キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 

CLI でセキュリティ ポリシーを確認、追加、及び削除する方法

キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
Printer Friendly Page

CLI でセキュリティ ポリシーを確認、追加、及び削除する方法

hfukasawa
‎07-10-2016 05:15 PM
この記事は役に立ちましたか? はい いいえ
評価なし

※この記事は以下の記事の日本語訳です。
How to View, Create and Delete Security Policies on the CLI
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Create-and-Delete-Security-Poli...

 

概要

この記事では CLI (コマンド ライン インターフェース) でのセキュリティ ポリシーの確認、追加、及び削除の方法を説明します。

 

詳細

CLI にて新しくセキュリティ ポリシーを追加するには、以下を実行します。

> configure (Enterを入力)

# set rulebase security rules <name> from <source zone> to <destination zone> destination <ip> application <application> service <any/application-default/service name> action <allow/deny> (Enterを入力)

# exit

 

例:

# set rulebase security rules Generic-Security from Outside-L3 to Inside-L3 destination 63.63.63.63 application web-browsing service application-default action allow (Enterを入力)

注: "?" を入力すると、全ての CLI コマンドのヘルプが確認できます。また [タブ] キーを入力することで入力可能なコマンドのリストが確認できます。

 

CLI で Palo Alto Networks デバイスのセキュリティ ポリシーを確認するには、以下を実行します。

> show running security-policy

 

Rule       From         Source        To           Dest.           User                Proto Port Range Application  Action
---------- ------------ ------------- ------------ --------------- ------------------- ----- ---------- ------------ ------
Doms DLP   untrust-vwir 10.16.0.92    Untrust-vwir any             any                 any   any        any          allow
           trust-vwire                trust-vwire

rule4      untrust-vwir any          untrust-vwir  10.16.0.92      any                 any   any        any          allow
           trust-vwire                trust-vwire

rule3      trust-vwire  any          untrust-vwir  any             any                 any   any        any          allow

 

以下のコマンドを実行すると、全てのコンフィグレーションを表示します。

> show config running

 

出力フォーマットを設定するには、以下を入力します。

> set cli config-output-format set

> configure
Entering configuration mode
[edit]

# edit rulebase security
[edit rulebase security]

# show
set rulebase security rules rashi from trust-vwire
set rulebase security rules rashi from untrust-vwire
set rulebase security rules rashi to trust-vwire
set rulebase security rules rashi to untrust-vwire
set rulebase security rules rashi source 10.16.0.21
set rulebase security rules rashi destination any
set rulebase security rules rashi service any
set rulebase security rules rashi application adobe-meeting-remote-control
set rulebase security rules rashi application adobe-meeting
set rulebase security rules rashi application adobe-online-office
set rulebase security rules rashi action deny
set rulebase security rules rashi source-user any
set rulebase security rules rashi option disable-server-response-inspection no
set rulebase security rules rashi negate-source no
set rulebase security rules rashi negate-destination no
set rulebase security rules rashi disabled yes
set rulebase security rules rashi log-start no
set rulebase security rules rashi log-end yes

 

出力方法を元に戻す場合、以下を実行します。

        configure モードから:

# run set cli config-output-format default

[edit rulebase security]
# show
security {
  rules {
    rashi {
      from [ trust-vwire untrust-vwire];
      to [ trust-vwire untrust-vwire];
      source 10.16.0.21;
      destination any;
      service any;
      application [ adobe-meeting-remote-control adobe-meeting adobe-online-office];
      action deny;
      source-user any;
      option {
        disable-server-response-inspection no;
      }
      negate-source no;
      negate-destination no;
      disabled yes;
      log-start no;
      log-end yes;
      profile-setting {
        profiles {
          file-blocking rashi_file_alert;
          data-filtering rashi_dlp;
        }

 

XML フォーマットでコンフィグレーションを確認するには、以下を実行します。

configure モードから:

# run set cli config-output-format xml

[edit rulebase security]
# show
<response status="success" code="19">
  <result total-count="1" count="1">
    <security>
      <rules>
        <entry name="rashi">
          <from>
            <member>trust-vwire</member>
            <member>untrust-vwire</member>
          </from>
          <to>
            <member>trust-vwire</member>
            <member>untrust-vwire</member>
          </to>
          <source>
            <member>10.16.0.21</member>
          </source>
          <destination>
            <member>any</member>
          </destination>
          <service>
            <member>any</member>
          </service>
          <application>
            <member>adobe-meeting-remote-control</member>
            <member>adobe-meeting</member>
            <member>adobe-online-office</member>
          </application>
          <action>deny</action>
          <source-user>
            <member>any</member>
          </source-user>
          <option>
            <disable-server-response-inspection>no</disable-server-response-inspection>
          </option>
          <negate-source>no</negate-source>
          <negate-destination>no</negate-destination>
          <disabled>yes</disabled>
          <log-start>no</log-start>
          <log-end>yes</log-end>
          <profile-setting>
            <profiles>
              <file-blocking>
                <member>rashi_file_alert</member>
              </file-blocking>
              <data-filtering>

 

また、configure モードから以下の2つのコマンドを実行することで、セキュリティ ポリシーをより短い方法で確認及び削除することができます。

ルールを見つけるには:

  • show rulebase security rules <rulename>

 

ルールを削除するには:

  • delete rulebase security rules <rulename>

 

参照

Command Line Interface Reference Guide Release 6.1

Command Line Interface Reference Guide Release 6.0

Command Line Interface Reference Guide Release 5.0

 

著者: panagent

0 件の賞賛
この記事を評価:
32,450件の閲覧回数
Register or Sign-in
バージョン履歴
最終更新:
‎05-18-2020 12:24 AM
更新者:
Latest Blogs
Latest Posts
Privacy Policy Terms of Use
Copyright 2007 - 2021 - Palo Alto Networks