Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security match-policies

構文

説明

コマンド show security match-policies を使用すると、送信元ポート、宛先ポート、送信元IPアドレス、宛先IPアドレス、プロトコルの一致条件を使用して、トラフィックの問題をトラブルシューティングできます。たとえば、 show security match-policies 適切なポリシーが設定されていない、または一致条件が正しくないという理由でトラフィックが通過していない場合、コマンドを使用すると、オフラインで作業を行い、問題の実際の存在を特定できます。検索エンジンを使用して問題を特定し、トラフィックに適切な一致ポリシーを使用できます。

オプション result-count は、表示するポリシーの数を指定します。リストの 1 つ目で有効になっているポリシーは、一致するすべてのトラフィックに適用されるポリシーです。その下に示すその他のポリシーは、最初のポリシーによって「シャドー」され、一致するトラフィックによって遭遇したことは絶対にしません。

メモ:

コマンド show security match-policies はセキュリティ ポリシーにのみ適用されます。IDPポリシーはサポートされていません。

オプション

  • destination-ip destination-ip—トラフィックの宛先 IP アドレスを表示します。

  • destination-port destination-port–トラフィックの宛先ポート番号を表示します。範囲は1~65535です。

  • from-zone zone-name—トラフィックの送信元ゾーンの名前または ID を表示します。

  • global—グローバル ポリシーに関する情報を表示します。

  • logical-system—論理システム名を表示します。

  • protocol protocol-name | protocol-number–トラフィックのプロトコル名または数値を表示します。

    • ah または 51

    • egp または 8

    • esp または 50

    • gre または 47

    • icmp または 1

    • igmp または 2

    • igp または 9

    • ipip または 94

    • ipv6 または 41

    • ospf または 89

    • pgm または 113

    • pim または 103

    • rdp または 27

    • rsvp または 46

    • sctp または 132

    • tcp または 6

    • udp または 17

    • vrrp または 112

  • result-count number—(オプション)ポリシーと一致する数を表示します。有効な範囲は1~16です。デフォルト値は1です。

  • root-logical-system—デフォルトでルート論理システムを表示します。

  • source-end-user-profiledevice-identity-profile-name—(オプション)1 つ以上のデバイスに適用できる特性を指定するデバイス アイデンティティ プロファイルを表示します。

  • source-identity role-name—(オプション)ユーザー ロールによって決定されたトラフィックの送信元 ID を表示します。

  • source-ip source-ip—トラフィックの送信元 IP アドレスを表示します。

  • source-port source-port—トラフィックの送信元ポート番号を表示します。範囲は1~65535です。

  • tenant—テナント システムの名前を表示します。

  • to-zone zone-name—トラフィックの宛先ゾーンの名前または ID を表示します。

必須の権限レベル

ビュー

出力フィールド

表 1 は 、 コマンドの出力フィールドを示 show security match-policies しています。出力フィールドは、概して表示される順序で一覧表示されます。

表 1: show security match-policies output フィールド

フィールド名

フィールドの説明

Policy

該当するポリシーの名前。

Action または Action-type

ポリシーの一致条件に一致するトラフィックに対して実行するアクション。アクションには次のものが含まれます。

  • permit

  • firewall-authentication

  • tunnel ipsec-vpn vpn-name

  • pair-policy pair-policy-name

  • deny

  • reject

State

ポリシーのステータス:

  • enabled:ポリシーは、パケットのアクセス権とパケットに関するアクションを決定するポリシー ルックアップ プロセスで使用できます。

  • disabled:ポリシーはポリシー ルックアップ プロセスで使用できないため、アクセス コントロールに使用できません。

Index

ポリシーに関連付けられた内部番号。

Sequence number

特定のコンテキスト内のポリシーの数。たとえば、from-zoneA-to-zoneB コンテキストに適用される 3 つのポリシーは、シーケンス番号 1、2、3 で順序付けできます。また、from-zoneC-to-zoneDコンテキストでは、4つのポリシーにシーケンス番号1、2、3、4が付き場合があります。

From zone

ソース ゾーンの名前。

To zone

宛先ゾーンの名前。

Source addresses

ポリシーの送信元アドレスの名前と対応するIPアドレス。アドレス セットは、個々のアドレス名と IP アドレス のペアに解決されます。

Destination addresses

宛先ゾーンのアドレス ブックに入力されたポリシーの宛先アドレス(またはアドレス セット)の名前と対応する IP アドレス。パケットの宛先アドレスは、ポリシーを適用するために、これらのアドレスの 1 つと一致する必要があります。

Application

事前設定済みアプリケーションまたはカスタム アプリケーションの any 名前、またはアプリケーションが指定されていない場合。

IP protocol

アプリケーションが使用する IP プロトコルの数値です。たとえば、TCP の場合は 6、ICMP の場合は 1 です。

ALG

ALG がセッションに関連付けられている場合、ALG の名前。 それ以外の場合は 0。

Inactivity timeout

アプリケーションが終了するまでのアクティビティなしの経過時間。

Source-port range

ポリシーで定義された一致するソース ポートの範囲。

Destination-port range

ポリシーで定義された、一致する宛先ポートの範囲。

Source identities

一致ポリシーで定義された 1 つ以上のユーザー ロール。

global

グローバル ポリシーに関する情報を表示します。

device-identity-profile-name

1 つ以上のデバイスに適用できる特性を指定するデバイス アイデンティティ プロファイル。

出力例

例 1:show security match-policis

例 2: show security match policis ...結果数

例 3: show security match policis ...送信元アイデンティティ

例 4: show security match policis ...グローバル

show security match-policies tenant TN1 from-Zone trust to-Zone untrust source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp

show security match-policis from-zone client to-zone svr source-ip 1.1.1.1 source-port 88 destination-ip 2.2.2.2 destination-port 80 プロトコル tcp url-category Enhanced_Games

リリース情報

リリース10.3 Junos OS導入されたコマンド。

リリース10.4 Junos OSで更新されたコマンド。

リリース12.1 Junos OSで更新されたコマンド。

コマンドを更新し、オプションの from-zone および to-zone グローバル マッチ オプション(Junos OS を含12.1X47-D10。

この tenant オプションは、リリース リリースJunos OSで18.3R1。

この url category オプションは、リリース リリース Junos OSで20.2R1。