Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security policies

语法

描述

显示设备上配置的所有安全策略的汇总。如果指定了特定策略,则显示特定于该策略的信息。可增强用于显示配置有多个租户支持的策略的现有 show 命令。安全策略可控制从一个区域到另一个区域的信息流。安全策略允许您拒绝、允许、拒绝(拒绝并将 TCP RST 或 ICMP 端口无法访问的消息发送至源主机),对试图从一个安全区域交叉到另一个安全区域的信息进行加密和解密、身份验证、优先级排序、计划、过滤和监控。

选项

  • all-logical-systems-tenants—显示所有多租户系统。

  • checksum—显示策略信息校验和。

  • count—显示要显示的策略数量。范围为 1 到 65,535。

  • detail—(可选)显示设备上配置的所有策略的详细视图。

  • from-zone— 显示与给定源区域匹配的策略信息。

  • global—(可选)显示有关全局策略的策略信息。

  • hit-count—显示策略命中计数。

  • information—显示策略信息。

  • logical-system—显示逻辑系统名称。

  • policy-name—(可选)显示与既定策略名称匹配的策略信息。

  • root-logical-system—将 root 逻辑系统显示为默认系统。

  • service-set—显示服务集的名称。

  • start—从给定位置显示策略。范围为 1 到 65,535。

  • tenant—显示租户系统的名称。

  • to-zone— 显示与既定目标区域匹配的策略信息。

  • unknown-source-identity— 显示策略的未知源标识。

  • zone-context— 显示每个上下文中的策略计数(从区域到区域)。

所需权限级别

视图

输出字段

表 1 列出了 命令的 show security policies 输出字段。输出字段按其出现的大致顺序列出。

表 1:显示安全策略 输出字段

字段名称

字段说明

From zone

源区域名称。

To zone

目标区域名称。

Policy-name

适用策略的名称。

Description

适用策略的说明。

State

策略的状态:

  • enabled:策略可在策略查找流程中使用,从而确定数据包的访问权限及其所采取的操作。

  • disabled:策略无法在策略查找过程中使用,因此无法进行访问控制。

Index

与策略关联的内部编号。

Sequence number

给定环境中的策略数量。例如,可能会使用序列号 1、2、3 来订购在从区域A 到 zoneB 上下文中适用的三个策略。此外,在从区段C 到区段的环境中,四个策略的序列号可能为 1、2、3、4。

Source addresses

对于标准显示模式,策略的源地址名称。地址集由其个人名称解析。

有关详细显示模式,则为策略的源地址的名称和对应 IP 地址。地址集将解决到其单独的地址名称-IP 地址对。

Destination addresses

在目标区域的地址簿中输入目标地址(或地址集)的名称。数据包的目标地址必须与此值匹配,才能将策略应用于此值。

source-end-user-profile

包含属性或设备特征的设备身份配置文件的名称(在 CLI 中称为 end-user-profile )。现场设备身份配置文件 source-end-user-profile 的规格是设备身份功能的一部分。如果设备匹配配置文件和其他安全策略参数中指定的属性,则安全策略的操作将应用于从设备发出的流量。

Source addresses (excluded)

从策略中排除的源地址的名称。

Destination addresses (excluded)

从策略中排除的目标地址名称。

Source identities

为策略指定一个或多个用户角色。

Applications

预配置或自定义应用程序的名称,其类型与数据包匹配,在配置时间指定。

  • IP protocol:应用程序使用的互联网协议,例如 TCP、UDP、ICMP。

  • ALG:如果 ALG 与策略明确相关联,将显示 ALG 的名称。如果 application-protocol ignore 已配置, ignore 将显示。否则, 0 将显示。

    但是,即使此命令显示 ALG: 0,对于发送至 ALG 侦听的知名端口的数据包,也可能会触发 ALG,除非 ALG 已明确禁用或 application-protocol ignore 未为自定义应用程序配置。

  • Inactivity timeout:没有终止应用程序的活动即可缩短时间。

  • Source port range:会话应用的低源端口范围。

Source identity feeds

作为匹配标准添加的源标识(用户名) 的名称

Destination identity feeds

作为匹配标准添加的目标身份名称(用户名)

Dynamic Applications

基于应用程序识别的 7 层动态应用程序。

Destination Address Translation

目标地址转换信息流的状态:

  • drop translated—使用已转换的目标地址丢弃数据包。

  • drop untranslated—在未转换目标地址的情况下丢弃数据包。

Application Firewall

应用程序防火墙包括以下内容:

  • Rule-set—规则集的名称。

  • Rule—规则名称。

    • Dynamic applications—应用程序名称。

    • Dynamic application groups—应用程序组的名称。

    • Action—对与应用程序防火墙规则集匹配的数据包采取的操作。操作包括:

      • permit

      • deny

  • Default rule— 在规则集的任何规则中未指定已识别的应用程序时,应用的默认规则。

Action or Action-type

  • 为匹配策略元组的数据包而采取的操作。操作包括:

    • permit

    • feed

    • firewall-authentication

    • tunnel ipsec-vpn vpn-name

    • pair-policy pair-policy-name

    • source-nat pool pool-name

    • pool-set pool-set-name

    • interface

    • destination-nat name

    • deny

    • reject

    • services-offload

Session log

会话日志条目,表示是否 at-create 在配置时间设置和 at-close 标记以记录会话信息。

Scheduler name

预配置时间表的名称,其时间表确定策略处于活动状态,可用作信息流的可能匹配项。

Policy statistics

  • Input bytes— 用于设备处理的字节总数。

    • Initial direction— 设备从初始方向显示的用于处理的字节数。

    • Reply direction— 设备从回复方向显示的处理字节数。

  • Output bytes— 实际由设备处理的字节总数。

    • Initial direction— 设备实际处理的初始方向的字节数。

    • Reply direction— 设备实际处理的回复方向上的字节数。

  • Input packets— 用于设备处理的数据包总数。

    • Initial direction— 从初始方向上显示供设备处理的数据包数。

    • Reply direction— 由设备从回复方向显示供处理的数据包数。

  • Output packets— 实际由设备处理的数据包总数。

    • Initial direction— 设备从初始方向实际处理的数据包数。

    • Reply direction— 设备实际从回复方向处理的数据包数。

  • Session rate—活动和已删除的会话总数。

  • Active sessions—由于使用此策略的访问控制查找,当前存在的会话数。

  • Session deletions—自系统启动以来删除的会话数。

  • Policy lookups— 访问策略以检查匹配项的次数。

dynapp-redir-profile

显示统一策略重定向配置文件。请 参阅配置文件(动态应用程序)

Per policy TCP Options

配置的合成和序列检查,以及为初始方向、反向或两者配置的 TCP MSS 值。

Feed

源安全策略中添加的详细信息。支持的源包括:

  • add-source-ip-to-feed
  • add-destination-ip-to-feed
  • 添加源身份到源
  • 添加目标-身份到馈送

示例输出

显示安全策略

显示安全策略(动态应用程序)

以下示例显示已配置统一策略的输出。

显示安全策略策略名称 p2

显示安全策略策略名称详细信息

显示安全策略(服务卸载)

显示安全策略(设备身份)

显示安全策略详细信息

以下示例显示已配置统一策略的输出。

显示安全策略详细信息(TCP 选项)

显示安全策略策略名称(Negated Address)

显示安全策略策略名称详细信息(Negated Address)

显示全球安全策略

显示安全策略详述租户

显示安全策略(威胁配置文件源)

user@host> show security policies policy-name p2
From zone: trust, To zone: untrust
  Policy: p2, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
    Source vrf group: any
    Destination vrf group: any
    Source addresses: any
    Destination addresses: any
    Applications: any
Source identity feeds: user_feed_1, user_feed_2  
Destination identity feeds: user_feed_3, user_feed_4  
    Action: permit, application services, feed

显示安全策略详细信息(威胁配置文件源)

user@host> show security policies policy-name p2 detail
Policy: p2, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
  Policy Type: Configured
  Sequence number: 2
  From zone: trust, To zone: untrust
  Source vrf group:
    any
  Destination vrf group:
    any
  Source addresses:
    any-ipv4(bob_addrbook_1): 0.0.0.0/0
    any-ipv6(bob_addrbook_1): ::/0
  Destination addresses:
    any-ipv4(bob_addrbook_1): 0.0.0.0/0
    any-ipv6(bob_addrbook_1): ::/0
  Application: any
    IP protocol: 0, ALG: 0, Inactivity timeout: 0
      Source port range: [0-0]
      Destination ports: [0-0]
  Source identity feeds:    
user_feed_1
user_feed_2
  Destination identity feeds:    
user_feed_3
user_feed_4
  Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
  Intrusion Detection and Prevention: disabled
  Unified Access Control: disabled
  Feed: add-source-ip-to-feed
  Feed: add-destination-ip-to-feed
  Feed: add-source-identity-to-feed
  Feed: add-destination-identity-to-feed

发布信息

在 Junos OS 版本 9.2 中修改的命令。

Junos OS 版本 10.2 中添加了对 IPv6 地址的支持。

Junos OS 版本 11.1 中添加了通配符地址支持。

Junos OS 版本 11.4 中添加了对全局策略和服务分载的支持。

Junos OS 版本 12.1 中添加了对源身份和 Description 输出字段的支持。

支持在 Junos OS 版本 12.1X45-D10 中添加的否定地址。

策略统计的输出字段扩大,和policy-name选项的global输出字段也随之扩展,以在 Junos OS 版本 12.1X47-D10 中包括从区域到区域的全局匹配标准。

Junos OS 版本 12.3X48-D20 中添加了 initial-tcp-mss 对和 reverse-tcp-mss 选项的支持。

Junos OS 版本 15.1x49-D70 中添加了选项的输出字段和说明 source-end-user-profile

Junos OS 版本 15.1x49-D100 中添加了选项的输出字段和说明 dynamic-applications

Junos OS 版本 18.2R1 中添加了选项的输出字段和说明 dynapp-redir-profile

tenant 选项在 Junos OS 18.3R1 版中引入。

<all-logical-systems-tenants> 选项在 Junos OS 18.4R1 版中引入。

information 选项在 Junos OS 18.4R1 版中引入。

checksum 选项在 Junos OS 18.4R1 版中引入。