CLI でセキュリティ ポリシーを確認、追加、及び削除する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to View, Create and Delete Security Policies on the CLI
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Create-and-Delete-Security-Poli...

 

概要

この記事では CLI (コマンド ライン インターフェース) でのセキュリティ ポリシーの確認、追加、及び削除の方法を説明します。

 

詳細

CLI にて新しくセキュリティ ポリシーを追加するには、以下を実行します。

> configure (Enterを入力)

# set rulebase security rules <name> from <source zone> to <destination zone> destination <ip> application <application> service <any/application-default/service name> action <allow/deny> (Enterを入力)

# exit

 

例:

# set rulebase security rules Generic-Security from Outside-L3 to Inside-L3 destination 63.63.63.63 application web-browsing service application-default action allow (Enterを入力)

注: "?" を入力すると、全ての CLI コマンドのヘルプが確認できます。また [タブ] キーを入力することで入力可能なコマンドのリストが確認できます。

 

CLI で Palo Alto Networks デバイスのセキュリティ ポリシーを確認するには、以下を実行します。

> show running security-policy

 

Rule       From         Source        To           Dest.           User                Proto Port Range Application  Action
---------- ------------ ------------- ------------ --------------- ------------------- ----- ---------- ------------ ------
Doms DLP   untrust-vwir 10.16.0.92    Untrust-vwir any             any                 any   any        any          allow
           trust-vwire                trust-vwire

rule4      untrust-vwir any          untrust-vwir  10.16.0.92      any                 any   any        any          allow
           trust-vwire                trust-vwire

rule3      trust-vwire  any          untrust-vwir  any             any                 any   any        any          allow

 

以下のコマンドを実行すると、全てのコンフィグレーションを表示します。

> show config running

 

出力フォーマットを設定するには、以下を入力します。

> set cli config-output-format set

> configure
Entering configuration mode
[edit]

# edit rulebase security
[edit rulebase security]

# show
set rulebase security rules rashi from trust-vwire
set rulebase security rules rashi from untrust-vwire
set rulebase security rules rashi to trust-vwire
set rulebase security rules rashi to untrust-vwire
set rulebase security rules rashi source 10.16.0.21
set rulebase security rules rashi destination any
set rulebase security rules rashi service any
set rulebase security rules rashi application adobe-meeting-remote-control
set rulebase security rules rashi application adobe-meeting
set rulebase security rules rashi application adobe-online-office
set rulebase security rules rashi action deny
set rulebase security rules rashi source-user any
set rulebase security rules rashi option disable-server-response-inspection no
set rulebase security rules rashi negate-source no
set rulebase security rules rashi negate-destination no
set rulebase security rules rashi disabled yes
set rulebase security rules rashi log-start no
set rulebase security rules rashi log-end yes

 

出力方法を元に戻す場合、以下を実行します。

        configure モードから:

# run set cli config-output-format default

[edit rulebase security]
# show
security {
  rules {
    rashi {
      from [ trust-vwire untrust-vwire];
      to [ trust-vwire untrust-vwire];
      source 10.16.0.21;
      destination any;
      service any;
      application [ adobe-meeting-remote-control adobe-meeting adobe-online-office];
      action deny;
      source-user any;
      option {
        disable-server-response-inspection no;
      }
      negate-source no;
      negate-destination no;
      disabled yes;
      log-start no;
      log-end yes;
      profile-setting {
        profiles {
          file-blocking rashi_file_alert;
          data-filtering rashi_dlp;
        }

 

XML フォーマットでコンフィグレーションを確認するには、以下を実行します。

configure モードから:

# run set cli config-output-format xml

[edit rulebase security]
# show
<response status="success" code="19">
  <result total-count="1" count="1">
    <security>
      <rules>
        <entry name="rashi">
          <from>
            <member>trust-vwire</member>
            <member>untrust-vwire</member>
          </from>
          <to>
            <member>trust-vwire</member>
            <member>untrust-vwire</member>
          </to>
          <source>
            <member>10.16.0.21</member>
          </source>
          <destination>
            <member>any</member>
          </destination>
          <service>
            <member>any</member>
          </service>
          <application>
            <member>adobe-meeting-remote-control</member>
            <member>adobe-meeting</member>
            <member>adobe-online-office</member>
          </application>
          <action>deny</action>
          <source-user>
            <member>any</member>
          </source-user>
          <option>
            <disable-server-response-inspection>no</disable-server-response-inspection>
          </option>
          <negate-source>no</negate-source>
          <negate-destination>no</negate-destination>
          <disabled>yes</disabled>
          <log-start>no</log-start>
          <log-end>yes</log-end>
          <profile-setting>
            <profiles>
              <file-blocking>
                <member>rashi_file_alert</member>
              </file-blocking>
              <data-filtering>

 

また、configure モードから以下の2つのコマンドを実行することで、セキュリティ ポリシーをより短い方法で確認及び削除することができます。

ルールを見つけるには:

  • show rulebase security rules <rulename>

 

ルールを削除するには:

  • delete rulebase security rules <rulename>

 

参照

Command Line Interface Reference Guide Release 6.1

Command Line Interface Reference Guide Release 6.0

Command Line Interface Reference Guide Release 5.0

 

著者: panagent