Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

クラシック フィルターの概要

ダイナミック ファイアウォール機能は、インターフェイスに動的に適用されるスタティック フィルターであるクラシック フィルターをサポートしています。コミット時にコンパイルされ、サービスがアクティブ化されると、フィルターのインターフェイス固有のクローンが作成されて 論理インターフェイスにアタッチされます。この動的アプリケーションは、入力フィルターまたは出力フィルターを動的プロファイルに関連付けることによって実行されます。

この概要の内容は次のとおりです。

クラシックフィルタータイプ

次のクラシック フィルターの種類がサポートされています。

  • ポート(レイヤー 2) ファイアウォール フィルター:ポート ファイアウォール フィルターは、レイヤー 2 スイッチ ポートに適用されます。ポートファイアウォールフィルターは、物理ポートの入力方向にのみ適用できます。

  • VLANファイアウォールフィルター:VLANファイアウォールフィルターは、VLANに入るパケット、VLAN内でブリッジングされるパケット、およびVLANを離れるパケットのアクセス制御を提供します。VLANのイングレス方向とエグレス方向の両方にVLANファイアウォールフィルターを適用できます。VLANファイアウォールフィルターは、VLANとの間で転送されるすべてのパケットに適用されます。

  • ルーター(レイヤー 3)ファイアウォール フィルター—レイヤー 3(ルーティング)インターフェイスのイングレス方向とエグレス方向の両方にルーター ファイアウォール フィルターを適用できます。

クラシックフィルターコンポーネント

クラシック フィルターを作成するときは、最初にファミリ アドレスの種類 (inet または inet6) を定義してから、フィルタリング条件と一致が発生したときに実行するアクションを指定する 1 つ以上の用語を定義します。

各用語またはルールは、次のコンポーネントで構成されます。

  • 一致条件:パケットに含める必要のある値またはフィールドを指定します。次のようなさまざまな照合条件を定義できます。

    • IP 送信元アドレス フィールド

    • IP 宛先アドレス フィールド

    • 伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)送信元ポートフィールド

    • IPプロトコルフィールド

    • ICMP(Internet Control Message Protocol)パケット タイプ

    • TCP フラグ

    • インターフェイス

  • アクション - 一致条件が発生したときに実行する処理を指定します。可能なアクションは、パケットを受け入れるか破棄することです。さらに、パケットをカウントして、統計情報を収集できます。条件に対してアクションが指定されていない場合、デフォルトのアクションはパケットを受け入れることです。

  • 加入者管理ファイアウォールフィルター – 加入者インターフェイスに動的に適用される静的フィルターを指定します(Junos OS Evolvedリリース24.2R1以降、追加フィルター、ACX7100-48L、ACX7332、およびACX7348デバイスでサポート)

  • 転送クラス、
  • 損失の優先度、
  • パケット長、
  • DSCP、
  • トラフィック クラス

従来のフィルター処理

クラシック フィルター内の用語の順序は重要です。パケットは、ファイアウォール フィルター設定に記載されている順序で各条件に対してテストされます。ファイアウォールフィルターに複数の条件が含まれる場合、ルーターはトップダウンアプローチを採用し、パケットをファイアウォールフィルターの最初の条件と比較します。パケットが最初の条件に一致する場合、ルーターはその条件によって定義されたアクションを実行してパケットを受け入れるか拒否し、他の用語は評価されません。パケットと最初の条件の間に一致が見つからなかった場合、ルーターは同じ一致プロセスを使用して、パケットをファイアウォールフィルター内の次の条件と比較します。パケットと 2 番目の条件の間に一致がない場合、ルーターは、一致するものが見つかるまで、ファイアウォール フィルターで定義された後続の各条件とパケットを比較し続けます。パケットがファイアウォールフィルターのどの条件にも一致しない場合、デフォルトアクションはパケットを破棄します。

また、動的プロファイル内の入出力フィルターに優先順位 (0 から 255) を指定して、フィルター処理を特定の順序で強制することもできます。フィルターの優先順位の値を低く設定すると、動的プロファイル内での優先順位が高くなります。優先順位の値が低いフィルターは、優先順位の値が高いフィルターの前にインターフェイスに適用されます。優先度を 0 (デフォルト) にすると、フィルターの優先順位が最高になります。優先順位が指定されていない場合、フィルターはゼロ (最も高い優先順位) の優先順位を受け取ります。優先順位が一致するフィルター(0 またはそれ以外)は、ランダムな順序で適用されます。

手記:

ダイナミック・フィルターは、ルーティング・エンジンから送信されたアウトバウンド・パケットを処理しません。ルーティング・エンジンから発信されたアウトバウンド・パケットをフィルターにするには、インターフェースごとに静的アウトバウンド・フィルターを作成します。

加入者インターフェイスのクラシックフィルターの作成と適用に関するガイドライン

ファイアウォールフィルターの動的設定がサポートされています。ただし、通常どおりにインターフェイス用の静的ファイアウォールフィルターを作成し続け、動的プロファイルを使用して静的に作成されたインターフェイスにそれらのフィルターを動的に適用することもできます。また、動的プロファイルを使用して、RADIUS を介して入出力フィルターを取り付けることもできます。

フィルターを作成して適用するときは、次の点に注意してください。

  • 入出力フィルターのみの動的適用がサポートされています。

  • フィルターはインターフェイス固有である必要があります。

  • ファミリ固有の inet フィルタおよび inet6 フィルタを作成できます。

  • インターフェイスに設定された任意のファミリ タイプ(inetまたはinet6)に適用するインターフェイス固有のフィルタを unit レベルで作成できます。

  • IPv4 フィルターと IPv6 フィルターの両方を、同じサービスアクティブ化または非アクティブ化で追加または削除できます。

  • 一方のフィルター タイプを削除しても、もう一方のタイプのフィルターには影響しません。例えば、IPv6 フィルターを削除し、現行の IPv4 フィルターをアクティブのままにしておくことができます。

  • 最大 5 つの入力フィルターと 4 つの出力フィルターを連結できます。

  • フィルターを設定および適用しない場合、インターフェイスはデフォルトのグループフィルター設定を使用します。

  • 同じ論理インターフェイス上の加入者がバインドされている間は、ファイアウォールフィルターを変更または削除することはできません。

関連ドキュメント