show security match-policies
構文
show security match-policiesdestination-ip <ip-address>destination-port < port-number>destination-vrf <destination-vrf>from-zone <zone-name>globallogical-system <logical-system-name>protocol <protocol-name | protocol-number>result-count <number>root-logical-systemsource-end-user-profile <device-identity-profile-name>source-identity <role-name>source-ip <ip-address>source-port <port-number>tenant <tenant-name>to-zone<zone-name>url category<url-category>
説明
このコマンド show security match-policies を使用すると、一致基準(送信元ポート、宛先ポート、送信元 IP アドレス、宛先 IP アドレス、プロトコル)を使用してトラフィックの問題のトラブルシューティングを行うことができます。たとえば、適切なポリシーが設定されていないか、一致条件が正しくないためにトラフィックが通過しない場合、このコマンドを使用するとオフラインで作業し、 show security match-policies 問題が実際に存在する場所を特定できます。検索エンジンを使用して問題を特定するため、トラフィックに適切な一致ポリシーを使用できます。
オプションは、 result-count 表示するポリシーの数を指定します。リスト内で最初に有効なポリシーは、一致するすべてのトラフィックに適用されるポリシーです。その下にある他のポリシーは、最初のポリシーによって「シャドウ」され、一致するトラフィックによって検出されることはありません。
コマンドは show security match-policies 、セキュリティ ポリシーにのみ適用されます。IDP ポリシーはサポートされていません。
オプション
-
destination-ip destination-ip- トラフィックの宛先 IP アドレスを表示します。 -
destination-port destination-port- トラフィックの宛先ポート番号を表示します。範囲は 1 から 65,535 です。 -
destination-vrf destination-vrf—(オプション)宛先 VRF 情報を表示します。 -
from-zone zone-name- トラフィックの送信元ゾーンの名前または ID を表示します。これは、グローバル ポリシーではオプションです。 -
global- グローバル ポリシーに関する情報を表示します。 -
logical-system- 論理システム名を表示します。 -
protocol protocol-name | protocol-number- トラフィックのプロトコル名または数値を表示します。-
ahまたは51 -
egpまたは8 -
espまたは50 -
greまたは47 -
icmpまたは1 -
igmpまたは2 -
igpまたは9 -
ipipまたは94 -
ipv6または41 -
ospfまたは89 -
pgmまたは113 -
pimまたは103 -
rdpまたは27 -
rsvpまたは46 -
sctpまたは132 -
tcpまたは6 -
udpまたは17 -
vrrpまたは112
-
-
result-count number—(オプション)一致したポリシーの数を表示します。有効範囲は 1 から 16 です。デフォルト値は1です。 -
root-logical-system- ルート論理システムをデフォルトとして表示します。 -
source-end-user-profiledevice-identity-profile-name—(オプション)1 つ以上のデバイスに適用できる特性を指定するデバイス ID プロファイルを表示します。 -
source-identity role-name—(オプション)ユーザ ロールによって決定されたトラフィックの送信元 ID を表示します。 -
source-ip source-ip- トラフィックの送信元 IP アドレスを表示します。 -
source-port source-port- トラフィックの送信元ポート番号を表示します。範囲は 1 から 65,535 です。 -
tenant- テナントシステムの名前を表示します。 -
to-zone zone-name- トラフィックの宛先ゾーンの名前または ID を表示します。これは、グローバル ポリシーではオプションです。
必要な権限レベル
ビュー
出力フィールド
表 1 に、このコマンドの出力フィールド show security match-policies を示します。出力フィールドは、表示されるおおよその順序に従って示しています。
| フィールド名 |
フィールドの説明 |
|---|---|
|
|
適用可能なポリシーの名前。 |
|
|
ポリシーの一致条件に一致するトラフィックに対して実行するアクション。アクションには次のものが含まれます。
|
|
|
ポリシーのステータス:
|
|
|
ポリシーに関連付けられた内部番号。 |
|
|
特定のコンテキスト内のポリシーの番号。例えば、from-zoneA-to-zoneB のコンテキストで適用可能な 3 つのポリシーは、シーケンス番号 1、2、3 で順序付けられている場合があります。また、from-zoneC-to-zoneD のコンテキストでは、4 つのポリシーのシーケンス番号が 1、2、3、4 になる場合があります。 |
|
|
ソース・ゾーンの名前。 |
|
|
宛先ゾーンの名前。 |
|
|
ポリシーの送信元アドレスの名前と対応する IP アドレス。アドレス セットは、個々のアドレス名と IP アドレスのペアに解決されます。 |
|
|
宛先ゾーンのアドレス帳に入力されたポリシーの宛先アドレス(またはアドレス セット)の名前と対応する IP アドレス。ポリシーを適用するには、パケットの宛先アドレスがこれらのアドレスのいずれかと一致する必要があります。 |
|
|
構成済みアプリケーションまたはカスタム アプリケーションの名前、または |
|
|
アプリケーションで使用される IP プロトコルの数値(TCP の場合は 6、ICMP の場合は 1)。 |
|
|
ALG がセッションに関連付けられている場合は、ALG の名前。 それ以外の場合は 0。 |
|
|
アクティビティーがなく、その後アプリケーションが終了するまでの経過時間。 |
|
|
ポリシーで定義されている一致する送信元ポートの範囲。 |
|
|
ポリシーで定義されている一致する宛先ポートの範囲。 |
|
|
照合ポリシーで定義されている 1 つ以上のユーザー ロール。 |
|
|
グローバル ポリシーに関する情報を表示します。 |
|
|
1 つ以上のデバイスに適用できる特性を指定するデバイス ID プロファイル。 |
サンプル出力
- 例 1: セキュリティ一致ポリシーを表示する
- 例 2: セキュリティ一致ポリシーの表示 ...結果カウント
- 例 3: セキュリティ一致ポリシーの表示 ...ソースアイデンティティ
- 例 4: セキュリティ一致ポリシーの表示 ...グローバル
- show security match-policies, tenant TN1, from-zone, trust to-zone, untrust source-IP 10.10.10.1, destination-ip 192.0.2.1, source-port 1, destination-port 21, protocol tcp,
- show security match-policies, from-zone, クライアントto-zone SVR, source-IP 10.1.1.1, source-port 88, destination-IP 10.2.2.2, destination-port 80, protocol, tcp, url-category Enhanced_Games
例 1: セキュリティ一致ポリシーを表示する
user@host> show security match-policies from-zone z1 to-zone z2 source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: z1, To zone: z2
Source addresses:
a2: 198.51.100.0/24
a3: 10.10.10.1/32
Destination addresses:
d2: 203.0.113.0/24
d3: 192.0.2.1/32
Application: junos-ftp
IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [21-21]
例 2: セキュリティ一致ポリシーの表示 ...結果カウント
user@host> show security match-policies from-zone zone-A to-zone zone-B source-ip 10.10.10.1 destination-ip 192.0.2.5 source_port 1004 destination_port 80 protocol tcp result_count 5
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: zone-A, To zone: zone-B
Source addresses:
sa1: 10.10.0.0/16
Destination addresses:
da5: 192.0.2.0/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Policy: p15, action-type: deny, State: enabled, Index: 18
Sequence number: 15
From zone: zone-A, To zone: zone-B
Source addresses:
sa11: 10.10.10.1/32
Destination addresses:
da15: 192.0.2.5/32
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
例 3: セキュリティ一致ポリシーの表示 ...ソースアイデンティティ
user@host> show security match-policies from-zone untrust to-zone trust source-ip 10.10.10.1 destination-ip 192.0.2.1 destination_port 21 protocol 6 source-port 1234 source-identity role1
Policy: p1, action-type: permit, State: enabled, Index: 40
Policy Type: Configured
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses:
a1: 10.0.0.0/8
Destination addresses:
d1: 192.0.2.0/24
Application: junos-ftp
IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [21-21]
Source identities: role1
Per policy TCP Options: SYN check: No, SEQ check: No
例 4: セキュリティ一致ポリシーの表示 ...グローバル
user@host> show security match-policies global source-ip 10.10.10.1 destination-ip 192.0.2.5 source_port 1004 destination_port 80 protocol tcp result_count 5
Policy: gp1, action-type: permit, State: enabled, Index: 6, Scope Policy: 0
Policy Type: Configured, global
Sequence number: 1
From zones:
Any
To zones:
Any
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
show security match-policies, tenant TN1, from-zone, trust to-zone, untrust source-IP 10.10.10.1, destination-ip 192.0.2.1, source-port 1, destination-port 21, protocol tcp,
user@host> show security match-policies tenant TN1 from-zone trust to-zone untrust source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp Policy: p1, action-type: permit, State: enabled, Index: 4 Sequence number: 1 From zone: trust, To zone: untrust Source addresses: a2: 198.51.100.0/24 a3: 10.10.10.1/32 Destination addresses: d2: 203.0.113.0/24 d3: 192.0.2.1/32 Application: junos-ftp IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800 Source port range: [0-0] Destination port range: [21-21]
show security match-policies, from-zone, クライアントto-zone SVR, source-IP 10.1.1.1, source-port 88, destination-IP 10.2.2.2, destination-port 80, protocol, tcp, url-category Enhanced_Games
user@host> show security match-policies from-zone client to-zone svr source-ip 10.1.1.1 source-port 88 destination-ip 10.2.2.2 destination-port 80 protocol tcp url-category Enhanced_Games
Policy: p1, action-type: permit, State: enabled, Index: 7
0
Policy Type: Configured
Sequence number: 1
From zone: client, To zone: server
Source vrf group:
any
Destination vrf group:
any
Source addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Destination addresses:
any-ipv4(global): 0.0.0.0/0
any-ipv6(global): ::/0
Application: any
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination ports: [0-0]
Url-category:
Enhanced_Sex: 234881056
Enhanced_Games: 234881037
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: No
Intrusion Detection and Prevention: disabled
Unified Access Control: disabled
Unified Threat Management: enabled
リリース情報
Junos OSリリース10.3で導入されたコマンド。
コマンドは Junos OS リリース 10.4 で更新されました。
コマンドはJunos OSリリース12.1で更新されました。
Junos OSリリース12.1X47-D10でコマンドが更新され、オプションのfrom-zoneおよびto-zoneグローバル一致オプションが含まれるようになりました。
このオプションは tenant 、Junos OSリリース18.3R1で導入されました。
このオプションは url category 、Junos OSリリース20.2R1で導入されました。