show security policies
構文
show security policies
<all-logical-systems-tenants>
<checksum>
<count>
<detail>
<from-zone zone-name>
<global>
<hit-count>
<information>
<logical-system logical-system-name>
<policy-name policy-name>
<root-logical-system>
<service-set>
<start>
<tenant tenant-name>
<to-zone zone-name>
<unknown-source-identity>
<zone-context>
説明
デバイスに設定されているすべてのセキュリティポリシーの概要が表示されます。特定のポリシーが指定されている場合は、そのポリシーに固有の情報を表示します。複数のテナントサポートで設定されたポリシーを表示するための既存のshowコマンドが拡張されました。セキュリティ ポリシーは、ゾーン間のトラフィック フローを制御します。セキュリティポリシーでは、あるセキュリティゾーンから別のセキュリティゾーンに通過しようとするトラフィックの拒否、許可、拒否(TCP RSTまたはICMPポート到達不能メッセージを拒否し、送信元ホストに送信する)、暗号化と復号化、認証、優先順位付け、スケジュール、フィルタリング、監視を行うことができます。
オプション
all-logical-systems-tenants
- すべてのマルチテナントシステムを表示します。checksum
- ポリシー情報のチェックサムを表示します。count
- 表示するポリシーの数を表示します。範囲は 1 から 65,535 です。detail
—(オプション)デバイスに設定されたすべてのポリシーの詳細ビューを表示します。from-zone
- 指定された送信元ゾーンに一致するポリシー情報を表示します。global
- (オプション)グローバル ポリシーに関するポリシー情報を表示します。hit-count
- ポリシーのヒットカウントを表示します。information
- ポリシー情報を表示します。logical-system
- 論理システム名を表示します。policy-name
- (オプション)指定されたポリシー名に一致するポリシー情報を表示します。root-logical-system
- ルート論理システムをデフォルトとして表示します。service-set
- サービス セットの名前を表示します。start
- 指定された位置からのポリシーを表示します。範囲は 1 から 65,535 です。tenant
- テナントシステムの名前を表示します。to-zone
- 指定された宛先ゾーンに一致するポリシー情報を表示します。unknown-source-identity
- ポリシーの不明なソースアイデンティティを表示します。zone-context
- 各コンテキスト(fromゾーンとto-zone)のポリシー数を表示します。
必要な権限レベル
ビュー
出力フィールド
表 1 に、このコマンドの出力フィールド show security policies
を示します。出力フィールドは、表示されるおおよその順序に従って示しています。
フィールド名 |
フィールドの説明 |
---|---|
|
ソース・ゾーンの名前。 |
|
宛先ゾーンの名前。 |
|
適用可能なポリシーの名前。 |
|
適用可能なポリシーの説明。 |
|
ポリシーのステータス:
|
|
ポリシーに関連付けられた内部番号。 |
|
特定のコンテキスト内のポリシーの番号。例えば、from-zoneA-to-zoneB のコンテキストで適用可能な 3 つのポリシーは、シーケンス番号 1、2、3 で順序付けられている場合があります。また、from-zoneC-to-zoneDのコンテキストでは、4つのポリシーのシーケンス番号が1、2、3、4になる場合があります。 |
|
標準表示モードの場合、ポリシーの送信元アドレスの名前。アドレス セットは、個々の名前に解決されます。 詳細表示モードでは、ポリシーの送信元アドレスの名前と対応する IP アドレス。アドレス セットは、個々のアドレス名と IP アドレスのペアに解決されます。 |
|
宛先ゾーンのアドレス帳に入力された宛先アドレス(またはアドレス セット)の名前。ポリシーを適用するには、パケットの宛先アドレスがこの値と一致する必要があります。 |
|
デバイスの属性または特性を含むデバイス ID プロファイル(CLI で と呼ばれる |
|
ポリシーから除外された送信元アドレスの名前。 |
|
ポリシーから除外する宛先アドレスの名前。 |
|
ポリシーに指定された 1 つ以上のユーザー ロール。 |
|
構成時に指定された、パケットの種類が一致する構成済みアプリケーションまたはカスタム アプリケーションの名前。
|
Source identity feeds |
一致条件として追加されたソースIDの名前(ユーザー名) |
Destination identity feeds |
一致条件として追加された宛先アイデンティティの名前(ユーザー名) |
|
アプリケーション識別ベースのレイヤー 7 動的アプリケーション。 |
|
宛先アドレス変換トラフィックのステータス:
|
|
アプリケーションファイアウォールには次のものが含まれます:
|
|
|
|
セッション情報をログに記録するために、構成時に および |
|
ポリシーがアクティブになるタイミングをスケジュールによって決定し、トラフィックの一致候補として使用できるスケジュールを持つ事前設定済みスケジューラの名前。 |
|
|
|
統一ポリシーリダイレクトプロファイルを表示します。 プロファイル(動的アプリケーション)を参照してください。 |
|
構成済みの syn チェックとシーケンス チェック、および初期方向、逆方向、またはその両方の構成済み TCP MSS 値。 |
|
セキュリティポリシーに追加されたフィードの詳細。サポートされているフィードは次のとおりです。
|
サンプル出力
- セキュリティポリシーを表示
- show security policies(ダイナミックアプリケーション)
- show security policies policy-name p2
- セキュリティポリシーポリシー名の詳細を表示
- show security policies(サービスオフロード)
- show security policies(デバイスID)
- セキュリティポリシーの詳細を表示
- セキュリティポリシーの詳細を表示(TCPオプション)
- show security policies policy-name(否定アドレス)
- show security policies policy-name detail(否定アドレス)
- セキュリティポリシーをグローバルに表示
- セキュリティ ポリシーの詳細テナントの表示
- セキュリティポリシーの表示(脅威プロファイルフィード)
- セキュリティポリシーの詳細を表示(脅威プロファイルフィード)
- show security policies detail(サービスオフロードが有効)
- show security policies policy-name SOF-enable
- show security policies detail(サービスオフロード無効)
- show security policies policy-name SOF-disable
- show security policies(destination-identity)
- ゾーンからの信頼からゾーンの信頼へのセキュリティ ポリシーの表示の詳細(宛先 ID)
- show security policies detail(destination-identity)
- show security policies global detail(destination-identity)
セキュリティポリシーを表示
user@host> show security policies From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Sequence number: 1 Source addresses: sa-1-ipv4: 198.51.100.11/24 sa-2-ipv6: 2001:db8:a0b:12f0::1/32 sa-3-ipv6: 2001:db8:a0b:12f0::22/32 sa-4-wc: 203.0.113.1/255.255.0.255 Destination addresses: da-1-ipv4: 10.2.2.2/24 da-2-ipv6: 2001:db8:a0b:12f0::8/32 da-3-ipv6: 2001:db8:a0b:12f0::9/32 da-4-wc: 192.168.22.11/255.255.0.255 Source identities: role1, role2, role4 Applications: any Action: permit, application services, log, scheduled Application firewall : my_ruleset1 Policy: p2, State: enabled, Index: 5, Sequence number: 2 Source addresses: sa-1-ipv4: 198.51.100.11/24 sa-2-ipv6: 2001:db8:a0b:12f0::1/32 sa-3-ipv6: 2001:db8:a0b:12f0::22/32 Destination addresses: da-1-ipv4: 10.2.2.2/24 da-2-ipv6: 2001:db8:a0b:12f0::1/32 da-3-ipv6: 2001:db8:a0b:12f0::9/32 Source identities: role1, role4 Applications: any Action: deny, scheduled
show security policies(ダイナミックアプリケーション)
user@host>show security policies Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses: any Destination addresses: any Applications: any Dynamic Applications: junos:YAHOO Action: deny, log Policy: p2, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source addresses: any Destination addresses: any Applications: any Dynamic Applications: junos:web, junos:web:social-networking:facebook, junos:TFTP, junos:QQ Action: permit, log Policy: p3, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 3 Source addresses: any Destination addresses: any Applications: any Dynamic Applications: junos:HTTP, junos:SSL Action: permit, application services, log
次の例は、統合ポリシーが設定された出力を示しています。
user@host> show security policies Default policy: deny-all Pre ID default policy: permit-all From zone: trust, To zone: untrust Policy: p2, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses: any Destination addresses: any Applications: junos-defaults Dynamic Applications: junos:GMAIL, junos:FACEBOOK-CHAT dynapp-redir-profile: profile1
show security policies policy-name p2
user@host> show security policies policy-name p2 Policy: p2, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 From zones: any To zones: any Source vrf group: any Destination vrf group: any Source addresses: any Destination addresses: any Applications: any Dynamic Applications: any Action: permit, application services, feed
セキュリティポリシーポリシー名の詳細を表示
user@host> show security policies policy-name p2 detail Policy: p2, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured, global Sequence number: 1 From zones: any To zones: any Source vrf group: any Destination vrf group: any Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination ports: [0-0] Dynamic Application: any: 0 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Intrusion Detection and Prevention: disabled Unified Access Control: disabled Feed: add-source-ip-to-feed user@host> show security policies policy-name p1 detail Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Description: The policy p1 is for the sales team Sequence number: 1 From zone: trust, To zone: untrust Source addresses: sa-1-ipv4: 198.51.100.11/24 sa-2-ipv6: 2001:db8:a0b:12f0::1/32 sa-3-ipv6: 2001:db8:a0b:12f0::9/32 sa-4-wc: 203.0.113.1/255.255.0.255 Destination addresses: da-1-ipv4: 192.0.2.0/24 da-2-ipv6: 2001:db8:a0b:12f0::1/32 da-3-ipv6: 2001:db8:a0b:12f0::9/32 da-4-wc: 192.168.22.11/255.255.0.255 Source identities: role1 role2 role4 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Destination Address Translation: drop translated Application firewall : Rule-set: my_ruleset1 Rule: rule1 Dynamic Applications: junos:FACEBOOK-ACCESS, junos:YMSG Dynamic Application groups: junos:web, junos:chat Action: deny Default rule: permit Session log: at-create, at-close Scheduler name: sch20 Per policy TCP Options: SYN check: No, SEQ check: No Policy statistics: Input bytes : 18144 545 bps Initial direction: 9072 272 bps Reply direction : 9072 272 bps Output bytes : 18144 545 bps Initial direction: 9072 272 bps Reply direction : 9072 272 bps Input packets : 216 6 pps Initial direction: 108 3 bps Reply direction : 108 3 bps Output packets : 216 6 pps Initial direction: 108 3 bps Reply direction : 108 3 bps Session rate : 108 3 sps Active sessions : 93 Session deletions : 15 Policy lookups : 108
show security policies(サービスオフロード)
user@host> show security policies Policy: p1, action-type: reject, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: trust Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] dynapp-redir-profile: profile1(1) Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
show security policies(デバイスID)
user@host> show security policies From zone: trust, To zone: untrust Policy: dev-id-marketing, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1 Source addresses: any Destination addresses: any source-end-user-profile: marketing-profile Applications: any Action: permit
セキュリティポリシーの詳細を表示
user@host> show security policies detail Default policy: deny-all Policy: p1, action-type: permit, services-offload:enabled , State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Description: The policy p1 is for the sales team Sequence number: 1 From zone: trust, To zone: untrust Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Source identities: role1 role2 role4 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No Policy statistics: Input bytes : 18144 545 bps Initial direction: 9072 272 bps Reply direction : 9072 272 bps Output bytes : 18144 545 bps Initial direction: 9072 272 bps Reply direction : 9072 272 bps Input packets : 216 6 pps Initial direction: 108 3 bps Reply direction : 108 3 bps Output packets : 216 6 pps Initial direction: 108 3 bps Reply direction : 108 3 bps Session rate : 108 3 sps Active sessions : 93 Session deletions : 15 Policy lookups : 108 Policy: p2, action-type: permit, services-offload:enabled , State: enabled, Index: 5, Scope Policy: 0 Policy Type: Configured Description: The policy p2 is for the sales team Sequence number: 1 From zone: untrust, To zone: trust Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Source identities: role1 role2 role4 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No
次の例は、統合ポリシーが設定された出力を示しています。
user@host> show security policies detail Default policy: deny-all Pre ID default policy: permit-all Policy: p2, action-type: reject, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: junos-defaults IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [443-443] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [5432-5432] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [80-80] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [3128-3128] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [8000-8000] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [8080-8080] IP protocol: 17, ALG: 0, Inactivity timeout: 60 Source port range: [0-0] Destination port range: [1-65535] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [443-443] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [5432-5432] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [80-80] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [3128-3128] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [8000-8000] IP protocol: 6, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [8080-8080] IP protocol: 17, ALG: 0, Inactivity timeout: 60 Source port range: [0-0] Destination port range: [1-65535] Dynamic Application: junos:FACEBOOK-CHAT: 10704 junos:GMAIL: 51 dynapp-redir-profile: profile1(1) Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
セキュリティポリシーの詳細を表示(TCPオプション)
user@host> show security policies policy-name p2 detail node0: -------------------------------------------------------------------------- Policy:p2, action-type:permit, State: enabled,Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: trust Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: junos-defaults IP protocol: tcp, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [80-80] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Dynamic-application: junos:HTTP
show security policies policy-name(否定アドレス)
user@host> show security policies policy-name p1 node0: -------------------------------------------------------------------------- From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses(excluded): as1 Destination addresses(excluded): as2 Applications: any Action: permit
show security policies policy-name detail(否定アドレス)
user@host> show security policies policy-name p1 detail node0: -------------------------------------------------------------------------- Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses(excluded): ad1(ad): 255.255.255.255/32 ad2(ad): 198.51.100.1/24 ad3(ad): 198.51.100.6 ~ 198.51.100.56 ad4(ad): 192.0.2.8/24 ad5(ad): 198.51.100.99 ~ 198.51.100.199 ad6(ad): 203.0.113.9/24 ad7(ad): 203.0.113.23/24 Destination addresses(excluded): ad13(ad2): 198.51.100.76/24 ad12(ad2): 198.51.100.88/24 ad11(ad2): 192.0.2.23 ~ 192.0.2.66 ad10(ad2): 192.0.2.93 ad9(ad2): 203.0.113.76 ~ 203.0.113.106 ad8(ad2): 203.0.113.199 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No
セキュリティポリシーをグローバルに表示
user@host> show security policies global policy-name Pa node0: -------------------------------------------------------------------------- Global policies: Policy: Pa, State: enabled, Index: 6, Scope Policy: 0, Sequence number: 1 From zones: any To zones: any Source addresses: H0 Destination addresses: H1 Applications: junos-http Action: permit
セキュリティ ポリシーの詳細テナントの表示
user@host> show security policies detail tenant TN1 Default policy: deny-all Pre ID default policy: permit-all Policy: p1, action-type: permit, State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source addresses: any Destination addresses: any Application: junos-ping IP protocol: 1, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Application: junos-telnet IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [23-23] Application: app_udp IP protocol: udp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [5000-5000] Application: junos-icmp6-all IP protocol: 58, ALG: 0, Inactivity timeout: 60 ICMP Information: type=255, code=0 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Session log: at-create, at-close Policy statistics: Input bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Output bytes : 0 0 bps Initial direction: 0 0 bps Reply direction : 0 0 bps Input packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Output packets : 0 0 pps Initial direction: 0 0 bps Reply direction : 0 0 bps Session rate : 0 0 sps Active sessions : 0 Session deletions: 0 Policy lookups : 0
セキュリティポリシーの表示(脅威プロファイルフィード)
user@host> show security policies policy-name p2 From zone: trust, To zone: untrust Policy: p2, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source vrf group: any Destination vrf group: any Source addresses: any Destination addresses: any Applications: any Source identity feeds: user_feed_1, user_feed_2 Destination identity feeds: user_feed_3, user_feed_4 Action: permit, application services, feed
セキュリティポリシーの詳細を表示(脅威プロファイルフィード)
user@host> show security policies policy-name p2 detail Policy: p2, action-type: permit, State: enabled, Index: 5, Scope Policy: 0 Policy Type: Configured Sequence number: 2 From zone: trust, To zone: untrust Source vrf group: any Destination vrf group: any Source addresses: any-ipv4(bob_addrbook_1): 0.0.0.0/0 any-ipv6(bob_addrbook_1): ::/0 Destination addresses: any-ipv4(bob_addrbook_1): 0.0.0.0/0 any-ipv6(bob_addrbook_1): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination ports: [0-0] Source identity feeds: user_feed_1 user_feed_2 Destination identity feeds: user_feed_3 user_feed_4 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Intrusion Detection and Prevention: disabled Unified Access Control: disabled Feed: add-source-ip-to-feed Feed: add-destination-ip-to-feed Feed: add-source-identity-to-feed Feed: add-destination-identity-to-feed
show security policies detail(サービスオフロードが有効)
user@host> show security policies detail Default policy: deny-all Default policy log Profile ID: 0 Pre ID default policy: permit-all Policy: SOF-enable, action-type: permit, services-offload:enabled , State: enabled, Index: 5, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust1 Source vrf group: any Destination vrf group: any Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination ports: [0-0] Dynamic Application: any: 0 Source identity feeds: any Destination identity feeds: any Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
show security policies policy-name SOF-enable
user@host> show security policies policy-name SOF-enable From zone: trust, To zone: untrust1 Policy: SOF-enable, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1, Log Profile ID: 0 Source vrf group: any Destination vrf group: any Source addresses: any Destination addresses: any Applications: any Dynamic Applications: any Source identity feeds: any Destination identity feeds: any Action: permit, services-offload
show security policies detail(サービスオフロード無効)
user@host> show security policies detail Default policy: deny-all Default policy log Profile ID: 0 Pre ID default policy: permit-all Policy: SOF-disable, action-type: permit, services-offload:disabled , State: enabled, Index: 5, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust1 Source vrf group: any Destination vrf group: any Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination ports: [0-0] Dynamic Application: any: 0 Source identity feeds: any Destination identity feeds: any Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
show security policies policy-name SOF-disable
user@host> show security policies policy-name SOF-disable From zone: trust, To zone: untrust1 Policy: SOF-disable, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1, Log Profile ID: 0 Source vrf group: any Destination vrf group: any Source addresses: any Destination addresses: any Applications: any Dynamic Applications: any Source identity feeds: any Destination identity feeds: any Action: permit, no-services-offload
show security policies(destination-identity)
user@host> show security policies Default policy: deny-all Default policy log Profile ID: 0 Pre ID default policy: permit-all From zone: trust, To zone: untrust Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1, Log Profile ID: 0 Source vrf group: any Destination vrf group: any Source addresses: any Destination addresses: any Applications: junos-http, junos-https Dynamic Applications: junos:HTTP, junos:HTTP-VIDEO, junos:HTTP-AUDIO-CONTENT, junos:BMFF, junos:SSL Source identities: role1, role3 Source identity feeds: any Destination identity context: role2, role4 Destination identity context profile: hr Destination identity feeds: any Action: permit
ゾーンからの信頼からゾーンの信頼へのセキュリティ ポリシーの表示の詳細(宛先 ID)
user@host> show security policies from-zone trust to-zone untrust detail Policy: p2, action-type: permit, services-offload:not-configured , State: enabled, Index: 6, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source vrf group: any Destination vrf group: any Source addresses: any-ipv4: 0.0.0.0/0 any-ipv6: ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: junos-http IP protocol: tcp, ALG: 0, Inactivity timeout: 300 Source port range: [0-0] Destination ports: 80 Application: junos-https IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination ports: 443 Application: junos-ssh IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination ports: 22 Source identity feeds: any Destination identity context: role2 role4 Destination identity context profile: hr Destination identity feeds: any Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
show security policies detail(destination-identity)
user@host> show security policies detail Default policy: deny-all Default policy log Profile ID: 0 Pre ID default policy: permit-all Policy: p1, action-type: permit, services-offload:not-configured , State: enabled, Index: 4, Scope Policy: 0 Policy Type: Configured Sequence number: 1 From zone: trust, To zone: untrust Source vrf group: any Destination vrf group: any Source addresses: any-ipv4: 0.0.0.0/0 any-ipv6: ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: junos-http IP protocol: tcp, ALG: 0, Inactivity timeout: 300 Source port range: [0-0] Destination ports: 80 Application: junos-https IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination ports: 443 Dynamic Application: junos:SSL: 199 junos:BMFF: 1293 junos:HTTP-AUDIO-CONTENT: 10806 junos:HTTP-VIDEO: 11032 junos:HTTP: 67 Source identities: role1 role3 Source identity feeds: any Destination identity context: role2 role4 Destination identity context profile: hr Destination identity feeds: any Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
show security policies global detail(destination-identity)
user@host> show security policies global detail Policy: g1, action-type: reject, services-offload:not-configured , State: enabled, Index: 8, Scope Policy: 0 Policy Type: Configured, global Sequence number: 1 From zones: any To zones: any Source vrf group: any Destination vrf group: any Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: junos-http IP protocol: tcp, ALG: 0, Inactivity timeout: 300 Source port range: [0-0] Destination ports: 80 Application: junos-https IP protocol: tcp, ALG: 0, Inactivity timeout: 1800 Source port range: [0-0] Destination ports: 443 Dynamic Application: junos:HTTP: 67 Source identities: unauthenticated-user role1 Source identity feeds: any Destination identity context: role2 role4 Destination identity context profile: hr Destination identity feeds: any Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
リリース情報
コマンドは Junos OS リリース 9.2 で修正されました。
IPv6 アドレスのサポートは、Junos OS リリース 10.2 で追加されました。
ワイルドカード アドレスのサポートが Junos OS リリース 11.1 で追加されました。
グローバルポリシーとサービスオフロードのサポートがJunos OSリリース11.4で追加されました。
送信元アイデンティティと出力フィールドのサポート Description
は、Junos OSリリース12.1で追加されました。
Junos OSリリース12.1X45-D10で追加された否定アドレスのサポート。
Junos OSリリース12.1X47-D10で、ポリシー統計の出力フィールドが展開され、 および policy-name
オプションの出力フィールドglobal
が拡張され、from-zoneとto-zoneのグローバル一致条件が含まれるようになりました。
および reverse-tcp-mss
オプションのサポートinitial-tcp-mss
は、Junos OSリリース12.3X48-D20で追加されました。
オプションの出力フィールドと説明 source-end-user-profile
は、Junos OSリリース15.1x49-D70で追加されました。
オプションの出力フィールドと説明 dynamic-applications
がJunos OSリリース15.1x49-D100に追加されました。
オプションの出力フィールドと説明 dynapp-redir-profile
がJunos OSリリース18.2R1で追加されました。
このオプションは tenant
、Junos OSリリース18.3R1で導入されました。
このオプションは <all-logical-systems-tenants>
、Junos OSリリース18.4R1で導入されました。
このオプションは information
、Junos OSリリース18.4R1で導入されました。
このオプションは checksum
、Junos OSリリース18.4R1で導入されました。