Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show security policies

구문

설명

디바이스에 구성된 모든 보안 정책의 요약을 표시합니다. 특정 정책이 지정된 경우 해당 정책과 관련된 정보를 표시합니다. 다중 테넌트 지원으로 구성된 정책을 표시하기 위한 기존 show 명령이 향상되었습니다. 보안 정책은 한 영역에서 다른 영역으로 트래픽 플로우를 제어합니다. 보안 정책을 사용하면 거부, 허용, 거부(거부하고 TCP RST 또는 ICMP 포트 도달 불가 메시지를 소스 호스트로 전송), 암호화 및 복호화, 인증, 우선 순위 지정, 스케줄링, 필터링 및 한 보안 영역에서 다른 보안 영역으로 넘어가려는 트래픽을 모니터링할 수 있습니다.

옵션

  • all-logical-systems-tenants- 모든 멀티테넌시 시스템을 표시합니다.

  • checksum- 정책 정보 체크섬을 표시합니다.

  • count- 표시할 정책 수를 표시합니다. 범위는 1에서 65,535까지입니다.

  • detail- (선택 사항) 디바이스에 구성된 모든 정책에 대한 자세한 보기를 표시합니다.

  • from-zone- 지정된 소스 영역과 일치하는 정책 정보를 표시합니다.

  • global- (선택 사항) 글로벌 정책에 대한 정책 정보를 표시합니다.

  • hit-count- 정책 적중 횟수를 표시합니다.

  • information- 정책 정보를 표시합니다.

  • logical-system- 논리적 시스템 이름을 표시합니다.

  • policy-name- (선택 사항) 지정된 정책 이름과 일치하는 정책 정보를 표시합니다.

  • root-logical-system- 루트 논리적 시스템을 기본값으로 표시합니다.

  • service-set- 서비스 세트의 이름을 표시합니다.

  • start- 주어진 위치의 정책을 표시합니다. 범위는 1에서 65,535까지입니다.

  • tenant- 테넌트 시스템의 이름을 표시합니다.

  • to-zone- 지정된 대상 영역과 일치하는 정책 정보를 표시합니다.

  • unknown-source-identity- 정책의 알 수 없는 소스 ID를 표시합니다.

  • zone-context- 각 컨텍스트(from-zone 및 to-zone)의 정책 수를 표시합니다.

필요한 권한 수준

보기

출력 필드

표 1 에는 명령의 출력 필드가 나열되어 있습니다 show security policies . 출력 필드는 나타나는 대략적인 순서대로 나열됩니다.

표 1: 보안 정책 출력 필드 표시

필드 이름

필드 설명

From zone

원본 영역의 이름입니다.

To zone

대상 영역의 이름입니다.

Policy-name

해당 정책의 이름입니다.

Description

해당 정책에 대한 설명입니다.

State

정책 상태:

  • enabled: 정책은 패킷에 대한 액세스 권한과 패킷과 관련하여 취한 조치를 결정하는 정책 조회 프로세스에서 사용할 수 있습니다.

  • disabled: 정책을 정책 조회 프로세스에서 사용할 수 없으므로 액세스 제어에 사용할 수 없습니다.

Index

정책과 연결된 내부 번호입니다.

Sequence number

지정된 컨텍스트 내의 정책 수입니다. 예를 들어, from-zoneA-to-zoneB 컨텍스트에 적용할 수 있는 세 개의 정책은 시퀀스 번호 1, 2, 3으로 정렬될 수 있습니다. 또한 from-zoneC-to-zoneD 컨텍스트에서 4개의 정책에 시퀀스 번호 1, 2, 3, 4가 있을 수 있습니다.

Source addresses

표준 디스플레이 모드의 경우 정책의 소스 주소 이름입니다. 주소 집합은 개별 이름으로 확인됩니다.

세부 정보 표시 모드의 경우 정책에 대한 소스 주소의 이름 및 해당 IP 주소입니다. 주소 집합은 개별 주소 이름-IP 주소 쌍으로 확인됩니다.

Destination addresses

대상 영역의 주소록에 입력된 대상 주소(또는 주소 집합)의 이름입니다. 패킷의 대상 주소는 정책이 적용되기 위해 이 값과 일치해야 합니다.

source-end-user-profile

속성 또는 디바이스의 특성을 포함하는 디바이스 ID 프로파일(CLI에서 참조 end-user-profile )의 이름입니다. 필드에서 source-end-user-profile 디바이스 ID 프로필의 사양은 디바이스 ID 기능의 일부입니다. 디바이스가 프로필 및 기타 보안 정책 매개 변수에 지정된 속성과 일치하면 보안 정책의 작업이 디바이스에서 발생하는 트래픽에 적용됩니다.

Source addresses (excluded)

정책에서 제외된 원본 주소의 이름입니다.

Destination addresses (excluded)

정책에서 제외된 대상 주소의 이름입니다.

Source identities

정책에 대해 지정된 하나 이상의 사용자 역할입니다.

Applications

구성 시 지정된 대로 패킷 유형이 일치하는 사전 구성된 애플리케이션 또는 사용자 지정 애플리케이션의 이름입니다.

  • IP protocol: 응용 프로그램에서 사용하는 인터넷 프로토콜(예: TCP, UDP, ICMP)입니다.

  • ALG: ALG가 정책과 명시적으로 연결된 경우 ALG의 이름이 표시됩니다. 이(가) 구성된 경우 application-protocol ignore , ignore 이(가) 표시됩니다. 그렇지 않으면 이 0 표시됩니다.

    그러나 이 명령이 를 표시 ALG: 0하더라도, ALG가 명시적으로 비활성화 application-protocol ignore 되거나 사용자 지정 애플리케이션에 대해 구성되지 않는 한, ALG가 수신 대기 중인 잘 알려진 포트로 향하는 패킷에 대해 ALG가 트리거될 수 있습니다.

  • Inactivity timeout: 응용 프로그램이 종료된 후 활동이 없는 경과 시간입니다.

  • Source port range: 세션 응용 프로그램에 대한 low-high 소스 포트 범위입니다.

Source identity feeds

일치 조건으로 추가된 소스 자격 증명(사용자 이름)의 이름

Destination identity feeds

대상 ID(사용자 이름)의 이름이 일치 기준으로 추가됨

Dynamic Applications

애플리케이션 식별 기반 레이어 7 동적 애플리케이션.

Destination Address Translation

대상 주소 변환 트래픽 상태:

  • drop translated- 변환된 대상 주소가 있는 패킷을 삭제합니다.

  • drop untranslated- 변환된 대상 주소가 없는 패킷을 삭제합니다.

Application Firewall

응용 프로그램 방화벽에는 다음이 포함됩니다.

  • Rule-set- 규칙 집합의 이름입니다.

  • Rule- 규칙의 이름입니다.

    • Dynamic applications- 응용 프로그램의 이름입니다.

    • Dynamic application groups- 응용 프로그램 그룹의 이름입니다.

    • Action- 애플리케이션 방화벽 규칙 집합과 일치하는 패킷에 대해 수행된 작업입니다. 작업은 다음과 같습니다.

      • permit

      • deny

  • Default rule- 식별된 응용 프로그램이 규칙 집합의 규칙에 지정되지 않은 경우 적용되는 기본 규칙입니다.

Action or Action-type

  • 정책의 튜플과 일치하는 패킷에 대해 수행된 작업입니다. 작업은 다음과 같습니다.

    • permit

    • feed

    • firewall-authentication

    • tunnel ipsec-vpn vpn-name

    • pair-policy pair-policy-name

    • source-nat pool pool-name

    • pool-set pool-set-name

    • interface

    • destination-nat name

    • deny

    • reject

    • services-offload

Session log

및 플래그가 구성 시 세션 정보를 기록하도록 설정되었는지 여부를 at-create at-close 나타내는 세션 로그 항목입니다.

Scheduler name

일정에 따라 정책이 활성화되는 시기가 결정되고 트래픽과 가능한 일치 항목으로 사용할 수 있는 사전 구성된 스케줄러의 이름입니다.

Policy statistics

  • Input bytes- 디바이스에서 처리하기 위해 제시된 총 바이트 수입니다.

    • Initial direction- 초기 방향부터 디바이스가 처리하기 위해 제시한 바이트 수입니다.

    • Reply direction- 응답 방향에서 디바이스가 처리하기 위해 제시한 바이트 수입니다.

  • Output bytes- 디바이스에서 실제로 처리한 총 바이트 수입니다.

    • Initial direction- 디바이스에서 실제로 처리한 초기 방향으로부터의 바이트 수입니다.

    • Reply direction- 디바이스에서 실제로 처리한 응답 방향으로부터의 바이트 수입니다.

  • Input packets- 디바이스에서 처리하기 위해 제공된 총 패킷 수입니다.

    • Initial direction- 초기 방향에서 디바이스가 처리하기 위해 제시한 패킷 수입니다.

    • Reply direction- 응답 방향에서 디바이스가 처리하기 위해 제시한 패킷 수.

  • Output packets- 디바이스에서 실제로 처리한 총 패킷 수입니다.

    • Initial direction- 초기 방향에서 디바이스가 실제로 처리한 패킷 수입니다.

    • Reply direction- 응답 방향에서 디바이스가 실제로 처리한 패킷 수입니다.

  • Session rate- 활성 및 삭제된 세션의 총 수입니다.

  • Active sessions- 이 정책을 사용한 액세스 제어 조회로 인해 현재 존재하는 세션 수입니다.

  • Session deletions- 시스템 시작 이후 삭제된 세션 수입니다.

  • Policy lookups- 일치 여부를 확인하기 위해 정책에 액세스한 횟수입니다.

dynapp-redir-profile

통합 정책 리디렉션 프로필을 표시합니다. profile(dynamic-application)을 참조하십시오.

Per policy TCP Options

구성된 syn 및 시퀀스 검사와 초기 방향, 역방향 또는 둘 다에 대해 구성된 TCP MSS 값.

Feed

보안 정책에 추가된 피드 세부 정보입니다. 지원되는 피드는 다음과 같습니다.

  • 피드에 소스 IP 추가
  • add-destination-ip-to-feed
  • 피드에 소스 ID 추가
  • 피드에 대상 ID 추가

샘플 출력

보안 정책 표시

보안 정책 표시(동적 애플리케이션)

다음 예제에서는 통합 정책이 구성된 출력을 표시합니다.

보안 정책 정책 이름 p2 표시

보안 정책 정책 이름 세부 정보 표시

보안 정책 표시(Services-Offload)

보안 정책 표시(디바이스 ID)

보안 정책 세부 정보 표시

다음 예제에서는 통합 정책이 구성된 출력을 표시합니다.

show security policies detail(TCP 옵션)

show security policies policy-name(부정 주소)

show security policies policy-name detail(부정 주소)

보안 정책 전역 표시

보안 정책 세부 테넌트 표시

보안 정책 표시(위협 프로필 피드)

user@host> show security policies policy-name p2
From zone: trust, To zone: untrust
  Policy: p2, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
    Source vrf group: any
    Destination vrf group: any
    Source addresses: any
    Destination addresses: any
    Applications: any
Source identity feeds: user_feed_1, user_feed_2  
Destination identity feeds: user_feed_3, user_feed_4  
    Action: permit, application services, feed

보안 정책 세부 정보 표시(위협 프로필 피드)

user@host> show security policies policy-name p2 detail
Policy: p2, action-type: permit, State: enabled, Index: 5, Scope Policy: 0
  Policy Type: Configured
  Sequence number: 2
  From zone: trust, To zone: untrust
  Source vrf group:
    any
  Destination vrf group:
    any
  Source addresses:
    any-ipv4(bob_addrbook_1): 0.0.0.0/0
    any-ipv6(bob_addrbook_1): ::/0
  Destination addresses:
    any-ipv4(bob_addrbook_1): 0.0.0.0/0
    any-ipv6(bob_addrbook_1): ::/0
  Application: any
    IP protocol: 0, ALG: 0, Inactivity timeout: 0
      Source port range: [0-0]
      Destination ports: [0-0]
  Source identity feeds:    
user_feed_1
user_feed_2
  Destination identity feeds:    
user_feed_3
user_feed_4
  Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
  Intrusion Detection and Prevention: disabled
  Unified Access Control: disabled
  Feed: add-source-ip-to-feed
  Feed: add-destination-ip-to-feed
  Feed: add-source-identity-to-feed
  Feed: add-destination-identity-to-feed

보안 정책 세부 정보 표시(서비스 오프로드 사용)

보안 정책 정책 이름 SOF-enable 표시

보안 정책 세부 정보 표시(서비스 오프로드 비활성화됨)

보안 정책 정책 이름 SOF-disable 표시

보안 정책 표시(destination-identity)

보안 정책 from-zone trust to-zone untrust detail(destination-identity) 표시

보안 정책 세부 정보 표시(destination-identity)

보안 정책 전역 세부 정보 표시(destination-identity)

릴리스 정보

Junos OS 릴리스 9.2에서 수정된 명령.

IPv6 주소에 대한 지원이 Junos OS 릴리스 10.2에 추가되었습니다.

와일드카드 주소에 대한 지원이 Junos OS 릴리스 11.1에 추가되었습니다.

글로벌 정책 및 서비스 오프로딩에 대한 지원이 Junos OS 릴리스 11.4에 추가되었습니다.

source-identities 및 Description 출력 필드에 대한 지원이 Junos OS 릴리스 12.1에 추가되었습니다.

부정 주소에 대한 지원이 Junos OS 릴리스 12.1X45-D10에 추가되었습니다.

정책 통계의 출력 필드가 확장되었고, 및 policy-name 옵션의 출력 필드가 global 확장되어 Junos OS 릴리스 12.1X47-D10의 from-zone 및 to-zone 글로벌 일치 기준을 포함합니다.

reverse-tcp-mss 옵션에 대한 initial-tcp-mss 지원이 Junos OS 릴리스 12.3X48-D20에 추가되었습니다.

옵션에 대한 source-end-user-profile 출력 필드 및 설명이 Junos OS 릴리스 15.1x49-D70에 추가되었습니다.

옵션에 대한 dynamic-applications 출력 필드 및 설명이 Junos OS 릴리스 15.1x49-D100에 추가되었습니다.

옵션에 대한 dynapp-redir-profile 출력 필드 및 설명이 Junos OS 릴리스 18.2R1에 추가되었습니다.

tenant 옵션은 Junos OS 릴리스 18.3R1에서 소개됩니다.

<all-logical-systems-tenants> 옵션은 Junos OS 릴리스 18.4R1에서 소개되었습니다.

information 옵션은 Junos OS 릴리스 18.4R1에서 소개되었습니다.

checksum 옵션은 Junos OS 릴리스 18.4R1에서 소개되었습니다.