CLI上でのセキュリティ、NAT、ポリシー ベース フォワーディングルールのテスト方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How To Test Security, NAT, and PBF Rules via the CLI

https://live.paloaltonetworks.com/t5/Management-Articles/How-To-Test-Security-NAT-and-PBF-Rules-via-...

 

 

概要

この資料は、CLI上でセキュリティ、アドレス変換(NAT)、ポリシーベース フォワーディング(PBF)ルールについて、CLI上での"test"コマンドを使用して、あるセッションがポリシーに期待通りにマッチするかを確認する方法を説明します。

 

セキュリティポリシー、NATポリシー、PBFポリシーのテストを実行する際に必要となる要素:

  • source - 送信元IPアドレス
  • destination - 宛先IPアドレス
  • destination port - 宛先ポート番号を明確にすること
  • protocol - 1番から255番までのIPプロトコル番号を明確にすること (TCP - 6, UDP - 17, ICMP - 1, ESP - 50)

 

上記のどの要素の値も分からない、あるいはルールにフィールド値として"any"が設定されているシナリオのように、その要素が重要ではない場合、偽の値、あるいは適当な値を入力しても構いません。また、'application'、'category'、'from'、'to'のゾーンについて指定することもできます。

 

注:送信元ゾーンと宛先ゾーンが同じに設定されたセキュリティー ポリシーが多数ある場合、期待したセキュリティー ポリシーにマッチさせるために、送信元ゾーンと宛先ゾーンを指定することを推奨します。ゾーンが指定されていない場合、"test"コマンドは、送信元と宛先のIPアドレスが属していないゾーンに基づいたルールの結果を返します。

 

詳細

セキュリティ ルールのテスト

test security-policy-match

+ application        Application name

+ category          Category name

+ destination        destination IP address

+ destination-port  Destination port

+ from              from

+ protocol          IP protocol value

+ show-all          show all potential match rules

+ source            source IP address

+ source-user        Source User

+ to                to

  <Enter>            Finish input

 

例1:(必要な要素の値が分かっている時)

test security-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application gmail-base


Trust_Untrust {

        from L3-Trust;

        source 192.168.52.1;

        source-region any;

        to L3-Untrust;

        destination 74.125.225.69;

        destination-region any;

        user any;

        category any;

        application/service[ gmail-base/tcp/any/80 gmail-base/tcp/any/8080 web-browsing/tcp/any/80 web-browsing/tcp/any/8080 gmail-chat/tcp/any/80 gmail-chat/tcp/any/8080 gmail-enterprise/tcp/any/80 gmail-enterprise/tcp/any/8080 gmail-call-phone/tcp/any/80 gmail-call-hone/tcp/any/8080 gmail-video-chat/tcp/any/80 gmail-video-chat/tcp/any/8080 ];        action allow;

}

 

例2:(フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時)

test security-policy-match protocol 1 from L3-Trust to L3-Untrust source 192.168.52.1 destination 4.4.4.4 destination-port 80

 

Trust.Untrust {

        from L3-Trust;

        source any;

        source-region any;

        to L3-Untrust;

        destination any;

        destination-region any;

        user any;

        category any;

        application/service any/any/any/any;

        action allow;

}

 

例3:(該当するルールがない)

test security-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 69.171.242.11 destination-port 80 application facebook-base

 

No rule matched

 

NATルールのテスト

test nat-policy-match

+ destination        destination IP address

+ destination-port  Destination port

+ from              from

+ ha-device-id      HA Active-Active device ID

+ protocol          IP protocol value

+ source            source IP address

+ source-port        Source port

+ to                to

+ to-interface      Egress interface to use

  <Enter>            Finish input

 

例1:(必要な要素の値が分かっている時)

test nat-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 171.161.148.173 destination-port 443

 

Source-NAT: Rule matched: Src_NAT

192.168.52.1:0 => 10.30.6.52:15473 (6),

 

例2:(フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時)

test nat-policy-match protocol 17 from L3-Trust to L3-Untrust source 192.168.52.1 destination 69.171.242.11 destination-port 80

 

Source-NAT: Rule matched: Source_NAT

192.168.52.1:0 => 10.30.6.52:47927 (17),

 

例3:(該当するルールがない)

test nat-policy-match protocol 6 from L3-Trust to L3-Untrust source 192.168.52.1 destination 212.58.241.131 destination-port 443

 

Server error :

 

PBFルールのテスト

test pbf-policy-match

+ application        Application name

+ destination        destination IP address

+ destination-port  Destination port

+ from              From zone

+ from-interface    From interface

+ ha-device-id      HA Active-Active device ID

+ protocol          IP protocol value

+ source            source IP address

+ source-user        Source User

  <Enter>            Finish input

 

例1:(必要な要素の値が分かっている時)

test pbf-policy-match protocol 6 from L3-Trust source 192.168.52.1 destination 74.125.225.69 destination-port 80 application web-browsing


PBF {

        from L3-Trust;

        source 192.168.52.1;

        destination 74.125.225.69;

        user any;

        application/service web-browsing/any/any/any;

        action Forward;

        forwarding-egress-IF/VSYS ethernet1/3;

        next-hop 0.0.0.0;

}

 

例2:(フィールドに"any"が設定されているシナリオのように、必要な要素の値が分からない時)

test pbf-policy-match protocol 6 from L3-Trust source 192.168.52.1 destination 171.161.148.173 destination-port 80

 

"PBF any" {

        from L3-Trust;

        source any;

        destination any;

        user any;

        application/service any/any/any/any;

        action Forward;

        forwarding-egress-IF/VSYS ethernet1/3;

        next-hop 0.0.0.0;

}

 

例3:(該当するルールがない)

test pbf-policy-match protocol 17 from L3-Trust source 192.168.52.1 destination 69.171.242.11 destination-port 80

 

Server error : Error running policy lookup

 

Multi-vsys環境

Multi-vsys環境で上記の"test"コマンドを実行するには、最初に特定の vsysに対して、CLI上で set system setting target-vsys <vsys> コマンドを使ってコンテキストを変更します。それから、"test"を実行します

admin@PA-5050 vsys2(passive)> test security-policy-match from vsys2_trust to vsys2_untrust destination-port 80 protocol 6 source 1.1.1.1 destination 2.2.2.2

 

Temp {

        from any;

        source any;

        source-region none;

        to any;

        destination any;

        destination-region none;

        user any;

        category any;

        application/service  any/any/any/any;

        action allow;

        terminal yes;

}

 

初期設定に戻すには、set system setting target-vsys none コマンドを実行します。

 

 

著:gchandrasekaran