Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security policies

構文

説明

デバイスに設定されているすべてのセキュリティポリシーの概要が表示されます。特定のポリシーが指定されている場合は、そのポリシーに固有の情報を表示します。複数のテナントサポートで設定されたポリシーを表示するための既存のshowコマンドが拡張されました。セキュリティ ポリシーは、ゾーン間のトラフィック フローを制御します。セキュリティポリシーでは、あるセキュリティゾーンから別のセキュリティゾーンに通過しようとするトラフィックの拒否、許可、拒否(TCP RSTまたはICMPポート到達不能メッセージを拒否し、送信元ホストに送信する)、暗号化と復号化、認証、優先順位付け、スケジュール、フィルタリング、監視を行うことができます。

オプション

  • all-logical-systems-tenants- すべてのマルチテナントシステムを表示します。

  • checksum- ポリシー情報のチェックサムを表示します。

  • count- 表示するポリシーの数を表示します。範囲は 1 から 65,535 です。

  • detail—(オプション)デバイスに設定されたすべてのポリシーの詳細ビューを表示します。

  • from-zone- 指定された送信元ゾーンに一致するポリシー情報を表示します。

  • global- (オプション)グローバル ポリシーに関するポリシー情報を表示します。

  • hit-count- ポリシーのヒットカウントを表示します。

  • information- ポリシー情報を表示します。

  • logical-system- 論理システム名を表示します。

  • policy-name- (オプション)指定されたポリシー名に一致するポリシー情報を表示します。

  • root-logical-system- ルート論理システムをデフォルトとして表示します。

  • service-set- サービス セットの名前を表示します。

  • start- 指定された位置からのポリシーを表示します。範囲は 1 から 65,535 です。

  • tenant- テナントシステムの名前を表示します。

  • to-zone- 指定された宛先ゾーンに一致するポリシー情報を表示します。

  • unknown-source-identity- ポリシーの不明なソースアイデンティティを表示します。

  • zone-context- 各コンテキスト(fromゾーンとto-zone)のポリシー数を表示します。

必要な権限レベル

ビュー

出力フィールド

表 1 に、このコマンドの出力フィールド show security policies を示します。出力フィールドは、表示されるおおよその順序に従って示しています。

表 1: show security ポリシーの出力フィールド

フィールド名

フィールドの説明

From zone

ソース・ゾーンの名前。

To zone

宛先ゾーンの名前。

Policy-name

適用可能なポリシーの名前。

Description

適用可能なポリシーの説明。

State

ポリシーのステータス:

  • enabled: ポリシーは、パケットのアクセス権とそれに関して実行されるアクションを決定するポリシー検索プロセスで使用できます。

  • disabled: ポリシーはポリシー検索プロセスで使用できないため、アクセス制御には使用できません。

Index

ポリシーに関連付けられた内部番号。

Sequence number

特定のコンテキスト内のポリシーの番号。例えば、from-zoneA-to-zoneB のコンテキストで適用可能な 3 つのポリシーは、シーケンス番号 1、2、3 で順序付けられている場合があります。また、from-zoneC-to-zoneDのコンテキストでは、4つのポリシーのシーケンス番号が1、2、3、4になる場合があります。

Source addresses

標準表示モードの場合、ポリシーの送信元アドレスの名前。アドレス セットは、個々の名前に解決されます。

詳細表示モードでは、ポリシーの送信元アドレスの名前と対応する IP アドレス。アドレス セットは、個々のアドレス名と IP アドレスのペアに解決されます。

Destination addresses

宛先ゾーンのアドレス帳に入力された宛先アドレス(またはアドレス セット)の名前。ポリシーを適用するには、パケットの宛先アドレスがこの値と一致する必要があります。

source-end-user-profile

デバイスの属性または特性を含むデバイス ID プロファイル(CLI で と呼ばれる end-user-profile )の名前。現場でのデバイス ID プロファイルの指定 source-end-user-profile は、デバイス ID 機能の一部です。デバイスがプロファイルおよびその他のセキュリティ ポリシー パラメーターで指定された属性と一致する場合、セキュリティ ポリシーのアクションがデバイスから発行されるトラフィックに適用されます。

Source addresses (excluded)

ポリシーから除外された送信元アドレスの名前。

Destination addresses (excluded)

ポリシーから除外する宛先アドレスの名前。

Source identities

ポリシーに指定された 1 つ以上のユーザー ロール。

Applications

構成時に指定された、パケットの種類が一致する構成済みアプリケーションまたはカスタム アプリケーションの名前。

  • IP protocol: アプリケーションで使用されるインターネット プロトコル (TCP、UDP、ICMP など)。

  • ALG: ALG がポリシーに明示的に関連付けられている場合は、ALG の名前が表示されます。が設定されている場合 application-protocol ignoreignore が表示されます。それ以外の場合は、 0 が表示されます。

    ただし、このコマンドで が表示され ALG: 0ていても、ALGが明示的に無効 application-protocol ignore になっている場合や、カスタムアプリケーション用に構成されていない場合を除き、ALGがリッスンしている既知のポート宛てのパケットに対してALGがトリガーされる可能性があります。

  • Inactivity timeout: アプリケーションが終了するまでのアクティビティーのない経過時間。

  • Source port range: セッション アプリケーションの低から高の送信元ポート範囲。

Source identity feeds

一致条件として追加されたソースIDの名前(ユーザー名)

Destination identity feeds

一致条件として追加された宛先アイデンティティの名前(ユーザー名)

Dynamic Applications

アプリケーション識別ベースのレイヤー 7 動的アプリケーション。

Destination Address Translation

宛先アドレス変換トラフィックのステータス:

  • drop translated- 変換された宛先アドレスを持つパケットをドロップします。

  • drop untranslated- 変換された宛先アドレスがないパケットをドロップします。

Application Firewall

アプリケーションファイアウォールには次のものが含まれます:

  • Rule-set- ルール セットの名前。

  • Rule- ルールの名前。

    • Dynamic applications- アプリケーションの名前。

    • Dynamic application groups- アプリケーション グループの名前。

    • Action- アプリケーション ファイアウォール ルール セットに一致するパケットに関して実行されたアクション。アクションには次のものが含まれます。

      • permit

      • deny

  • Default rule- 識別されたアプリケーションがルール セットのどのルールにも指定されていない場合に適用されるデフォルト ルール。

Action or Action-type

  • ポリシーのタプルに一致するパケットに対して実行されたアクション。アクションには次のものが含まれます。

    • permit

    • feed

    • firewall-authentication

    • tunnel ipsec-vpn vpn-name

    • pair-policy pair-policy-name

    • source-nat pool pool-name

    • pool-set pool-set-name

    • interface

    • destination-nat name

    • deny

    • reject

    • services-offload

Session log

セッション情報をログに記録するために、構成時に および at-close フラグが設定されたかどうかat-create を示すセッションログエントリ。

Scheduler name

ポリシーがアクティブになるタイミングをスケジュールによって決定し、トラフィックの一致候補として使用できるスケジュールを持つ事前設定済みスケジューラの名前。

Policy statistics

  • Input bytes- デバイスによる処理のために提示された合計バイト数。

    • Initial direction- デバイスによる処理のために最初の方向から提示されたバイト数。

    • Reply direction- 応答方向からデバイスによる処理のために提示されたバイト数。

  • Output bytes- デバイスによって実際に処理された合計バイト数。

    • Initial direction- デバイスによって実際に処理された初期方向からのバイト数。

    • Reply direction- デバイスによって実際に処理された応答方向からのバイト数。

  • Input packets- デバイスによる処理のために提示されたパケットの総数。

    • Initial direction- デバイスが処理するために最初の方向から提示したパケットの数。

    • Reply direction- 応答方向からデバイスによる処理のために提示されたパケットの数。

  • Output packets- デバイスによって実際に処理されたパケットの総数。

    • Initial direction- 最初の方向からデバイスによって実際に処理されたパケットの数。

    • Reply direction- 応答方向からデバイスによって実際に処理されたパケットの数。

  • Session rate- アクティブなセッションと削除されたセッションの合計数。

  • Active sessions- このポリシーを使用したアクセス制御ルックアップのために現在存在しているセッションの数。

  • Session deletions- システム起動以降に削除されたセッションの数。

  • Policy lookups- 一致を確認するためにポリシーにアクセスした回数。

dynapp-redir-profile

統一ポリシーリダイレクトプロファイルを表示します。 プロファイル(動的アプリケーション)を参照してください。

Per policy TCP Options

構成済みの syn チェックとシーケンス チェック、および初期方向、逆方向、またはその両方の構成済み TCP MSS 値。

Feed

セキュリティポリシーに追加されたフィードの詳細。サポートされているフィードは次のとおりです。

  • フィードへのソースIPの追加
  • フィードへの宛先IPを追加
  • フィードへのソースアイデンティティの追加
  • フィードへの宛先 ID の追加

サンプル出力

セキュリティポリシーを表示

show security policies(ダイナミックアプリケーション)

次の例は、統合ポリシーが設定された出力を示しています。

show security policies policy-name p2

セキュリティポリシーポリシー名の詳細を表示

show security policies(サービスオフロード)

show security policies(デバイスID)

セキュリティポリシーの詳細を表示

次の例は、統合ポリシーが設定された出力を示しています。

セキュリティポリシーの詳細を表示(TCPオプション)

show security policies policy-name(否定アドレス)

show security policies policy-name detail(否定アドレス)

セキュリティポリシーをグローバルに表示

セキュリティ ポリシーの詳細テナントの表示

セキュリティポリシーの表示(脅威プロファイルフィード)

user@host> show security policies policy-name p2
From zone: trust, To zone: untrust
  Policy: p2, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
    Source vrf group: any
    Destination vrf group: any
    Source addresses: any
    Destination addresses: any
    Applications: any
Source identity feeds: user_feed_1, user_feed_2  
Destination identity feeds: user_feed_3, user_feed_4  
    Action: permit, application services, feed

セキュリティポリシーの詳細を表示(脅威プロファイルフィード)

user@host> show security policies policy-name p2 detail
Policy: p2, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
  Policy Type: Configured
  Sequence number: 2
  From zone: trust, To zone: untrust
  Source vrf group:
    any
  Destination vrf group:
    any
  Source addresses:
    any-ipv4(bob_addrbook_1): 0.0.0.0/0
    any-ipv6(bob_addrbook_1): ::/0
  Destination addresses:
    any-ipv4(bob_addrbook_1): 0.0.0.0/0
    any-ipv6(bob_addrbook_1): ::/0
  Application: any
    IP protocol: 0, ALG: 0, Inactivity timeout: 0
      Source port range: [0-0]
      Destination ports: [0-0]
  Source identity feeds:    
user_feed_1
user_feed_2
  Destination identity feeds:    
user_feed_3
user_feed_4
  Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
  Intrusion Detection and Prevention: disabled
  Unified Access Control: disabled
  Feed: add-source-ip-to-feed
  Feed: add-destination-ip-to-feed
  Feed: add-source-identity-to-feed
  Feed: add-destination-identity-to-feed

show security policies detail(サービスオフロードが有効)

show security policies policy-name SOF-enable

show security policies detail(サービスオフロード無効)

show security policies policy-name SOF-disable

show security policies(destination-identity)

ゾーンからの信頼からゾーンの信頼へのセキュリティ ポリシーの表示の詳細(宛先 ID)

show security policies detail(destination-identity)

show security policies global detail(destination-identity)

リリース情報

コマンドは Junos OS リリース 9.2 で修正されました。

IPv6 アドレスのサポートは、Junos OS リリース 10.2 で追加されました。

ワイルドカード アドレスのサポートが Junos OS リリース 11.1 で追加されました。

グローバルポリシーとサービスオフロードのサポートがJunos OSリリース11.4で追加されました。

送信元アイデンティティと出力フィールドのサポート Description は、Junos OSリリース12.1で追加されました。

Junos OSリリース12.1X45-D10で追加された否定アドレスのサポート。

Junos OSリリース12.1X47-D10で、ポリシー統計の出力フィールドが展開され、 および policy-name オプションの出力フィールドglobalが拡張され、from-zoneとto-zoneのグローバル一致条件が含まれるようになりました。

および reverse-tcp-mss オプションのサポートinitial-tcp-mssは、Junos OSリリース12.3X48-D20で追加されました。

オプションの出力フィールドと説明 source-end-user-profile は、Junos OSリリース15.1x49-D70で追加されました。

オプションの出力フィールドと説明 dynamic-applications がJunos OSリリース15.1x49-D100に追加されました。

オプションの出力フィールドと説明 dynapp-redir-profile がJunos OSリリース18.2R1で追加されました。

このオプションは tenant 、Junos OSリリース18.3R1で導入されました。

このオプションは <all-logical-systems-tenants> 、Junos OSリリース18.4R1で導入されました。

このオプションは information 、Junos OSリリース18.4R1で導入されました。

このオプションは checksum 、Junos OSリリース18.4R1で導入されました。