目次
【Juniper】Policyをdeactivateする設定方法【CLI】
暫定的にポリシーを無効化したい、けれどもポリシーは削除したくないという時があると思います。その際に、ポリシーをdeactivate(無効化)するコマンドが便利です。
Juniper SRXでPolicyをdeactivateするCLI設定コマンドをまとめていきます。
無効化したPolicyを有効化する場合は別記事でまとめてますので参考にしてください。
deactivateする対象ポリシーの確認
「untrust」というゾーンから「trust」のゾーンへの通信をすべて拒否するポリシー「test_deny」を例にします。このポリシーをdeactivate(無効化)します。
show security policies from-zone untrust to-zone trust policy test_deny | display set ポリシーのdeactivate
ポリシー「test_deny」をdeactivate(無効化)します。
deactivate security policies from-zone untrust to-zone trust policy test_denydeactivate | TechLibrary-Juniper公式
対象ポリシーの確認
対象ポリシーが「 inactive」と表示されていることを確認します。
jcluser@vSRX1# show security policies from-zone untrust to-zone trust policy test_deny
##
## inactive: security policies from-zone untrust to-zone trust policy test_deny
##
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
[edit]ちなみに、set形式で表示させると「inactive」とは特に表示されません。
jcluser@vSRX1# show security policies from-zone untrust to-zone trust policy test_deny | display set
set security policies from-zone untrust to-zone trust policy test_deny match source-address any
set security policies from-zone untrust to-zone trust policy test_deny match destination-address any
set security policies from-zone untrust to-zone trust policy test_deny match application any
set security policies from-zone untrust to-zone trust policy test_deny then deny
deactivate security policies from-zone untrust to-zone trust policy test_deny
!マークで対象ポリシーがdeactivate(無効化)表示されていることを確認できます。ポリシーの量が多い場合は別記事を参考にしてください。
jcluser@vSRX1# show | compare
[edit security policies from-zone untrust to-zone trust]
! inactive: policy test_deny { ... }
[edit]
jcluser@vSRX1#設定の保存
commit check
commit and-quit まとめ
最後にまとめになります!
- 暫定的にポリシーを無効化したい場合はdeactivateコマンドが有効
- 設定後は対象ポリシーが「 inactive」と表示される
以上!