目次
【Juniper,SRX】Policyの削除方法【CLI】
Juniper SRXでPolicyを削除するCLI設定コマンドをまとめていきます。
今回はポリシーと同時に関連づけているアドレスブックも削除する必要がある場合を想定してまとめていきます。
前提として下記のポリシーとアドレスブックが設定されているとします。
set security policies from-zone trust to-zone untrust policy test_policy_for_google match source-address any
set security policies from-zone trust to-zone untrust policy test_policy_for_google match destination-address google.com
set security policies from-zone trust to-zone untrust policy test_policy_for_google match application junos-https
set security policies from-zone trust to-zone untrust policy test_policy_for_google then permit
set security zones security-zone untrust address-book address google.com dns-name google.com設定の流れ
- ポリシーの確認
- ポリシーの削除
- アドレスブック(アドレスオブジェクト)の確認
- アドレスブックの削除
- 設定の保存
削除順番の注意点
今回はポリシーと同時に関連づけているアドレスブックも削除する必要がある場合を想定しております。
そのため、削除する順番があります↓
- ポリシーを削除する
- アドレスブックを削除する
ポリシーを削除する前に、ポリシーに紐づくアドレスブックを削除しようとするとエラーが出て削除できない仕様になっていますので、アドレスブックまで削除しようとする場合は順番を考慮して設定変更していきます。
実際の挙動は以下のようになりました。
ポリシーの「Destination address」にアドレスブックの「google.com」を指定していたので、そのアドレスブックが削除されたことにより、ポリシーの必須項目の「Destination address」がないからcommitできないと表示されました。
jcluser@vSRX1# delete security zones security-zone untrust address-book address google.com dns-name google.com
[edit]
jcluser@vSRX1# show | compare
[edit security zones security-zone untrust]
- address-book {
- address google.com {
- dns-name google.com;
- }
- }
[edit]
jcluser@vSRX1# commit
[edit security policies from-zone trust to-zone untrust]
'policy test_policy_for_google'
Destination address or address_set (google.com) not found.
error: configuration check-out failed
[edit]- ポリシーに関連づいたままアドレスブックは削除できない
- ポリシーを削除してからアドレスブックを削除する必要があります。
ポリシーの確認
show security policies from-zone trust to-zone untrust policy test_policy_for_google↑のコマンドで削除対象ポリシーを確認します。
今回、削除するポリシー名は「test_policy_for_google」とします。
↓が設定内容になります。
jcluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google
match {
source-address any;
destination-address google.com;
application junos-https;
}
then {
permit;
}
[edit]ポリシーの削除
delete security zones security-zone untrust address-book address google.com dns-name google.com↑ポリシー名「test_policy_for_google」を削除します。
以下で削除できたことを確認しました。
jcluser@vSRX1# show security policies from-zone trust to-zone untrust policy test_policy_for_google
[edit]アドレスブック(アドレスオブジェクト)の確認
jcluser@vSRX1# show security zones security-zone untrust address-book
address google.com {
dns-name google.com;
}
[edit]↑のコマンドで削除対象のアドレスブックを確認します。
今回、削除するアドレスブック名は「google.com」です。
アドレスブックの削除
jcluser@vSRX1# delete security zones security-zone untrust address-book address google.com
[edit]↑アドレスブック名「google.com」を削除します。
以下で削除できたことを確認しました。
jcluser@vSRX1# show security zones security-zone untrust address-book
[edit]設定の保存
show | compare
commit check
commit and-quit ↓実際に上記コマンドをうってみた表示が以下のようになります。
jcluser@vSRX1# show | compare
[edit security policies from-zone trust to-zone untrust]
- policy test_policy_for_google {
- match {
- source-address any;
- destination-address google.com;
- application junos-https;
- }
- then {
- permit;
- }
- }
[edit security zones security-zone untrust]
- address-book {
- address google.com {
- dns-name google.com;
- }
- }
[edit]
jcluser@vSRX1# commit check
configuration check succeeds
[edit]
jcluser@vSRX1# commit
commit complete
[edit]まとめ
最後にまとめになります!
- ポリシーに関連づいたままアドレスブックは削除できない
- ポリシーを削除してからアドレスブックを削除する必要があります
以上!
あわせて読みたい
【Juniper,SRX】Policyの設定方法【CLI】
【【Juniper,SRX】Policyの設定方法【CLI】】 Juniper SRXでPolicyを作成するCLI設定コマンドをまとめていきます。 アドレスブックがないことの確認 show security zone...
あわせて読みたい
【Juniper,SRX】Policyをdeactivate(無効化)する設定方法【CLI】
【【Juniper,SRX】Policyをdeactivateする設定方法【CLI】】 暫定的にポリシーを無効化したい、けれどもポリシーは削除したくないという時があると思います。その際に、...