【Juniper,SRX】Policyをdeactivate（無効化）する設定方法【CLI】

2021 8/26

2020年12月30日 2021年8月26日

【Juniper,SRX】Policyをdeactivateする設定方法【CLI】

暫定的にポリシーを無効化したい、けれどもポリシーは削除したくないという時があると思います。その際に、ポリシーをdeactivate（無効化）するコマンドが便利です。

それでは、Juniper SRXでPolicyをdeactivateするCLI設定コマンドをまとめていきます。

設定の流れ

deactivateする対象ポリシーの確認
ポリシーのdeactivate
対象ポリシーの確認
設定の保存

deactivateする対象ポリシーの確認

show security policies from-zone untrust to-zone trust policy test_deny | display set

↑サンプルとして、「untrust」というゾーンから「trust」のゾーンへの通信をすべて拒否するポリシー「test_deny」を例にします。このポリシーをdeactivate（無効化）します。

ポリシーのdeactivate

deactivate security policies from-zone untrust to-zone trust policy test_deny

ポリシー「test_deny」をdeactivate（無効化）します。

deactivate | TechLibrary-Juniper公式

対象ポリシーの確認

jcluser@vSRX1# show security policies from-zone untrust to-zone trust policy test_deny 
##
## inactive: security policies from-zone untrust to-zone trust policy test_deny
##
match {
    source-address any;
    destination-address any;
    application any;
}
then {
    deny;
}

[edit]

↑対象ポリシーが「 inactive」と表示されていることを確認します。

jcluser@vSRX1# show security policies from-zone untrust to-zone trust policy test_deny | display set 
set security policies from-zone untrust to-zone trust policy test_deny match source-address any
set security policies from-zone untrust to-zone trust policy test_deny match destination-address any
set security policies from-zone untrust to-zone trust policy test_deny match application any
set security policies from-zone untrust to-zone trust policy test_deny then deny
deactivate security policies from-zone untrust to-zone trust policy test_deny

set形式で表示させると「inactive」とは特に表示されない。

jcluser@vSRX1# show | compare 
[edit security policies from-zone untrust to-zone trust]
!      inactive: policy test_deny { ... }

[edit]
jcluser@vSRX1#

！マークで表示されるのも初めて知りました。

ポリシーの量が多い場合はソートして表示するのが便利なので、↓を参考にしてください。

設定の保存

commit check
commit and-quit

まとめ

最後にまとめになります！

暫定的にポリシーを無効化したい場合はdeactivateコマンドが有効
設定後は対象ポリシーが「 inactive」と表示される

↓参考までに無効化したPolicyを有効化する場合は「activate」コマンドを利用します！