Juniper

【Juniper,SRX】Policyをdeactivate(無効化)する設定方法【CLI】

【Juniper,SRX】Policyをdeactivateする設定方法【CLI】

暫定的にポリシーを無効化したい、けれどもポリシーは削除したくないという時があると思います。その際に、ポリシーをdeactivate(無効化)するコマンドが便利です。

それでは、Juniper SRXでPolicyをdeactivateするCLI設定コマンドをまとめていきます。

deactivateする対象ポリシーの確認

show security policies from-zone untrust to-zone trust policy test_deny | display set 

↑サンプルとして、「untrust」というゾーンから「trust」のゾーンへの通信をすべて拒否するポリシー「test_deny」を例にします。このポリシーをdeactivate(無効化)します。

ポリシーのdeactivate

deactivate security policies from-zone untrust to-zone trust policy test_deny

ポリシー「test_deny」をdeactivate(無効化)します。

deactivate | TechLibrary-Juniper公式

対象ポリシーの確認

jcluser@vSRX1# show security policies from-zone untrust to-zone trust policy test_deny 
##
## inactive: security policies from-zone untrust to-zone trust policy test_deny
##
match {
    source-address any;
    destination-address any;
    application any;
}
then {
    deny;
}

[edit]

↑対象ポリシーが「 inactive」と表示されていることを確認します。

jcluser@vSRX1# show security policies from-zone untrust to-zone trust policy test_deny | display set 
set security policies from-zone untrust to-zone trust policy test_deny match source-address any
set security policies from-zone untrust to-zone trust policy test_deny match destination-address any
set security policies from-zone untrust to-zone trust policy test_deny match application any
set security policies from-zone untrust to-zone trust policy test_deny then deny
deactivate security policies from-zone untrust to-zone trust policy test_deny

set形式で表示させると「inactive」とは特に表示されない。

jcluser@vSRX1# show | compare 
[edit security policies from-zone untrust to-zone trust]
!      inactive: policy test_deny { ... }

[edit]
jcluser@vSRX1#

!マークで表示されるのも初めて知りました。

設定の保存

commit check
commit and-quit	

まとめ

最後にまとめになります!

  • 暫定的にポリシーを無効化したい場合はdeactivateコマンドが有効
  • 設定後は対象ポリシーが「 inactive」と表示される

以上!

ABOUT ME
のこのこ
26歳フリーランスのネットワークエンジニア 文系第2新卒からSESに入社、2年目にフリーランスに転職 ●保持資格 CCNP,LPIC level3,F5101,TOEIC820,AWSクラウドプラクティショナー,AWSアソシエイト ●目指す資格 ネットワークスペシャリスト,F5 201,セキスペなど
おすすめの関連記事