SRXシリーズデバイスは、高度な識別メカニズムを活用したコンテンツセキュリティ機能を提供します。ファイルの識別は、ファイル拡張子（簡単に偽装できます）だけでなく、詳細な検査技術に基づいています。
* AppID（アプリケーション識別）：AppIDはAppSecureスイートの一部であり、ポートやプロトコルに関係なく、デバイスがアプリケーションとコンテンツを分類できるようにします。これにより、SRXはアプリケーションとその関連コンテンツを検出し、適用することができます。
* プロトコルベースのファイルタイプ識別：SRXは、HTTP、FTP、および電子メール（SMTP、IMAP、POP3）プロトコルに埋め込まれたファイルタイプを認識し、識別できます。これにより、ファイルの命名規則に左右されることなく、正確なコンテンツ検査とフィルタリングが可能になります。
* 他の人はなぜダメなのですか?
* ファイル拡張子 (オプション A) はコンテンツのセキュリティにとって信頼できないため、SRX では使用されません。
* ALG (オプション D) は、コンテンツの識別ではなく、SIP または FTP 制御チャネルなどのプロトコル処理に使用されます。
参考資料:Juniper Networks - コンテンツ セキュリティと AppSecure の概要、Junos OS セキュリティの基礎、公式コース ガイド。

SRX ファイアウォール インターフェイスが ICMP ping などの管理トラフィックに応答するには、次の手順を実行します。
* インターフェースはセキュリティゾーンに割り当てられている必要があります（オプションA）。インターフェースがどのゾーンにも属していない場合、ヌルゾーンに配置され、すべてのトラフィックがドロップされます。
* さらに、ゾーンは管理トラフィックタイプとしてhost-inbound-traffic（オプションD）を許可するように設定する必要があります。ICMPの場合、そのゾーンのhost-inbound-trafficでプロトコルを明示的に許可する必要があります。
その他のオプション:
* セキュリティ ポリシー (オプション B) は、SRX デバイス自体宛てのトラフィックではなく、ファイアウォールを通過するトラフィックを制御します。
* インターフェイスをヌル ゾーンに割り当てると (オプション C)、管理を含むすべての通信が防止されます。
正しいアクション: インターフェイスをゾーンに割り当て、host-inbound-traffic で ICMP を設定します。
参考資料:Juniper Networks - ホストの受信トラフィックとゾーン構成、Junos OS セキュリティの基礎。

例外トラフィックとは、ルーティング プロトコルの更新、管理トラフィック、その他のコントロール プレーン パケットなど、処理のためにパケット転送エンジン (PFE) からルーティング エンジン (RE) に送信する必要があるトラフィックです。
RE は限られた重要なリソースであるため、Junos OS は例外トラフィックに対してレート制限を実装します。
* 目的は、ルーティング エンジンに向けられるトラフィックの量を制御することにより、ルーティング エンジンに対するサービス拒否 (DoS) 攻撃を防ぐことです。
* これにより、潜在的な攻撃やトラフィック量の多い状況でも、RE がコントロール プレーン操作を継続的に確実に処理できるようになります。
* レート制限では、転送プレーンのパフォーマンスは向上しません (オプション A)、インターフェイス構成は簡素化されません (オプション B)、ルーティング プロトコルは直接管理されません (オプション D)。
参考:Juniper Networks - Junos OS セキュリティの基礎、例外トラフィック処理。