フィルタリング

フィルタリング

ファイアウォールの一種で、セキュリティを高めるための設定のこと。

パケットフィルタリングでは、パケットの入力・出力・転送に対して、
パケットの合致条件と、合致した場合にパケットをどのように扱うかを ポリシー として設定する。

合致条件およびポリシーの組み合わせのことをルールと呼び、複数のルールを設定した場合、
INDEX（番号）の小さい順に確認される。
あるルールが適用された場合、それ以降の INDEX のルールは確認されない。
いずれのルールにも適用されなかった場合、デフォルトポリシーが適用される。

AG / AR シリーズでは、filter コマンドで設定が可能である。

• 入力パケットに対して、新規パケットかつポートが22番の場合、受け入れる。（Index 100）
• 入力パケットに対して、新規パケットかつポートが80番の場合、受け入れる。（Index 110）
• それ以外の入力パケットは、すべて破棄する。（＝デフォルトポリシー）

amnimo(cfg)# filter input default-policy drop ←デフォルトポリシー
amnimo(cfg)# filter input 110
amnimo(cfg-fin-100)# policy accept
amnimo(cfg-fin-100)# match protocol tcp dst-port 22
amnimo(cfg-fin-100)# match conntrack state new
amnimo(cfg-fin-100)# exit
amnimo(cfg)# filter input 110
amnimo(cfg-fin-110)# policy accept
amnimo(cfg-fin-110)# match protocol tcp dst-port 80
amnimo(cfg-fin-110)# match conntrack state new
amnimo(cfg-fin-110)# exit
amnimo(cfg)#