シンプル フィルターの設定に関するガイドライン
このトピックでは、以下の情報を取り上げます。
シンプルフィルターを設定するためのステートメント階層
シンプルなフィルターを設定するには、 階層レベルで simple-filter simple-filter-name
ステートメントを [edit firewall family inet]
含めます。
[edit] firewall { familyinet
{simple-filter
simple-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
ステートメントでサポートされている個々の simple-filter simple-filter-name
ステートメントは、このトピックで別途説明されており、シンプルなフィルターを設定および適用する例で説明されています。
シンプルフィルタープロトコルファミリー
シンプルなフィルターを設定して、IPv4トラフィック(family inet
)のみをフィルタリングすることができます。シンプルなフィルターでは、他のプロトコルファミリーはサポートされていません。
単純なフィルタは、入力方向にのみ、ファミリinetにのみ適用できます。SRX1400、SRX3400、SRX3600、SRX5600、SRX5800 のデバイスにはハードウェア上の制限があるため、シンプルなフィルターで最大 400 の論理入力インターフェイスと 2,000 の条件(Broadcom パケット プロセッサー内)を適用できます。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
単純なフィルター名
ステートメントの下には family inet
、シンプルフィルターを作成して名前を付けるステートメントを含 simple-filter simple-filter-name
めることができます。フィルター名には、文字、数字、ハイフン(-)を含め、最大64文字を含めることができます。名前にスペースを含める場合は、名前全体を引用符(" ")で囲みます。
シンプルフィルタ条件
ステートメントでは simple-filter simple-filter-name
、フィルター条件を作成して名前を付けるステートメントを含 term term-name
めることができます。
ファイアウォールフィルターには、少なくとも1つの条件を設定する必要があります。
ファイアウォールフィルター内の各条件に一意の名前を指定する必要があります。用語名には、文字、数字、ハイフン(-)を含めることができ、最大64文字まで使用できます。名前にスペースを含める場合は、名前全体を引用符(" ")で囲みます。
ファイアウォールフィルター設定内で条件を指定する順序は重要です。ファイアウォール フィルター条件は、構成された順序で評価されます。デフォルトでは、新しい用語は常に既存のフィルターの最後に追加されます。設定モードコマンドを
insert
使用して、ファイアウォールフィルターの条件を並べ替えることができます。
単純フィルタは、アクションをnext term
サポートしていません 。
1 つの Broadcom パケット プロセッサーでは、SRX1400、SRX3400、SRX3600、SRX5600、SRX5600、SRX5800 の各デバイスで、シンプルなフィルターを使用して最大 2000 の条件を適用できます。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
シンプルフィルター一致条件
シンプルフィルタ条件は、標準のステートレスファイアウォールフィルターでサポートされているIPv4一致条件のサブセットのみをサポートします。
標準のステートレス ファイアウォール フィルターとは異なり、単純なフィルターには以下の制限が適用されます。
拡張キューイング DPC を搭載した MX シリーズ ルーターでは、シンプルなフィルターは 一致条件を
forwarding- class
サポートしていません 。シンプルフィルタは、各フィルター条件に対して1つの
source-address
destination-address
プレフィックスのみをサポートします。複数のプレフィックスを設定した場合、最後のプレフィックスのみが使用されます。単純なフィルタは、1 つの条件で複数の送信元アドレスと宛先アドレスをサポートしません 。複数のアドレスを設定した場合、最後のアドレスのみが使用されます。
単純フィルタは 、一致条件やキーワードなど
protocol-except
、否定された照合条件をexception
サポートしていません 。単純フィルタは、 および
destination-port
一致条件に対source-port
してのみ値の範囲をサポートします。例えば、 またはdestination-port 600-700
を設定source-port 400-500
できます。単純なフィルターは、非連続マスク値をサポートしていません 。
表 1 は、シンプルなフィルター一致条件を示しています。
一致条件 |
説明 |
---|---|
|
IP 宛先アドレスを照会します。 |
|
TCP または UDP 宛先ポート フィールド。 この一致条件を設定した場合、ポートで使用されているプロトコルを 数値の代わりに、 以下のテキストエイリアス(ポート番号も記載されています)のいずれかを指定できます。(ポート番号もリストされています)。 |
|
パケットの転送クラスに一致します。 、 、 |
|
IPプロトコルフィールド。数値の代わりに、 以下のテキストエイリアス(フィールド値も記載されています) |
|
IP 送信元アドレスに一致します。 |
|
UDP または TCP 送信元ポート フィールドに一致します。 この一致条件を設定した場合、ポートで使用されているプロトコルを 数値フィールドの代わりに、 にリストされている |
シンプルフィルター終了アクション
シンプルなフィルターは、 などのaccept
reject
discard
明示的に設定可能な終了アクションをサポートしていません。 シンプルなフィルターで設定された条件は、常にパケットを受け入れます。
単純フィルタは、アクションをnext
サポートしていません 。
シンプルフィルター非終了アクション
単純フィルタは、以下の非終了アクションのみをサポートします。
forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)
メモ:拡張キューイングDPCを搭載したMXシリーズルーターでは、転送クラスは一致条件として
from
サポートされていません。loss-priority (high | low | medium-high | medium-low)
単純なフィルターは、パケット上で他の機能を実行するアクション(カウンターの増加、パケット ヘッダーに関する情報のロギング、パケット データのサンプリング、システム ログ機能を使用したリモート ホストへの情報送信など)をサポートしていません。