1.3.2.3 フィルタ条件の設定（必須）

負荷分散／QoS制御コンソールリファレンス

目次索引

1.3.2.3 フィルタ条件の設定（必須）

ルールを実施するための条件を設定します。フィルタ条件が空欄（設定しない）の場合は、全ての通信パケットが合致するため、常にルールが実施されます。このようにフィルタ条件を空欄にしたルールは、優先度を一番低くした「その他」という条件を作成する場合に使用します。

条件を設定するルールのルール名をクリックして、［編集］ボタンをクリックし、［フィルタ条件］タブを選択します。

■「フィルタ条件」タブ

判定
フィルタエントリの評価を行う方法を選択します。

AND条件－全てが一致した場合（フィルタリスト）
設定されている、すべての条件が合致した場合（ANDで評価）に有効となります。

OR条件－何れかが一致した場合（フィルタグループ）
設定されている、どれか1つの条件が合致した場合（ORで評価）に有効となります。
OR条件（フィルタグループ）の中にAND条件（フィルタリスト）を作成することはできますが、AND条件（フィルタリスト）の中にOR条件（フィルタグループ）を作成することはできません。

アプリ識別
特定のアプリケーションを識別する情報として指定する場合に使用します。リストからアプリケーションを選択してください。
通信中に通信ポートが変化するような特別なアプリケーションをリストから指定します。

アクセス制御、SynFlood攻撃防御または帯域制御を行う場合、一連の通信が終了するまで処理単位を追跡し、変換対象となるアドレスを維持する必要があります。

一般的なTCP/UDPまたはIPプロトコルでは、適切に維持されますが、FTPやH.323など接続時とデータ転送時で異なるポート（セカンド・ポート）を使用するようなプロトコルでは、正しく追跡することができません。

追跡を正しくするためには、フィルタ条件の設定で「IPプロトコル」および「接続先のポート」のフィルタエントリを追加し、さらに「アプリ識別」タブを設定する必要があります。

しかし、これらの組み合わせは、各アプリケーションごとに複雑であるため、実際の設定では「参照追加」のフィルタエントリを追加し、ポリシー配下にあらかじめ作成されている、リソース情報の「プロトコル・リスト」から適切なアプリケーションを選択することで、簡単に選択して設定することができます。

これら識別情報を必要とするプロトコルのうち、本装置では、以下のプロトコルをサポートします。

Citrix ICA ( Citrix MetaFrame) (※1)
CU-SeeMe
FNA on TCP/IP
FNA on telnet (TN) (※2)
FTP
H.323 (※3)
HTTP (※4)
IRC
RealMedia（PNA）
StreamWorks
VDOLive
WindowsMedia (MMS) / NetShow

※1～※4 は、フィルタ条件の「アプリ識別」に選択肢が存在しません。これらは、識別情報タブを設定する代わりに、特定のフィルタエントリをフィルタ条件に追加することで、特別な通信であることを識別します。

※1：Citrix Metaframeアプリケーションのフィルタ・エントリを追加してください。アプリケーション名の文字列を空欄にすることで、全てのICAトラフィックが対象となります。

※2：ターミナルのフィルタ・エントリを追加してください。ターミナルタイプの文字列を空欄にすることで、全てのTNトラフィックが対象となります。

※3：H.323アプリケーションのフィルタエントリを追加してください。データタイプをすべてチェックしないことですべてのH.323トラフィックが対象となります。

※4：HTTPアプリケーションのフィルタ・エントリを追加してください。ホスト名、パス名、パラメタ文字列に「.*」を設定することで全てのHTTPトラフィックが対象となります。

Traffic Director(Solaris版)では、以下の注意事項があります。

アクセス制御機能において、“識別情報”は未サポートです。

［新規作成］ボタン
フィルタエントリを追加します。

［新規作成］ボタンをクリックすると表示される種類の一覧から評価を行う条件の種類を選択すると、各フィルタ条件の種類ごとの編集画面が表示されます。

［参照追加］ボタン
フィルタエントリをリソース一覧から選択して追加します。
[参照追加] ボタンをクリックすると、リソース一覧から選択する詳細ペインが表示されます。ほとんどのケースでは「参照追加」を選択し、「フィルタ」を選択して、リソース一覧の中にある「プロトコル・リスト」から選択することで容易に条件を設定することができます。

［編集］ボタン
フィルタエントリを編集します。
編集するフィルタエントリ名をクリックし、［編集］ボタンをクリックすると、各フィルタ条件の種類ごとの編集画面が表示されます。編集画面は、「ポリシー・フレームワークコンソールガイド」の「第5章リソースを作成する」と同様の編集画面が表示されます。コンソール・ガイドを参照してください。

［＝⇔≠］ボタン
フィルタエントリの肯定・否定を設定します。
フィルタエントリの肯定・否定を設定するフィルタエントリ名をクリックし、［＝⇔≠］ボタンをクリックすると、肯定・否定が反転します。

［削除］ボタン
フィルタエントリを削除します。
削除するフィルタエントリ名をクリックし、［削除］ボタンをクリックすると、フィルタエントリが削除されます。

フィルタ・エントリに「接続先のIPアドレス」が選択された状態で、[編集] ボタンをクリックした場合、次のような編集画面が表示されます。編集画面は、「ポリシー・フレームワークコンソールガイド」の「第5章リソースを作成する」と同様の編集画面が表示されます。コンソール・ガイドを参照してください。

設定する条件の詳細を選択して、［追加］ボタンをクリックします。
「設定一覧」に追加されます。

名前
条件の名前（フィルタエントリ名）を指定します。

注釈
必要に応じて、条件の注釈を入力します。

フィルタ条件の設定や、リソースのプロトコル一覧など「フィルタ条件」の設定で、他のフィルタ条件を参照する関係にある場合、参照先のフィルタ条件の「判定」を“AND条件（フィルタリスト）”から“OR条件（フィルタグループ）”または、その反対に変更後、ポリシーの検査を行うと、「リンク」の不具合が検出されることがあります。
この場合、参照元のフィルタ条件の定義から該当する「フィルタ条件」を一度削除してから再度作成する必要があります。
改善されない場合は、参照元のフィルタ条件またはフィルタリングポリシーのルールを削除しなければなりません。
このような依存関係を持つ「参照先」のフィルタ条件は、できるだけ変更しないでください。

また、以下の注意事項があります。

[＝⇔≠]ボタン
以下のポリシーでのみ、[＝⇔≠]ボタンは有効です。
- 帯域制御ポリシーの“ポート番号”、“IPアドレス”
- 負荷分散ポリシーの“分散対象タブ”の“分散ルール編集”

Traffic Director(Solaris版)では、フィルタ動作によって、以下の注意事項があります。

アクセス制御（通過許可、通過禁止）
- “識別情報”は未サポートです。
- “フィルタグループ”は未サポートです。
- “種類”には、以下の種類のみが設定可能です。下記以外の種類を設定した場合、アクセス制御機能全体が動作しません。
  - ホスト名、IPアドレス、またはサブネットを設定したアドレス・リソース
  - “プロトコル”に、「ICMP」、「TCP」、または「UDP」を設定。
  - “プロトコル“に「ICMP」を設定して、かつ”バイナリパターン“として「IPデータの先頭」から2バイトを設定。
  - “接続先のポート”または“接続元のポート”のみの指定は未サポートです。これらを指定する場合は"プロトコル"も指定してください。
- IPアドレスフィルタエントリ1つにつき、1つの条件のみ設定可能です。複数の条件を設定した場合、アクセス制御機能全体が動作しません。
アドレス変換
- “識別情報”はFTP、VDOLive Ver. 2.0、RealAudio Ver. 5.0、StreamWorks Ver. 3.0のみ指定可能です。
- “フィルタグループ”は未サポートです。
- “種類”には、以下の種類のみが設定可能です。下記以外の種類を設定した場合、アドレス変換機能全体が動作しません。
  - ホスト名、IPアドレス、またはサブネットを設定したリソース
帯域制御
- “フィルタグループ”は未サポートです。
- “種類”には、以下の種類が設定可能です。下記以外の種類を設定した場合、無視されます。
  - ホスト名、IPアドレス、またはサブネットを設定したリソース
  - プロトコルに「対象外」、「ICMP」、「TCP」、または「UDP」を設定
  - HTTPアプリケーション・リソースのURLパターンを未設定、または全パラメタを設定
  - バイナリパターンに「対象外」、「IPデータの先頭」、「TCPデータの先頭」、または「UDPデータの先頭」を設定
  - アプリケーションリソースを設定する場合は、必ず“プロトコル”および“ポート番号を指定してください。
  - “接続先のポート”または“接続元のポート”のみの指定は未サポートです。これらを指定する場合は"プロトコル"も指定してください。

目次索引