show security match-policies

구문

설명

이 show security match-policies 명령을 사용하면 일치 기준(소스 포트, 대상 포트, 소스 IP 주소, 대상 IP 주소 및 프로토콜)을 사용하여 트래픽 문제를 해결할 수 있습니다. 예를 들어, 적절한 정책이 구성되지 않았거나 일치 기준이 올바르지 않아 트래픽이 전달되지 않는 경우 show security match-policies 명령을 사용하여 오프라인으로 작업하고 문제가 실제로 존재하는 위치를 식별할 수 있습니다. 검색 엔진을 사용하여 문제를 식별하므로 트래픽에 적합한 동영상 일치 정책을 사용할 수 있습니다.

이 result-count 옵션은 표시할 정책 수를 지정합니다. 목록에서 활성화된 첫 번째 정책은 일치하는 모든 트래픽에 적용되는 정책입니다. 그 아래의 다른 정책은 첫 번째 정책에 의해 "섀도우"되며 일치하는 트래픽에 의해 발생하지 않습니다.

참고:

명령은 show security match-policies 보안 정책에만 적용할 수 있습니다. 침입 탐지 및 방지(IDP) 정책은 지원되지 않습니다.

옵션

• destination-ip destination-ip- 트래픽의 대상 IP 주소를 표시합니다.

• destination-port destination-port–트래픽의 대상 포트 번호를 표시합니다. 범위는 1에서 65,535까지입니다.

• destination-vrf destination-vrf- (옵션) 대상 VRF 정보를 표시합니다.

• from-zone zone-name- 트래픽 소스 영역의 이름 또는 ID를 표시합니다. 글로벌 정책의 경우 선택 사항입니다.

• global- 글로벌 정책에 대한 정보를 표시합니다.

• logical-system- 논리적 시스템 이름을 표시합니다.

• protocol protocol-name | protocol-number–트래픽의 프로토콜 이름 또는 숫자 값을 표시합니다.

  • ah 또는 51

  • egp 또는 8

  • esp 또는 50

  • gre 또는 47

  • icmp 또는 1

  • igmp 또는 2

  • igp 또는 9

  • ipip 또는 94

  • ipv6 또는 41

  • ospf 또는 89

  • pgm 또는 113

  • pim 또는 103

  • rdp 또는 27

  • rsvp 또는 46

  • sctp 또는 132

  • tcp 또는 6

  • udp 또는 17

  • vrrp 또는 112

• result-count number- (선택 사항) 정책 일치 수를 표시합니다. 유효한 범위는 1에서 16까지입니다. 기본값은 1입니다.

• root-logical-system- 루트 논리적 시스템을 기본값으로 표시합니다.

• source-end-user-profiledevice-identity-profile-name- (옵션) 하나 이상의 디바이스에 적용할 수 있는 특성을 지정하는 디바이스 ID 프로파일을 표시합니다.

• source-identity role-name- (선택 사항) 사용자 역할에 의해 결정된 트래픽의 소스 ID를 표시합니다.

• source-ip source-ip- 트래픽의 소스 IP 주소를 표시합니다.

• source-port source-port- 트래픽의 소스 포트 번호를 표시합니다. 범위는 1에서 65,535까지입니다.

• tenant- 테넌트 시스템의 이름을 표시합니다.

• to-zone zone-name- 트래픽의 대상 영역 이름 또는 ID를 표시합니다. 글로벌 정책의 경우 선택 사항입니다.

필요한 권한 수준

보기

출력 필드

표 1 에는 명령의 출력 필드가 나열되어 있습니다 show security match-policies . 출력 필드는 나타나는 대략적인 순서대로 나열됩니다.

표 1: 보안 일치 정책 출력 필드 표시

필드 이름	필드 설명
Policy	해당 정책의 이름입니다.
Action 또는 Action-type	정책의 일치 기준과 일치하는 트래픽에 대해 수행할 작업입니다. 작업은 다음과 같습니다. permit firewall-authentication tunnel ipsec-vpn vpn-name pair-policy pair-policy-name deny reject
State	정책 상태: enabled: 정책은 패킷에 대한 액세스 권한과 패킷과 관련하여 취한 조치를 결정하는 정책 조회 프로세스에서 사용할 수 있습니다. disabled: 정책을 정책 조회 프로세스에서 사용할 수 없으므로 액세스 제어에 사용할 수 없습니다.
Index	정책과 연결된 내부 번호입니다.
Sequence number	지정된 컨텍스트 내의 정책 수입니다. 예를 들어, from-zoneA에서 zoneB로의 컨텍스트에서 적용할 수 있는 세 가지 정책은 시퀀스 번호 1, 2 및 3으로 정렬될 수 있습니다. 또한 from-zoneC-to-zoneD 컨텍스트에서 4개의 정책에 시퀀스 번호 1, 2, 3, 4가 있을 수 있습니다.
From zone	원본 영역의 이름입니다.
To zone	대상 영역의 이름입니다.
Source addresses	정책에 대한 소스 주소의 이름 및 해당 IP 주소입니다. 주소 집합은 개별 주소 이름-IP 주소 쌍으로 확인됩니다.
Destination addresses	대상 영역의 주소록에 입력된 정책에 대한 대상 주소(또는 주소 집합)의 이름과 해당 IP 주소입니다. 패킷의 대상 주소는 정책이 적용되기 위해 이러한 주소 중 하나와 일치해야 합니다.
Application	미리 구성된 응용 프로그램 또는 사용자 지정 응용 프로그램의 이름이거나 any , 응용 프로그램이 지정되지 않은 경우입니다.
IP protocol	응용 프로그램에서 사용하는 IP 프로토콜의 숫자 값(예: TCP의 경우 6, ICMP의 경우 1)입니다.
ALG	ALG가 세션과 연결된 경우 ALG의 이름입니다. 그렇지 않으면 0입니다.
Inactivity timeout	응용 프로그램이 종료된 후 활동이 없는 경과 시간입니다.
Source-port range	정책에 정의된 일치하는 소스 포트의 범위입니다.
Destination-port range	정책에 정의된 일치하는 대상 포트의 범위입니다.
Source identities	일치 정책에 정의된 하나 이상의 사용자 역할입니다.
global	글로벌 정책에 대한 정보를 표시합니다.
device-identity-profile-name	하나 이상의 디바이스에 적용할 수 있는 특성을 지정하는 디바이스 ID 프로파일입니다.

샘플 출력

• 예 1: 보안 일치 정책 표시
• 예 2: 보안 일치 정책 표시 ... 결과 개수
• 예 3: 보안 일치 정책 표시 ... 소스 아이덴티티
• 예 4: 보안 일치 정책 표시... 글로벌
• show security match-policies tenant TN1 from-zone trust to-zone untrust source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
• show security match-policies from-zone client to-zone svr source-ip 10.1.1.1 source-port 88 destination-ip 10.2.2.2 destination-port 80 protocol tcp url-category Enhanced_Games

릴리스 정보

Junos OS 릴리스 10.3에서 소개된 명령입니다.

Junos OS 릴리스 10.4에서 명령이 업데이트되었습니다.

Junos OS 릴리스 12.1에서 명령이 업데이트되었습니다.

Junos OS 릴리스 12.1X47-D10에서 옵션인 from-zone 및 to-zone 글로벌 매치 옵션을 포함하도록 명령이 업데이트되었습니다.

이 tenant 옵션은 Junos OS 릴리스 18.3R1에서 소개됩니다.

이 url category 옵션은 Junos OS 릴리스 20.2R1에서 소개되었습니다.