show security match-policies
構文
show security match-policies
destination-ip <ip-address>
destination-port < port-number>
from-zone <zone-name>
global
logical-system <logical-system-name>
protocol <protocol-name | protocol-number>
result-count <number>
root-logical-system
source-end-user-profile <device-identity-profile-name>
source-identity <role-name>
source-ip <ip-address>
source-port <port-number>
tenant <tenant-name>
to-zone
<zone-name>url category
<url-category>
説明
コマンド show security match-policies
を使用すると、送信元ポート、宛先ポート、送信元IPアドレス、宛先IPアドレス、プロトコルの一致条件を使用して、トラフィックの問題をトラブルシューティングできます。たとえば、 show security match-policies
適切なポリシーが設定されていない、または一致条件が正しくないという理由でトラフィックが通過していない場合、コマンドを使用すると、オフラインで作業を行い、問題の実際の存在を特定できます。検索エンジンを使用して問題を特定し、トラフィックに適切な一致ポリシーを使用できます。
オプション result-count
は、表示するポリシーの数を指定します。リストの 1 つ目で有効になっているポリシーは、一致するすべてのトラフィックに適用されるポリシーです。その下に示すその他のポリシーは、最初のポリシーによって「シャドー」され、一致するトラフィックによって遭遇したことは絶対にしません。
コマンド show security match-policies
はセキュリティ ポリシーにのみ適用されます。IDPポリシーはサポートされていません。
オプション
destination-ip destination-ip
—トラフィックの宛先 IP アドレスを表示します。destination-port destination-port
–トラフィックの宛先ポート番号を表示します。範囲は1~65535です。from-zone zone-name
—トラフィックの送信元ゾーンの名前または ID を表示します。global
—グローバル ポリシーに関する情報を表示します。logical-system
—論理システム名を表示します。protocol protocol-name | protocol-number
–トラフィックのプロトコル名または数値を表示します。ah
または51
egp
または8
esp
または50
gre
または47
icmp
または1
igmp
または2
igp
または9
ipip
または94
ipv6
または41
ospf
または89
pgm
または113
pim
または103
rdp
または27
rsvp
または46
sctp
または132
tcp
または6
udp
または17
vrrp
または112
result-count number
—(オプション)ポリシーと一致する数を表示します。有効な範囲は1~16です。デフォルト値は1です。root-logical-system
—デフォルトでルート論理システムを表示します。source-end-user-profile
device-identity-profile-name—(オプション)1 つ以上のデバイスに適用できる特性を指定するデバイス アイデンティティ プロファイルを表示します。source-identity role-name
—(オプション)ユーザー ロールによって決定されたトラフィックの送信元 ID を表示します。source-ip source-ip
—トラフィックの送信元 IP アドレスを表示します。source-port source-port
—トラフィックの送信元ポート番号を表示します。範囲は1~65535です。tenant
—テナント システムの名前を表示します。to-zone zone-name
—トラフィックの宛先ゾーンの名前または ID を表示します。
必須の権限レベル
ビュー
出力フィールド
表 1 は 、 コマンドの出力フィールドを示 show security match-policies
しています。出力フィールドは、概して表示される順序で一覧表示されます。
フィールド名 |
フィールドの説明 |
---|---|
|
該当するポリシーの名前。 |
|
ポリシーの一致条件に一致するトラフィックに対して実行するアクション。アクションには次のものが含まれます。
|
|
ポリシーのステータス:
|
|
ポリシーに関連付けられた内部番号。 |
|
特定のコンテキスト内のポリシーの数。たとえば、from-zoneA-to-zoneB コンテキストに適用される 3 つのポリシーは、シーケンス番号 1、2、3 で順序付けできます。また、from-zoneC-to-zoneDコンテキストでは、4つのポリシーにシーケンス番号1、2、3、4が付き場合があります。 |
|
ソース ゾーンの名前。 |
|
宛先ゾーンの名前。 |
|
ポリシーの送信元アドレスの名前と対応するIPアドレス。アドレス セットは、個々のアドレス名と IP アドレス のペアに解決されます。 |
|
宛先ゾーンのアドレス ブックに入力されたポリシーの宛先アドレス(またはアドレス セット)の名前と対応する IP アドレス。パケットの宛先アドレスは、ポリシーを適用するために、これらのアドレスの 1 つと一致する必要があります。 |
|
事前設定済みアプリケーションまたはカスタム アプリケーションの |
|
アプリケーションが使用する IP プロトコルの数値です。たとえば、TCP の場合は 6、ICMP の場合は 1 です。 |
|
ALG がセッションに関連付けられている場合、ALG の名前。 それ以外の場合は 0。 |
|
アプリケーションが終了するまでのアクティビティなしの経過時間。 |
|
ポリシーで定義された一致するソース ポートの範囲。 |
|
ポリシーで定義された、一致する宛先ポートの範囲。 |
|
一致ポリシーで定義された 1 つ以上のユーザー ロール。 |
|
グローバル ポリシーに関する情報を表示します。 |
|
1 つ以上のデバイスに適用できる特性を指定するデバイス アイデンティティ プロファイル。 |
出力例
- 例 1:show security match-policis
- 例 2: show security match policis ...結果数
- 例 3: show security match policis ...送信元アイデンティティ
- 例 4: show security match policis ...グローバル
- show security match-policies tenant TN1 from-Zone trust to-Zone untrust source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
- show security match-policis from-zone client to-zone svr source-ip 1.1.1.1 source-port 88 destination-ip 2.2.2.2 destination-port 80 プロトコル tcp url-category Enhanced_Games
例 1:show security match-policis
user@host> show security match-policies from-zone z1 to-zone z2 source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp Policy: p1, action-type: permit, State: enabled, Index: 4 Sequence number: 1 From zone: z1, To zone: z2 Source addresses: a2: 198.51.100.0/24 a3: 10.10.10.1/32 Destination addresses: d2: 203.0.113.0/24 d3: 192.0.2.1/32 Application: junos-ftp IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [21-21]
例 2: show security match policis ...結果数
user@host> show security match-policies from-zone zone-A to-zone zone-B source-ip 10.10.10.1 destination-ip 192.0.2.5 source_port 1004 destination_port 80 protocol tcp result_count 5 Policy: p1, action-type: permit, State: enabled, Index: 4 Sequence number: 1 From zone: zone-A, To zone: zone-B Source addresses: sa1: 10.10.0.0/16 Destination addresses: da5: 192.0.2.0/24 Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 0 Source port range: [1000-1030] Destination port range: [80-80] Policy: p15, action-type: deny, State: enabled, Index: 18 Sequence number: 15 From zone: zone-A, To zone: zone-B Source addresses: sa11: 10.10.10.1/32 Destination addresses: da15: 192.0.2.5/32 Application: any IP protocol: 1, ALG: 0, Inactivity timeout: 0 Source port range: [1000-1030] Destination port range: [80-80]
例 3: show security match policis ...送信元アイデンティティ
user@host> show security match-policies from-zone untrust to-zone trust source-ip 10.10.10.1 destination-ip 192.0.2.1 destination_port 21 protocol 6 source-port 1234 source-identity role1 Policy: p1, action-type: permit, State: enabled, Index: 40 Policy Type: Configured Sequence number: 1 From zone: untrust, To zone: trust Source addresses: a1: 10.0.0.0/8 Destination addresses: d1: 192.0.2.0/24 Application: junos-ftp IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [21-21] Source identities: role1 Per policy TCP Options: SYN check: No, SEQ check: No
例 4: show security match policis ...グローバル
user@host> show security match-policies global source-ip 10.10.10.1 destination-ip 192.0.2.5 source_port 1004 destination_port 80 protocol tcp result_count 5 Policy: gp1, action-type: permit, State: enabled, Index: 6, Scope Policy: 0 Policy Type: Configured, global Sequence number: 1 From zones: Any To zones: Any Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
show security match-policies tenant TN1 from-Zone trust to-Zone untrust source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
user@host> show security match-policies tenant TN1 from-zone trust to-zone untrust source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp Policy: p1, action-type: permit, State: enabled, Index: 4 Sequence number: 1 From zone: trust, To zone: untrust Source addresses: a2: 198.51.100.0/24 a3: 10.10.10.1/32 Destination addresses: d2: 203.0.113.0/24 d3: 192.0.2.1/32 Application: junos-ftp IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [21-21]
show security match-policis from-zone client to-zone svr source-ip 1.1.1.1 source-port 88 destination-ip 2.2.2.2 destination-port 80 プロトコル tcp url-category Enhanced_Games
user@host> show security match-policies from-zone client to-zone svr source-ip 1.1.1.1 source-port 88 destination-ip 2.2.2.2 destination-port 80 protocol tcp url-category Enhanced_Games Policy: p1, action-type: permit, State: enabled, Index: 7 0 Policy Type: Configured Sequence number: 1 From zone: client, To zone: server Source vrf group: any Destination vrf group: any Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination ports: [0-0] Url-category: Enhanced_Sex: 234881056 Enhanced_Games: 234881037 Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No Intrusion Detection and Prevention: disabled Unified Access Control: disabled Unified Threat Management: enabled
リリース情報
リリース10.3 Junos OS導入されたコマンド。
リリース10.4 Junos OSで更新されたコマンド。
リリース12.1 Junos OSで更新されたコマンド。
コマンドを更新し、オプションの from-zone および to-zone グローバル マッチ オプション(Junos OS を含12.1X47-D10。
この tenant
オプションは、リリース リリースJunos OSで18.3R1。
この url category
オプションは、リリース リリース Junos OSで20.2R1。