワード、0 から 7 までの 10 進整数、またはバイナリ文字列として入力します。をクリックし、オプションを選択します。使用可能なオプションは次のとおりです。追加—一致条件にDSCPを含めます。 [Except]:一致条件から DSCP を除外し、[追加(Add)]:DSCP を一致条件に含めます。 [削除(Delete)]:一致条件から DSCP を削除します。
TTLの	1 から 255 までの数字を入力して IPv4 TTL 値を入力し、オプションを選択します。手記：このオプションは、SRX5600デバイスでは使用できません。使用可能なオプションは次のとおりです。追加—一致条件にTTLを含めます。 [Except]:一致条件から TTL を除外し、[Add] を選択して TTL を一致条件に含めます。削除—一致条件からIPv4 TTLタイプを削除します。
パケット長さ	パケット長を指定し、値または範囲を入力します。オプションを選択します。使用可能なオプションは次のとおりです。追加—一致条件にパケット長を含めます。 Except—一致条件からパケット長を除外し、追加—一致条件にパケット長を含めます。削除—一致条件からパケット長の値を削除します。
転送クラス	リストから転送クラスを選択するか、転送クラスを入力して転送クラスを指定し、オプションを選択します。使用可能なオプションは次のとおりです。追加—一致条件に転送クラスを含めます。 except—一致条件から転送クラスを除外し、追加—一致条件に転送クラスを含めます。削除—一致条件から転送クラスを削除します。
IPオプション	リストから IP オプションを選択するか、オプションを識別するテキストまたは数値文字列を入力して、オプションを入力します。使用可能なオプションは次のとおりです。追加—一致条件にIPオプションを含めます。 Except—一致条件からIPオプションを除外し、[ 追加]を選択して、一致条件にIPオプションを含めます。削除—一致条件からIPオプションを削除します。
IPsec ESP SPI	2 進数、16 進数、または 10 進数の SPI 値または範囲を入力して ESP SPI 値を入力し、オプションを選択します。使用可能なオプションは次のとおりです。追加—一致条件に値を含めます。 except — 一致条件から値を除外してから [追加] を選択します。削除—一致条件からESP SPI値を削除します。
アクション
何もない	[ なし] を選択します。アクションが実行されないことを指定します。デフォルトでは、パケットは条件の一致条件を満たす場合に受け入れられ、ファイアウォールフィルターのどの条件にも一致しないパケットは破棄されます。
受け入れる	[ 同意する] を選択します。条件の一致条件を満たすパケットを受け入れます。
捨てる	[ 破棄] を選択します。条件の一致条件を満たすパケットを破棄します。パケットの破棄コレクターに名前を付けます。
リジェクト	[ 拒否 ] を選択し、理由の一覧からメッセージの種類を選択します。条件の一致条件を満たすパケットを拒否し、拒否メッセージを返します。パケットが拒否された理由を示すメッセージタイプを指定できます。手記：拒否されたパケットをログに記録してサンプリングするには、このアクションと合わせて log および sample アクション修飾子を指定します。
次の学期	[次の期間] を選択します。パケットがこの条件の一致条件を満たす場合、フィルター内の次の条件を含むパケットを評価します。このアクションにより、パケットが条件の条件に一致した場合でも、次の条件が評価に使用されるようになります。このアクションが指定されていない場合、フィルターは、条件の条件に一致した後にパケットの評価を停止し、関連するアクションを実行します。
ルーティングインスタンス	一致条件を満たすパケットを受け取り、指定されたルーティングインスタンスに転送します。「ルーティングインスタンス」を選択し、「ルーティングインスタンス」の横のボックスにルーティングインスタンス名を入力します。
アクション修飾子
転送クラス	パケットを特定の転送クラスとして分類します。リストから [転送クラス(Forwarding Class )] を選択します。
数える	この条件を通過したパケットをカウントします。このフィルターに固有のカウンターに名前を付けることができます。つまり、パケットがこのフィルターを使用するインターフェイスを通過するたびに、指定されたカウンターがインクリメントされます。 [カウント] を選択し、文字、数字、またはハイフンを含む 24 文字の文字列を入力して、カウンター名を指定します。
仮想チャネル	仮想チャネルを識別する文字列を入力します。手記：このオプションは、SRX345 のデバイスでは使用できません。
プレフィックスアクション	プレフィックスアクションを入力します。手記：このオプションは、SRX4100およびSRX345デバイスでは使用できません。
丸太	[ログ] を選択します。ルーティングエンジンにパケットヘッダー情報を記録します。
syslog	[ Syslog] を選択します。パケット情報をシステムログに記録します。
ポートミラー	[Port Mirror] を選択します。ポートはパケットをミラーリングします。手記：このオプションは、SRX5600およびSRX345デバイスでは使用できません。
損失の優先度	パケットの損失の優先度を設定します。これは、送信前にパケットをドロップする優先度であり、パケットのスケジューリング優先度に影響します。リストから優先度の範囲を選択します。

IPv4ファイアウォールフィルターの追加

関連資料