Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv4ファイアウォールフィルターの追加

現在地: IPV4 >ネットワーク>ファイアウォール フィルター

IPV4ファイアウォールフィルターを追加するには:

  1. 表 1 および表 2 に示すガイドラインに従って、設定を完了します。
  2. [新しい IPv4 フィルターの追加] セクションで使用可能な [ 追加 ] をクリックします。

    新しい IPv4 ファイアウォール フィルターが作成されます。

  3. [ OK ] をクリックして変更を保存します。変更を破棄する場合は、[ キャンセル] をクリックします。
表 1: [IPv4 ファイアウォール フィルターの追加] ページのフィールド

フィールド

アクション

IPv4フィルターの概要

アクション列

オプションを選択します。

使用可能なオプションは次のとおりです。

  • アイテムを上に移動するには - アイテムを見つけて、同じ行の上矢印をクリックします。

  • アイテムを下に移動するには - アイテムを見つけて、同じ行の下矢印をクリックします。

  • アイテムを削除するには - アイテムを見つけて、同じ行の [X ] をクリックします。

フィルター名

フィルターの名前が表示され、展開すると、フィルターにアタッチされている用語が一覧表示されます。

用語ごとに設定されている一致条件とアクションが表示されます。

フィルターに用語を追加したり、フィルター用語を変更したりできます。

使用可能なオプションは次のとおりです。

  • フィルタに追加された用語を表示するには:フィルタ名の横にあるプラス記号をクリックします。これにより、用語に設定された一致条件とアクションも表示されます。

  • フィルターを編集するには - フィルター名をクリックします。用語を編集するには、用語の名前をクリックします。

検索

IPv4フィルター名

既存のフィルター名を入力します。

使用可能なオプションは次のとおりです。

  • 特定のフィルターを検索するには - [フィルター名] ボックスにフィルターの名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべてのフィルターをリストするには、フィルター名を入力するときにワイルドカード文字 (*) を使用します。たとえば、 te* は、名前が te で始まるすべてのフィルターを一覧表示します。

IPv4条件名

既存の用語を用語名で入力します。

使用可能なオプションは次のとおりです。

  • 特定の用語を検索するには - [用語名] ボックスに用語の名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべての用語をリストするには - 用語名を入力するときにワイルドカード文字 (*) を使用します。たとえば、 ra* は、名前が ra で始まるすべての用語を一覧表示します。

表示する項目の数

1 ページに表示するフィルターまたは用語の数を入力します。1 ページに表示する項目数を選択します。

新しい IPv4 フィルターの追加

フィルター名

既存のフィルター名を入力します。

使用可能なオプションは次のとおりです。

  • 特定のフィルターを検索するには - [フィルター名] ボックスにフィルターの名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべてのフィルターをリストするには、フィルター名を入力するときにワイルドカード文字 (*) を使用します。たとえば、 te* は、名前が te で始まるすべてのフィルターを一覧表示します。

用語名

既存の用語を用語名で入力します。

使用可能なオプションは次のとおりです。

  • 特定の用語を検索するには - [用語名] ボックスに用語の名前を入力します。

  • 共通のプレフィックスまたはサフィックスを持つすべての用語をリストするには - 用語名を入力するときにワイルドカード文字 (*) を使用します。たとえば、 ra* は、名前が ra で始まるすべての用語を一覧表示します。

場所

新しいフィルターを次のいずれかの場所に配置します。

  • 最終 IPv4 フィルターの後 - すべてのフィルターの末尾。

  • IPv4 フィルターの後 - 指定したフィルターの後。

    前 IPv4 フィルター - 指定されたフィルターの前。

追加

新しいフィルター名を追加します。このフィルターの用語の概要ページが開き、このフィルターに新しい用語を追加できます。

新しいIPv4用語の追加

場所

新しい用語を次のいずれかの場所に配置します。

  • 最終 IPv4 フィルターの後 - すべての期間の終了時。

  • IPv4フィルター後:指定された期間の後。

    IPv4フィルターの前—指定された用語の前。

追加

「用語のフィルター」ページが開き、この用語の一致条件とアクションを定義できます。

表 2: IPv4 ファイアウォール フィルターの一致条件のフィールド

フィールド

アクション

ソースの一致

送信元アドレス

一致条件に含める、または一致条件から除外する IP 送信元アドレスを入力します。一致条件から送信元 IP アドレスを削除できます。

住所が 25 個を超える場合、このフィールドには、ページを簡単にスクロールしたり、住所の順序を変更したり、検索したりできるリンクが表示されます。

使用可能なオプションは次のとおりです。

  • Add:アドレスを照合条件に含めます。

  • [除外] - 一致条件からアドレスを除外し、[追加] -を選択して、一致条件にアドレスを含めます。

  • 削除—一致条件からIP送信元アドレスを削除します。

IP 送信元アドレスとプレフィックス長を入力し、オプションを選択します。

送信元プレフィックスリスト

一致条件に含める送信元プレフィックスリストを入力します(定義済み)。一致条件からプレフィックスリストを削除できます。

次の中からオプションを選択します。

  • Add—事前定義された送信元プレフィックスリストを一致条件に含めるには、プレフィックスリスト名を入力します。

  • 例外—一致条件からプレフィックスリストを除外し、[追加]を選択します—プレフィックスリストを一致条件に含めます。

  • [削除(Delete)]:一致条件からプレフィックス リストを削除します。

送信元ポート

一致条件に含める、または一致条件から除外する送信元ポートのタイプを入力します。一致条件から送信元ポート タイプを削除できます。

メモ:

この一致条件では、ポートで使用されているプロトコル タイプはチェックされません。プロトコルタイプ(TCPまたはUDP)の一致条件を必ず同じ条件で指定してください。

使用可能なオプションは次のとおりです。

  • Add:ポートを一致条件に含めます。

  • [除外] - 一致条件からポートを除外し、[追加] - ポートを一致条件に含めます。

  • [削除(Delete)]:一致条件からポートを削除します。

ポート名リストからポートを選択します。ポート名、番号、または範囲を入力し、オプションを選択します。

一致先

宛先アドレス

一致条件に含める、または一致から除外する宛先アドレスを入力します。一致条件から宛先IPアドレスを削除できます。

住所が 25 個を超える場合、このフィールドには、ページを簡単にスクロールしたり、住所の順序を変更したり、検索したりできるリンクが表示されます。

使用可能なオプションは次のとおりです。

  • Add:アドレスを照合条件に含めます。

  • 例外 - 一致条件からアドレスを除外し、[追加 - 一致条件にアドレスを含める] を選択します。

  • 削除 - 一致条件から IP アドレスを削除します。

IP 宛先アドレスとプレフィックス長を入力し、オプションを選択します。

宛先プレフィックスリスト

一致条件に含める宛先プレフィックスリスト(定義済み)を入力します。一致条件からプレフィックスリストを削除できます。

次の中からオプションを選択します。

  • [Add]:定義済みの宛先プレフィックス リストを含めるには、プレフィックス リスト名を入力します。

  • 例外—一致条件からプレフィックスリストを除外し、[追加]を選択します—プレフィックスリストを一致条件に含めます。

  • [削除(Delete)]:一致条件からプレフィックス リストを削除します。

宛先ポート

一致条件に含める、または一致から除外する宛先ポートタイプを入力します。一致条件から宛先ポートタイプを削除できます。

メモ:

この一致条件では、ポートで使用されているプロトコル タイプはチェックされません。プロトコルタイプ(TCPまたはUDP)の一致条件を必ず同じ条件で指定してください。

使用可能なオプションは次のとおりです。

  • Add:ポートを一致条件に含めます。

  • [除外] - 一致条件からポートを除外し、[追加] - ポートを一致条件に含めます。

  • [削除(Delete)]:一致条件からポート タイプを削除します。

ポート名リストからポートを選択します。ポート名、番号、または範囲を入力します。をクリックし、オプションを選択します。

送信元または送信先に一致

アドレス

送信元または宛先の一致条件に含める、または除外する IP アドレスを入力します。一致条件からIPアドレスを削除できます。

住所が 25 個を超える場合、このフィールドにはリンクが表示され、ページを簡単にスクロールしたり、住所の順序を変更したり、検索したりできます。

メモ:

このアドレス一致条件は、同じ条件で送信元アドレスまたは宛先アドレスの一致条件と組み合わせて指定することはできません。

使用可能なオプションは次のとおりです。

  • Add:アドレスを照合条件に含めます。

  • 例外 - 一致条件からアドレスを除外し、[追加 - 一致条件にアドレスを含める] を選択します。

  • 削除 - 一致条件から IP アドレスを削除します。

IP 宛先アドレスとプレフィックス長を入力し、オプションを選択します。

プレフィックスリスト

送信元または宛先の一致条件に含めるプレフィックスリストを入力します(定義済み)。一致条件からプレフィックスリストを削除できます。

メモ:

このプレフィックスリスト一致条件は、同じ条件で送信元プレフィックスリストまたは宛先プレフィックスリスト一致条件と組み合わせて指定することはできません。

次の中からオプションを選択します。

  • [Add]:定義済みの宛先プレフィックス リストを含めるには、プレフィックス リスト名を入力します。

  • [削除(Delete)]:一致条件からプレフィックス リストを削除します。

ポート

送信元または宛先の一致条件に含める、または除外するポートタイプを入力します。一致条件から宛先ポートタイプを削除できます。

メモ:

この一致条件では、ポートで使用されているプロトコル タイプはチェックされません。プロトコルタイプ(TCPまたはUDP)の一致条件を必ず同じ条件で指定してください。

また、このポート一致条件は、同じ条件で送信元ポートまたは宛先ポートの一致条件と組み合わせて指定することはできません。

使用可能なオプションは次のとおりです。

  • Add:ポートを一致条件に含めます。

  • [除外] - 一致条件からポートを除外し、[追加] - ポートを一致条件に含めます。

  • [削除(Delete)]:一致条件からポート タイプを削除します。

ポート名リストからポートを選択します。ポート名、番号、または範囲を入力します。をクリックし、オプションを選択します。

インターフェイスの一致

インターフェイス

一致条件に含めるインターフェイスを入力します。一致条件からインターフェイスを削除できます。

使用可能なオプションは次のとおりです。

  • Add:インターフェイスを一致条件に含めます。

  • 削除—一致条件からインターフェイスを削除します。

インターフェイス名のリストから名前を選択するか、インターフェイス名を入力してオプションを選択します。

インターフェイス セット

一致条件に含めるインターフェイス セットを入力します。一致条件からインターフェイス セットを削除できます。

使用可能なオプションは次のとおりです。

  • 追加 - 一致条件にグループを含めます。

  • 削除—一致条件からインターフェイスグループを削除します。

インターフェイス セット名を入力し、オプションを選択します。

インターフェイスグループ

すでに定義した、一致条件に含める、または一致条件から除外するインターフェイスグループを入力します。一致条件からインターフェイスグループを削除できます。

使用可能なオプションは次のとおりです。

  • Add:ポートを一致条件に含めます。

  • [除外] - 一致条件からポートを除外し、[追加] - ポートを一致条件に含めます。

  • 削除— 一致条件からポートタイプを削除します。

グループの名前を入力し、オプションを選択します。

パケットとネットワークの一致

最初のフラグメント

チェックボックスを選択します。

フラグメント パケットの最初のフラグメントを照合します。

フラグメントです

チェックボックスを選択します。

フラグメント パケットの後続フラグメント(最初のフラグメントを除くすべて)を照合します。

フラグメント フラグ

一致条件に含めるフラグを入力します。

フラグを定義するテキストまたは数値文字列を入力します。

TCP確立

チェックボックスを選択します。

接続の最初のパケット以外のすべての伝送制御プロトコル パケットを照合します。

メモ:

この一致条件では、ポートでTCPが使用されているかどうかは確認されません。同じ条件でTCPを一致条件として指定してください。

TCP 初期

チェックボックスを選択します。

接続の最初の伝送制御プロトコル パケットに一致します。

メモ:

この一致条件では、ポートでTCPが使用されているかどうかは確認されません。同じ条件でTCPを一致条件として指定してください。

TCP フラグ

一致条件に含める伝送制御プロトコル フラグを入力します。

メモ:

この一致条件では、ポートでTCPが使用されているかどうかは確認されません。同じ条件でTCPを一致条件として指定してください。

プロトコル

一致条件に含める、または一致条件から除外する IPv4 プロトコル タイプを入力します。一致条件から IPv4 プロトコル タイプを削除できます。

使用可能なオプションは次のとおりです。

  • Add:プロトコルを一致条件に含めます。

  • [除外] - 一致条件からプロトコルを除外し、[追加] - 一致条件にプロトコルを含めます。

  • 削除:一致条件から IPv4 プロトコル タイプを削除します。

一覧からプロトコル名を選択するか、プロトコル名またはプロトコル番号を入力してオプションを選択します。

ICMP タイプ

リストからパケット タイプを選択するか、パケット タイプの名前または番号を入力してオプションを選択します。

メモ:

このプロトコルは、ポートで ICMP が使用されているかどうかを検証しません。必ず同じ条件で ICMP タイプの一致条件を指定してください。

使用可能なオプションは次のとおりです。

  • 追加—一致条件にパケット タイプを含めます。

  • [除外]:一致条件からパケット タイプを除外し、 を選択します。

    追加—一致条件にパケット タイプを含めます。

  • 削除 - 一致条件から ICMP パケット タイプを削除します。

ICMPコード

リストからパケットコードを選択するか、パケットコードをテキストまたは数字で入力してオプションを選択します。

メモ:

ICMP コードは ICMP タイプに依存します。必ず同じ条件で ICMP タイプの一致条件を指定してください。

使用可能なオプションは次のとおりです。

  • 追加—一致条件にパケット タイプを含めます。

  • 例外—一致条件からパケットタイプを除外し、

    追加—一致条件にパケット タイプを含めます。

  • 削除 - 一致条件から ICMP パケット タイプを削除します。

フラグメントオフセット

フラグメントオフセット番号または範囲を入力し、オプションを選択します。

使用可能なオプションは次のとおりです。

  • 追加 - 照合条件にオフセットを含めます。

  • [除外] - 一致条件からオフセットを除外し、[追加] - 一致条件にオフセットを含めます。

  • [削除(Delete)]:一致条件からフラグメント オフセット値を削除します。

優先 順位

一致条件に含める、または一致から除外する IP 優先順位を入力します。一致条件からIP優先度エントリーを削除できます。

使用可能なオプションは次のとおりです。

  • 追加 - 一致条件に優先順位を含めます。

  • [除外] - 一致条件から優先順位を除外し、

    追加 - 一致条件に優先順位を含めます。

  • 削除—一致条件からIP優先順位を削除します。

Dscp

リストから [DSCP] を選択します。または、キーワードとして DSCP 値、0 から 7 までの 10 進整数、またはバイナリ文字列を入力します。をクリックし、オプションを選択します。

使用可能なオプションは次のとおりです。

  • 追加 - 一致条件に DSCP を含めます。

  • 例外 - 一致条件から DSCP を除外し、[追加 - DSCP を一致条件に含める] を選択します。

  • 削除 - 一致条件から DSCP を削除します。

Ttl

1 から 255 までの数値を入力して IPv4 TTL 値を入力し、オプションを選択します。

メモ:

このオプションは、SRX5600デバイスでは使用できません。

使用可能なオプションは次のとおりです。

  • Add:一致条件に TTL を含めます。

  • [除外] - 一致条件から TTL を除外し、[追加 - 一致条件に TTL を含める] を選択します。

  • 削除—一致条件から IPv4 TTL タイプを削除します。

パケット長さ

パケットの長さを指定し、値または範囲を入力します。

オプションを選択します。

使用可能なオプションは次のとおりです。

  • 追加—一致条件にパケット長を含めます。

  • 例外—一致条件からパケット長を除外し、

    追加—一致条件にパケット長を含めます。

  • 削除—一致条件からパケット長の値を削除します。

転送クラス

リストから転送クラスを選択するか、転送クラスを入力して転送クラスを指定し、オプションを選択します。

使用可能なオプションは次のとおりです。

  • Add—一致条件に転送クラスを含めます。

  • [Exccept]:照合条件から転送クラスを除外し、

    Add—一致条件に転送クラスを含めます。

  • 削除—一致条件から転送クラスを削除します。

IP オプション

リストから IP オプションを選択するか、オプションを識別するテキストまたは数字の文字列を入力して、option と入力し、オプションを選択します。

使用可能なオプションは次のとおりです。

  • Add:一致条件にIPオプションを含めます。

  • [除外] - 一致条件から IP オプションを除外し、[ 追加] - 一致条件に IP オプションを含めます。

  • [削除(Delete)]:一致条件から IP オプションを削除します。

IPsec ESP SPI

2進数、16進数、または10進数のSPI値または範囲を入力してESP SPI値を入力し、オプションを選択します。

使用可能なオプションは次のとおりです。

  • 追加 - 一致条件に値を含めます。

  • [除外] - 一致条件から値を除外し、[ 追加 - 一致条件に値を含める] を選択します。

  • 削除 - 一致条件から ESP SPI 値を削除します。

アクション

何もない

[何もしない] を選択します。

アクションを実行しないことを指定します。デフォルトでは、パケットは条件の一致条件を満たす場合に受け入れられ、ファイアウォールフィルターのどの条件にも一致しないパケットは破棄されます。

受け入れる

[ 同意する] を選択します。

条件の一致条件を満たすパケットを受け入れます。

破棄

[ 破棄] を選択します。

条件の一致条件を満たすパケットを破棄します。パケットの廃棄コレクターを指定します。

拒否

[拒否] を選択し、理由の一覧からメッセージの種類を選択します。

条件の一致条件を満たすパケットを拒否し、拒否メッセージを返します。パケットが拒否された理由を示すメッセージタイプを指定できます。

メモ:

拒否されたパケットをログに記録してサンプルするには、このアクションと組み合わせてログとサンプルアクション修飾子を指定します。

次学期

[次の用語] を選択します。

パケットがこの項の一致条件を満たす場合、フィルタ内の次の項を持つパケットを評価します。このアクションにより、パケットが用語の条件に一致する場合でも、次の用語が評価に使用されるようになります。このアクションが指定されていない場合、フィルターは、パケットが条件の条件に一致した後、パケットの評価を停止し、関連するアクションを実行します。

ルーティングインスタンス

一致条件を満たすパケットを受け取り、指定されたルーティング インスタンスに転送します。

「ルーティングインスタンス」を選択し、「ルーティングインスタンス」の横のボックスにルーティングインスタンス名を入力します。

アクション修飾子

転送クラス

パケットを特定の転送クラスとして分類します。

リストから [転送クラス ]を選択します。

カウント

この条件を通過したパケットをカウントします。このフィルターに固有のカウンターに名前を付けることができます。これは、パケットがこのフィルターを使用するインターフェイスを通過するたびに、指定されたカウンターをインクリメントすることを意味します。

[カウント] を選択し、カウンター名を指定する文字、数字、またはハイフンを含む 24 文字の文字列を入力します。

仮想チャネル

仮想チャネルを識別する文字列を入力します。

メモ:

このオプションは、デバイスのSRX345では使用できません。

プレフィックスアクション

プレフィックスアクションを入力します。

メモ:

このオプションは、SRX4100およびSRX345デバイスでは使用できません。

ログ

[ ログ] を選択します。

ルーティング エンジンにパケット ヘッダー情報を記録します。

Syslog

[シスログ] を選択します。

パケット情報をシステムログに記録します。

ポートミラー

[ポート ミラー] を選択します。

ポートはパケットをミラーリングします。

メモ:

このオプションは、SRX5600およびSRX345デバイスでは使用できません。

損失の優先度

パケットの損失の優先度を設定します。これは、送信前にパケットをドロップする優先度であり、パケットのスケジューリング優先度に影響します。

リストから優先度の範囲を選択します。