フィルタリング
ファイアウォールの一種で、セキュリティを高めるための設定のこと。
パケットフィルタリングでは、パケットの入力・出力・転送に対して、
パケットの合致条件と、合致した場合にパケットをどのように扱うかを ポリシー として設定する。
合致条件およびポリシーの組み合わせのことをルールと呼び、複数のルールを設定した場合、
INDEX(番号)の小さい順に確認される。
あるルールが適用された場合、それ以降の INDEX のルールは確認されない。
いずれのルールにも適用されなかった場合、デフォルトポリシーが適用される。
AG / AR シリーズでは、filter コマンドで設定が可能である。
- 入力パケットに対して、新規パケットかつポートが22番の場合、受け入れる。(Index 100)
- 入力パケットに対して、新規パケットかつポートが80番の場合、受け入れる。(Index 110)
- それ以外の入力パケットは、すべて破棄する。(=デフォルトポリシー)
amnimo(cfg)# filter input default-policy drop ←デフォルトポリシー
amnimo(cfg)# filter input 110
amnimo(cfg-fin-100)# policy accept
amnimo(cfg-fin-100)# match protocol tcp dst-port 22
amnimo(cfg-fin-100)# match conntrack state new
amnimo(cfg-fin-100)# exit
amnimo(cfg)# filter input 110
amnimo(cfg-fin-110)# policy accept
amnimo(cfg-fin-110)# match protocol tcp dst-port 80
amnimo(cfg-fin-110)# match conntrack state new
amnimo(cfg-fin-110)# exit
amnimo(cfg)#
コメント
0件のコメント
サインインしてコメントを残してください。