Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4 ファイアウォール フィルターの追加

お客様のアクセス: ネットワーク > ファイアウォールフィルター > IPV4

IPV4 ファイアウォール フィルターを追加するには、以下の手順に基づきます。

  1. 表 1 および表 2 に示すガイドラインに従って、設定を完了します。
  2. [新しい IPv4 フィルターの追加] セクションで使用可能な [追加] をクリックします。

    新しい IPv4 ファイアウォール フィルターが作成されます。

  3. [OK] をクリックして変更を保存します。変更を破棄する場合は、[キャンセル] をクリックします。
表 1: [IPv4 ファイアウォール フィルターの追加] ページのフィールド

フィールド

アクション

IPv4フィルターの概要

アクション列

オプションを選択します。

以下のオプションを利用できます。

  • 項目を上に移動する - アイテムを見つけて、同じ行の上向き矢印をクリックします。

  • 項目を下方向に移動する - アイテムを探し、同じ行の下向き矢印をクリックします。

  • アイテムを削除するには - アイテムを探し、同じ行の [X ] をクリックします。

フィルター名

フィルターの名前を表示し、展開すると、フィルターにアタッチされた用語が一覧表示されます。

各条件に設定された一致条件とアクションを表示します。

フィルタに条件を追加したり、フィルタ条件を変更することができます。

以下のオプションを利用できます。

  • フィルターに追加された条件を表示するには — フィルター名の横にあるプラス記号をクリックします。また、条件に対して設定された一致条件とアクションも表示されます。

  • フィルターを編集するには - フィルター名をクリックします。用語を編集するには、条件の名前をクリックします。

検索

IPv4 フィルター名

既存のフィルター名を入力します。

以下のオプションを利用できます。

  • 特定のフィルターを検索するには- [フィルター名] ボックスにフィルターの名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべてのフィルターを一覧表示するには— フィルターの名前を入力する際にワイルドカード文字(*)を使用します。例えば、 te* は 、名前が文字 te で始まるすべてのフィルターをリストします。

IPv4用語名

用語名で既存の用語を入力します。

以下のオプションを利用できます。

  • 特定の条件を見つける - [用語名] ボックスに条件の名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべての用語を一覧表示するには— 項の名前を入力する際にワイルドカード文字(*)を使用します。例えば、ra*は、名前がraの文字で始まるすべての用語をリストします。

表示する項目数

1 ページに表示するフィルターまたは条件の数を入力します。1 ページに表示する項目の数を選択します。

新しい IPv4 フィルターの追加

フィルター名

既存のフィルター名を入力します。

以下のオプションを利用できます。

  • 特定のフィルターを検索するには- [フィルター名] ボックスにフィルターの名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべてのフィルターを一覧表示するには— フィルターの名前を入力する際にワイルドカード文字(*)を使用します。例えば、 te* は 、名前が文字 te で始まるすべてのフィルターをリストします。

用語名

用語名で既存の用語を入力します。

以下のオプションを利用できます。

  • 特定の条件を見つける - [用語名] ボックスに条件の名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべての用語を一覧表示するには— 項の名前を入力する際にワイルドカード文字(*)を使用します。例えば、ra*は、名前がraの文字で始まるすべての用語をリストします。

場所

新しいフィルターを次のいずれかの場所に配置します。

  • 最終 IPv4 フィルターの後 - すべてのフィルターの最後。

  • IPv4 フィルターの後 - 指定されたフィルターの後。

    IPv4 フィルターの前 - 指定されたフィルターの前。

追加

新しいフィルター名を追加します。このフィルターの用語概要ページを開き、このフィルターに新しい用語を追加できます。

新しい IPv4 条件の追加

場所

新しい用語を次のいずれかの場所に配置します。

  • 最終 IPv4 フィルターの後 - すべての条件の最後に。

  • IPv4 フィルターの後 - 指定した条件の後。

    IPv4 フィルターの前 - 指定された条件の前。

追加

[フィルター条件] ページを開き、この条件の一致条件とアクションを定義できます。

表 2: IPv4 ファイアウォール フィルターの一致条件のフィールド

フィールド

アクション

送信元を照合

送信元アドレス

一致条件に含める、またはから除外する IP 送信元アドレスを入力します。一致条件から送信元 IP アドレスを削除できます。

25 個を超えるアドレスがある場合、このフィールドにはページを簡単にスクロールしてアドレスの順序を変更し、検索できるリンクが表示されます。

以下のオプションを利用できます。

  • 追加 — 一致条件にアドレスを含めます。

  • 以外 — 一致条件からアドレスを除外し、[Add -To] を選択して一致条件にアドレスを含めます。

  • 削除 — 一致条件から IP 送信元アドレスを削除します。

IP 送信元アドレスとプレフィックス長を入力し、オプションを選択します。

送信元プレフィックスリスト

すでに定義している送信元プレフィックスリストを、 一致条件に含める必要があります。一致条件からプレフィックスリストを削除できます。

オプションを選択します。

  • 追加 — 一致条件に定義済みのソースプレフィックスリストを含める場合は、プレフィックスリスト名を入力します。

  • 以外 — 一致条件からプレフィックスリストを除外し、次に[追加]を選択します。一致条件にプレフィックスリストを含めます。

  • 削除 — 一致条件からプレフィックスリストを削除します。

送信元ポート

一致条件に含めるか、除外する送信元ポート タイプを入力します。一致条件から送信元ポート タイプを削除できます。

メモ:

この一致条件は、ポートで使用されているプロトコルタイプを確認しません。同じ条件でプロトコルタイプ(TCPまたはUDP)一致条件を指定してください。

以下のオプションを利用できます。

  • 追加—一致条件にポートを含めます。

  • 以外—一致条件からポートを除外し、次に[追加]を選択します。一致条件にポートを含めます。

  • 削除 — 一致条件からポートを削除します。

ポート名リストからポートを選択します。ポート名、番号、または範囲を入力し、オプションを選択します。

宛先を一致させる

宛先アドレス

一致条件に含める、または除外する宛先アドレスを入力します。一致条件から宛先 IP アドレスを削除できます。

25 個を超えるアドレスがある場合、このフィールドにはページを簡単にスクロールしてアドレスの順序を変更し、検索できるリンクが表示されます。

以下のオプションを利用できます。

  • 追加 — 一致条件にアドレスを含めます。

  • 以外 — 一致条件からアドレスを除外し、 [追加] を選択します 。アドレスを一致条件に含めます。

  • 削除 — 一致条件から IP アドレスを削除します。

IP 宛先アドレスとプレフィックス長を入力し、オプションを選択します。

宛先プレフィックス リスト

すでに定義している宛先プレフィックスリストを、 一致条件に含めるを入力します。一致条件からプレフィックスリストを削除できます。

オプションを選択します。

  • 追加 — 事前定義された宛先プレフィックスリストを含めるために、プレフィックスリスト名を入力します。

  • 以外 — 一致条件からプレフィックスリストを除外し、次に[追加]を選択します。一致条件にプレフィックスリストを含めます。

  • 削除 — 一致条件からプレフィックスリストを削除します。

宛先ポート

一致条件に含める宛先ポートタイプを入力するか、から除外します。一致条件から宛先ポート タイプを削除できます。

メモ:

この一致条件は、ポートで使用されているプロトコルタイプを確認しません。同じ条件でプロトコルタイプ(TCPまたはUDP)一致条件を指定してください。

以下のオプションを利用できます。

  • 追加—一致条件にポートを含めます。

  • 以外—一致条件からポートを除外し、次に[追加]を選択します。一致条件にポートを含めます。

  • 削除 — 一致条件からポートタイプを削除します。

ポート名リストからポートを選択します。ポート名、番号、または範囲を入力します。オプションを選択します

送信元または宛先を照合

アドレス

送信元または宛先の一致条件に含める、または除外する IP アドレスを入力します。一致条件からIPアドレスを削除できます。

25 個を超えるアドレスがある場合、このフィールドにはページを簡単にスクロールしてアドレスの順序を変更し、検索できるリンクが表示されます。

メモ:

このアドレス一致条件は、同じ条件の送信元アドレスまたは宛先アドレス一致条件と組み合わせて指定することはできません。

以下のオプションを利用できます。

  • 追加 — 一致条件にアドレスを含めます。

  • 以外 — 一致条件からアドレスを除外し、 [追加] を選択します 。アドレスを一致条件に含めます。

  • 削除 — 一致条件から IP アドレスを削除します。

IP 宛先アドレスとプレフィックス長を入力し、オプションを選択します。

プレフィックスリスト

すでに定義しているプレフィックスリストを入力し、送信元または宛先の一致条件に含めます。一致条件からプレフィックスリストを削除できます。

メモ:

このプレフィックスリスト一致条件は、同じ条件の送信元プレフィックスリストまたは宛先プレフィックスリスト一致条件と組み合わせて指定することはできません。

オプションを選択します。

  • 追加 — 定義済みの宛先プレフィックスリストを含める場合は、プレフィックスリスト名を入力します。

  • 削除 — 一致条件からプレフィックスリストを削除します。

ポート

送信元または宛先の一致条件に含めるか、除外するポートタイプを入力します。一致条件から宛先ポート タイプを削除できます。

メモ:

この一致条件は、ポートで使用されているプロトコルタイプを確認しません。同じ条件でプロトコルタイプ(TCPまたはUDP)一致条件を指定してください。

また、このポート一致条件は、同じ条件の送信元ポートまたは宛先ポート一致条件と組み合わせて指定することはできません。

以下のオプションを利用できます。

  • 追加—一致条件にポートを含めます。

  • 以外—一致条件からポートを除外し、次に[追加]を選択します。一致条件にポートを含めます。

  • 削除 — 一致条件からポートタイプを削除します。

ポート名リストからポートを選択します。ポート名、番号、または範囲を入力します。オプションを選択します

インターフェイスを一致

インターフェイス

一致条件に含めるインターフェイスを入力します。一致条件からインターフェイスを削除できます。

以下のオプションを利用できます。

  • 追加—一致条件にインターフェイスを含めます。

  • 削除 —一致条件からインターフェイスを削除します。

インターフェイス名リストから名前を選択するか、インターフェイス名を入力してオプションを選択します。

インターフェイス セット

すでに定義しているインターフェイスセットを、一致条件に含める必要があります。一致条件からインターフェイス セットを削除できます。

以下のオプションを利用できます。

  • 追加 — 一致条件にグループを含めます。

  • 削除—一致条件からインターフェイスグループを削除します。

インターフェイス セット名を入力し、オプションを選択します。

インターフェイス グループ

すでに定義しているインターフェイスグループを、 一致条件に含めるか、から除外するかを入力します。一致条件からインターフェイスグループを削除できます。

以下のオプションを利用できます。

  • 追加—一致条件にポートを含めます。

  • 以外—一致条件からポートを除外し、次に[追加]を選択します。一致条件にポートを含めます。

  • 削除— 一致条件からポート タイプを削除するには。

グループの名前を入力し、オプションを選択します。

パケットとネットワークを照合

最初のフラグメント

このチェック ボックスをオンにします。

フラグメント パケットの最初のフラグメントを照合します。

フラグメント

このチェック ボックスをオンにします。

フラグメントパケットの最後のフラグメント(最初のフラグメントを除く)を照合します。

フラグメント フラグ

一致条件に含めるフラグメント化フラグを入力します。

フラグを定義するテキストまたは数値ストリングを入力します。

確立された TCP

このチェック ボックスをオンにします。

接続の最初のパケット以外のすべての Transmission Control Protocol パケットを照合します。

メモ:

この一致条件は、TCP がポートで使用されていることを確認しません。同じ条件で TCP を一致条件として指定してください。

TCP イニシャル

このチェック ボックスをオンにします。

接続の最初の Transmission Control Protocol パケットを照合します。

メモ:

この一致条件は、TCP がポートで使用されていることを確認しません。同じ条件で TCP を一致条件として指定してください。

TCP フラグ

一致条件に含める伝送制御プロトコル フラグを入力します。

メモ:

この一致条件は、TCP がポートで使用されていることを確認しません。同じ条件で TCP を一致条件として指定してください。

プロトコル

一致条件に含める、またはから除外するIPv4プロトコルタイプを入力します。一致条件からIPv4プロトコルタイプを削除できます。

以下のオプションを利用できます。

  • 追加—一致条件にプロトコルを含めます。

  • 以外—一致条件からプロトコルを除外し、[Add](追加)を選択するには、プロトコルを 一致条件に含めます。

  • 削除—一致条件からIPv4プロトコルタイプを削除します。

リストからプロトコル名を選択するか、プロトコル名または番号を入力して、オプションを選択します。

ICMP タイプ

リストからパケット タイプを選択するか、パケット タイプの名前または番号を入力し、オプションを選択します。

メモ:

このプロトコルは、ポートで ICMP が使用されていることを確認しません。同じ条件で ICMP タイプの一致条件を指定してください。

以下のオプションを利用できます。

  • 追加 — 一致条件にパケット タイプを含めます。

  • 以外 — 一致条件からパケット タイプを除外し、 を選択します。

    追加 — 一致条件にパケット タイプを含めます。

  • 削除 — 一致条件から ICMP パケット タイプを削除します。

ICMP コード

リストからパケット コードを選択するか、パケット コードをテキストまたは番号として入力し、オプションを選択します。

メモ:

ICMP コードは ICMP タイプに依存します。同じ条件で ICMP タイプの一致条件を指定してください。

以下のオプションを利用できます。

  • 追加 — 一致条件にパケット タイプを含めます。

  • 以外 — パケット タイプを一致条件から除外し、

    追加 — 一致条件にパケット タイプを含めます。

  • 削除 — 一致条件から ICMP パケット タイプを削除します。

フラグメント オフセット

フラグメント オフセット数または範囲を入力し、オプションを選択します。

以下のオプションを利用できます。

  • 追加 — 一致条件にオフセットを含めます。

  • [除く] — 一致条件からオフセットを除外し、[追加] を選択します 。一致条件にオフセットを含める場合。

  • 削除 — 一致条件からフラグメント オフセット値を削除します。

優先 順位

一致条件に含める、または から除外する IP 優先度を入力します。一致条件からIP優先度エントリーを削除できます。

以下のオプションを利用できます。

  • 追加—一致条件に優先度を含めます。

  • 以外 — 一致条件から優先度を除外し、

    追加—一致条件に優先度を含めます。

  • 削除 —一致条件からIP優先度を削除します。

Dscp

リストから DSCP を選択します。または、DSCP 値をキーワード、0~7 の 10 進整数、または 2 進文字列として入力します。オプションを選択します

以下のオプションを利用できます。

  • 追加 — 一致条件に DSCP を含めます。

  • 以外 — 一致条件から DSCP を除外し、[Add] を選択します。一致条件に DSCP を含める。

  • 削除 — 一致条件から DSCP を削除します。

Ttl

1~255の数字を入力してIPv4 TTL値を入力し、オプションを選択します。

メモ:

このオプションは、SRX5600デバイスでは利用できません。

以下のオプションを利用できます。

  • 追加 — 一致条件に TTL を含めます。

  • 以外 — TTL を一致条件から除外し、追加を選択します。一致条件に TTL を含める場合。

  • 削除 — 一致条件からIPv4 TTLタイプを削除します。

パケット長さ

パケット長を指定し、値または範囲を入力します。

オプションを選択します。

以下のオプションを利用できます。

  • 追加 — 一致条件にパケット長を含めます。

  • 以外 — パケット長を一致条件から除外し、

    追加 — 一致条件にパケット長を含めます。

  • 削除 — 一致条件からパケット長値を削除します。

転送クラス

一覧から転送クラスを選択するか、転送クラスを入力して転送クラスを指定し、オプションを選択します。

以下のオプションを利用できます。

  • 追加 — 一致条件に転送クラスを含めます。

  • 以外 — 転送クラスを一致条件から除外し、

    追加 — 一致条件に転送クラスを含めます。

  • 削除 — 一致条件から転送クラスを削除します。

IP オプション

リストから IP オプションを選択するか、オプションを識別するテキストまたは数値の文字列を入力してオプションを入力し、オプションを選択します。

以下のオプションを利用できます。

  • 追加 — 一致条件に IP オプションを含めます。

  • 以外 — IP オプションを一致条件から除外し、次に [追加]を選択します。一致条件に IP オプションを含めます。

  • 削除 — 一致条件から IP オプションを削除します。

IPsec ESP SPI

2 進、16 進、または 10 進 SPI 値または範囲を入力して ESP SPI 値を入力し、オプションを選択します。

以下のオプションを利用できます。

  • 追加 — 一致条件に値を含めます。

  • 以外 — 一致条件から値を除外し、[ 追加] を選択します 。一致条件に値を含めます。

  • 削除—一致条件からESP SPI値を削除します。

アクション

何もない

何も選択しません

アクションが実行されないことを指定します。デフォルトでは、条件の一致条件を満たす場合、パケットが受け入れられ、ファイアウォールフィルターの条件に一致しないパケットは破棄されます。

受け入れる

[ 同意する] を選択します。

条件の一致条件を満たすパケットを受け入れます。

破棄

[ 破棄] を選択します。

条件の一致条件を満たすパケットを破棄します。パケットの破棄コレクターに名前を付けます。

拒否

[ 拒否 ] を選択し、理由リストからメッセージ タイプを選択します。

条件の一致条件を満たすパケットを拒否し、拒否メッセージを返します。パケットが拒否された理由を示すメッセージ タイプを指定できます。

メモ:

拒否されたパケットをログに記録してサンプリングするには、このアクションと併せてログおよびサンプルアクション修飾子を指定します。

次の期間

[ 次の条件] を選択します

パケットがこの条件の一致条件を満たしている場合、フィルター内の次の条件を持つパケットを評価します。このアクションにより、パケットが条件の条件に一致した場合でも、次の条件が評価に使用されます。このアクションが指定されていない場合、フィルターは条件の条件に一致し、関連するアクションを実行した後、パケットの評価を停止します。

ルーティング インスタンス

一致条件を満たすパケットを受け入れ、指定されたルーティング インスタンスに転送します。

[ ルーティング インスタンス] を選択し、[ルーティング インスタンス] の横のボックスに ルーティング インスタンス名を入力します。

アクション修飾子

転送クラス

パケットを特定の転送クラスとして分類します。

リストから [転送クラス ] を選択します。

カウント

この条件を通過するパケットをカウントします。このフィルターに固有のカウンターの名前を付けます。これは、パケットがこのフィルターを使用するインターフェイスを通過するたびに、指定されたカウンターをインクリメントすることを意味します。

[ カウント] を選択し、カウンター名を指定する文字、数字、またはハイフンを含む 24 文字の文字列を入力します。

仮想チャネル

仮想チャネルを識別する文字列を入力します。

メモ:

このオプションは、デバイスのSRX345では利用できません。

プレフィックスアクション

プレフィックスアクションを入力します。

メモ:

このオプションは、SRX4100およびSRX345デバイスでは使用できません。

ログ

[ ログ記録] を選択します。

ルーティング エンジン内のパケット ヘッダー情報をログに記録します。

Syslog

Syslog を選択 します

システム ログにパケット情報を記録します。

ポートミラー

ポートミラーを選択します。

ポートはパケットをミラーリングします。

メモ:

このオプションは、SRX5600およびSRX345デバイスでは使用できません。

損失の優先度

パケットの損失優先度を設定します。これは、パケットを送信する前にドロップする優先度であり、パケットのスケジューリング優先度に影響します。

リストから優先度の範囲を選択します。