Juniper

【Juniper,SRX】Policyの削除方法【CLI】

【Juniper,SRX】Policyの削除方法【CLI】

Juniper SRXでPolicyを削除するCLI設定コマンドをまとめていきます。
今回はポリシーと同時に関連づけているアドレスブックも削除する必要がある場合を想定してまとめていきます。

前提として下記のポリシーとアドレスブックが設定されているとします。

set security policies from-zone trust to-zone untrust policy test_policy_for_google match source-address any
set security policies from-zone trust to-zone untrust policy test_policy_for_google match destination-address google.com
set security policies from-zone trust to-zone untrust policy test_policy_for_google match application junos-https
set security policies from-zone trust to-zone untrust policy test_policy_for_google then permit

set security zones security-zone untrust address-book address google.com dns-name google.com

削除順番の注意点

今回はポリシーと同時に関連づけているアドレスブックも削除する必要がある場合を想定しております。

そのため、削除する順番があります↓

  1. ポリシーを削除する
  2. アドレスブックを削除する

ポリシーを削除する前に、ポリシーに紐づくアドレスブックを削除しようとするとエラーが出て削除できない仕様になっていますので、アドレスブックまで削除しようとする場合は順番を考慮して設定変更していきます。

実際の挙動は以下のようになりました。
ポリシーの「Destination address」にアドレスブックの「google.com」を指定していたので、そのアドレスブックが削除されたことにより、ポリシーの必須項目の「Destination address」がないからcommitできないと表示されました。

jcluser@vSRX1# delete security zones security-zone untrust address-book address google.com dns-name google.com              

[edit]
jcluser@vSRX1# show | compare                                                                          
[edit security zones security-zone untrust]
-     address-book {
-         address google.com {
-             dns-name google.com;
-         }
-     }

[edit]

jcluser@vSRX1# commit 
[edit security policies from-zone trust to-zone untrust]
  'policy test_policy_for_google'
    Destination address or address_set (google.com) not found.
error: configuration check-out failed

[edit]
  • ポリシーに関連づいたままアドレスブックは削除できない
  • ポリシーを削除してからアドレスブックを削除する必要があります。

ポリシーの確認

show security policies from-zone trust to-zone untrust policy test_policy_for_google

↑のコマンドで削除対象ポリシーを確認します。
今回、削除するポリシー名は「test_policy_for_google」とします。

↓が設定内容になります。

jcluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google 
match {
    source-address any;
    destination-address google.com;
    application junos-https;
}
then {
    permit;
}

[edit]

ポリシーの削除

delete security zones security-zone untrust address-book address google.com dns-name google.com

↑ポリシー名「test_policy_for_google」を削除します。
以下で削除できたことを確認しました。

jcluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google 

[edit]

アドレスブック(アドレスオブジェクト)の確認

jcluser@vSRX1# show security zones security-zone untrust address-book                       
address google.com {
    dns-name google.com;
}

[edit]

↑のコマンドで削除対象のアドレスブックを確認します。
今回、削除するアドレスブック名は「google.com」です。

アドレスブックの削除

jcluser@vSRX1# delete security zones security-zone untrust address-book address google.com                                                                                                  

[edit]

↑アドレスブック名「google.com」を削除します。
以下で削除できたことを確認しました。

jcluser@vSRX1# show security zones security-zone untrust address-book                         

[edit]

設定の保存

show | compare
commit check
commit and-quit	

↓実際に上記コマンドをうってみた表示が以下のようになります。

jcluser@vSRX1# show | compare 
[edit security policies from-zone trust to-zone untrust]
-     policy test_policy_for_google {
-         match {
-             source-address any;
-             destination-address google.com;
-             application junos-https;
-         }
-         then {
-             permit;
-         }
-     }
[edit security zones security-zone untrust]
-     address-book {
-         address google.com {
-             dns-name google.com;
-         }
-     }

[edit]


jcluser@vSRX1# commit check 
configuration check succeeds

[edit]
jcluser@vSRX1# commit 
commit complete

[edit]

まとめ

最後にまとめになります!

  • ポリシーに関連づいたままアドレスブックは削除できない
  • ポリシーを削除してからアドレスブックを削除する必要があります

以上!

【Juniper,SRX】Policyの設定方法【CLI】Juniper SRXでPolicyを作成するCLI設定コマンドをまとめていいます!ポリシーを作成するためにはアドレスブック(アドレスオブジェクト)が必要になりますので、都度作成します。...
【Juniper,SRX】Policyをdeactivate(無効化)する設定方法【CLI】Juniper SRXでPolicyをdeactivateするCLI設定コマンドをまとめていいます!暫定的にポリシーを無効化したい場合はdeactivateコマンドが有効です。...
ABOUT ME
のこのこ
26歳フリーランスのネットワークエンジニア 文系第2新卒からSESに入社、2年目にフリーランスに転職 ●保持資格 CCNP,LPIC level3,F5101,TOEIC820,AWSクラウドプラクティショナー,AWSアソシエイト ●目指す資格 ネットワークスペシャリスト,F5 201,セキスペなど
おすすめの関連記事