Juniper

【Juniper,SRX】Policyの設定方法【CLI】

【Juniper,SRX】Policyの設定方法【CLI】

Juniper SRXでPolicyを作成するCLI設定コマンドをまとめていきます。

アドレスブックがないことの確認

show security zones security-zone untrust address-book address google.com

作成するアドレスブックがないことを確認します。

アドレスブックの作成

set security zones security-zone untrust address-book address google.com dns-name google.com ipv4-only 

アドレスブックを作成します。アドレスブック(アドレスオブジェクト)はポリシーに必要な具材です。「untrust」というゾーンに「google.com」というアドレスブックを作成してます。

jcluser@vSRX1# show security zones security-zone untrust address-book address google.com 
dns-name google.com {
    ipv4-only;
}

[edit]

↑設定が反映されていることを確認します。

作成するポリシーがないことの確認

show security policies from-zone trust to-zone untrust policy test_policy_for_google 

↑サンプルとして、「trust」というゾーンから「untrust」のゾーンへの通信である「test_policy_for_google」というポリシーを例にします。このポリシーがないことを確認します。

ポリシーの作成

set security policies from-zone trust to-zone untrust policy test_policy_for_google match source-address any
set security policies from-zone trust to-zone untrust policy test_policy_for_google match destination-address google.com
set security policies from-zone trust to-zone untrust policy test_policy_for_google match application junos-https
set security policies from-zone trust to-zone untrust policy test_policy_for_google then permit

ポリシー「test_policy_for_google」を作成します。
サンプルとして、送信元IPアドレスがany、宛先IPアドレスが「google.com」、アプリケーションがhttpsであった場合、許可するポリシーになります。
アプリケーションはデフォルトでほとんど用意されているので、それを利用しています。
デフォルトアプリケーションの確認は↓を参考にどうぞ!

【Juniper,SRX】デフォルトアプリケーションの確認方法【CLI】Juniper SRXでPolicyを作成するCLI設定コマンドをまとめていいます!ポリシーを作成する際に、applicationを指定する必要があります。一般的なアプリケーション(サービスポート)はJuniperのデフォルトの設定で登録されています。...

ポリシーの確認

jcluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google 
match {
    source-address any;
    destination-address google.com;
    application junos-https;
}
then {
    permit;
}

[edit]

ポリシーの設定が正しく反映できていることを確認します。
必要であればポリシーに引っかかっているかカウンターで確認すると尚良いです。
ポリシーカウンターの確認は↓を参考にどうぞ!

【Juniper,SRX】ポリシーカウンターの確認方法【CLI】Juniper SRXでPolicyのカウンターを確認するコマンドをまとめています!ポリシーのカウンターを確認することで、適切な動作がなされていることを確認できます。...

設定の保存

show | compare
commit check
commit and-quit	

まとめ

最後にまとめになります!

  • ポリシーを作成する前に、必要であればアドレスブック(アドレスオブジェクト)を作成する

以上!

【Juniper,SRX】Policyの削除方法【CLI】Juniper SRXでPolicyを削除するCLI設定コマンドをまとめていいます!ポリシーを削除するときの注意点としては、アドレスブックまで削除する時に限ってですが、ポリシーを削除してからアドレスブックを削除する必要があります。ポリシーに関連づいたままアドレスブックは削除できません。...
【Juniper,SRX】Policyをdeactivate(無効化)する設定方法【CLI】Juniper SRXでPolicyをdeactivateするCLI設定コマンドをまとめていいます!暫定的にポリシーを無効化したい場合はdeactivateコマンドが有効です。...
ABOUT ME
のこのこ
26歳フリーランスのネットワークエンジニア 文系第2新卒からSESに入社、2年目にフリーランスに転職 ●保持資格 CCNP,LPIC level3,F5101,TOEIC820,AWSクラウドプラクティショナー,AWSアソシエイト ●目指す資格 ネットワークスペシャリスト,F5 201,セキスペなど
おすすめの関連記事