目次
【Juniper】Policyの削除方法【CLI】
Juniper SRXでPolicyを削除するCLI設定コマンドをまとめていきます。ポリシーと同時に関連づけているアドレスブックも削除していきます。Policyの作成方法やPolicyを無効化する方法は別記事でまとめています。
前提として下記のポリシーとアドレスブックが設定されているとします。
set security policies from-zone trust to-zone untrust policy test_policy_for_google match source-address any
set security policies from-zone trust to-zone untrust policy test_policy_for_google match destination-address google.com
set security policies from-zone trust to-zone untrust policy test_policy_for_google match application junos-https
set security policies from-zone trust to-zone untrust policy test_policy_for_google then permit
set security zones security-zone untrust address-book address google.com dns-name google.com
削除順番の注意点
ポリシーを削除する前に、ポリシーに紐づくアドレスブックを削除しようとするとエラーが出て削除できない仕様になっていますので、アドレスブックまで削除しようとする場合は順番を考慮して設定変更していきます。
- ポリシーを削除する
- アドレスブックを削除する
ポリシーを削除する前に、ポリシーに紐づくアドレスブックを削除してcommitすると以下のようになります。
jcluser@vSRX1# delete security zones security-zone untrust address-book address google.com dns-name google.com
[edit]
jcluser@vSRX1# show | compare
[edit security zones security-zone untrust]
- address-book {
- address google.com {
- dns-name google.com;
- }
- }
[edit]
jcluser@vSRX1# commit
[edit security policies from-zone trust to-zone untrust]
'policy test_policy_for_google'
Destination address or address_set (google.com) not found.
error: configuration check-out failed
[edit]
ポリシーの確認
削除対象ポリシーを確認します。削除するポリシー名は「test_policy_for_google」とします。
show security policies from-zone trust to-zone untrust policy test_policy_for_google
設定内容は以下の通りです。
cluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google
match {
source-address any;
destination-address google.com;
application junos-https;
}
then {
permit;
}
[edit]
ポリシーの削除
ポリシー名「test_policy_for_google」を削除します。
delete security zones security-zone untrust address-book address google.com dns-name google.com
確認コマンドで削除されたことを確認できました。
jcluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google
[edit]
アドレスブック(アドレスオブジェクト)の確認
削除対象のアドレスブックを確認します。削除するアドレスブック名は「google.com」です。
jcluser@vSRX1# show security zones security-zone untrust address-book
address google.com {
dns-name google.com;
}
[edit]
アドレスブックの削除
アドレスブック名「google.com」を削除します。
jcluser@vSRX1# delete security zones security-zone untrust address-book address google.com
[edit]
確認コマンドで削除されたことを確認できました。
jcluser@vSRX1# show security zones security-zone untrust address-book
[edit]
設定の保存
show | compare
commit check
commit and-quit
以下出力例です。
jcluser@vSRX1# show | compare
[edit security policies from-zone trust to-zone untrust]
- policy test_policy_for_google {
- match {
- source-address any;
- destination-address google.com;
- application junos-https;
- }
- then {
- permit;
- }
- }
[edit security zones security-zone untrust]
- address-book {
- address google.com {
- dns-name google.com;
- }
- }
[edit]
jcluser@vSRX1# commit check
configuration check succeeds
[edit]
jcluser@vSRX1# commit
commit complete
[edit]
まとめ
最後にまとめになります!
- ポリシーに関連づいたままアドレスブックは削除できない
- ポリシーを削除してからアドレスブックを削除する必要があります
以上!