CLI を使用してセキュリティ、NAT、および PBF ルールをテストする方法
Resolution
概要
このドキュメントでは、CLI を介してテストセキュリティ、アドレス変換 (NAT)、およびポリシーベースの転送 (PBF) ルールを使用して、セッションが予想されるポリシーと一致しているかどうかを検証する方法について説明します。
次の引数は、テストセキュリティポリシー、NAT ポリシー、および PBF ポリシーを実行するために常に必要です。
- ソース-ソース IP アドレス
- 宛先-宛先 IP アドレス
- 宛先ポート-宛先ポート番号を指定します。
- プロトコル-1 ~ 255 (TCP-6、UDP-17、ICMP-1、ESP-50) 間のパケットに期待される IP プロトコル番号を指定します。
上記のいずれかの引数の値が不明であるか、または一致すると予想されるルールがフィールド値として "any" を持っているシナリオのように重要でない場合は、偽またはダミーの値が入力される可能性があります。また、' アプリケーション '、' カテゴリ '、' from ' および ' to ' ゾーンを指定することもできます。
注:同じ送信元ゾーンと移行先領域で構成されているセキュリティポリシーが多数ある場合に、予想されるセキュリティポリシーに一致するようにするには、送信元と移行先のゾーンを指定することをお勧めします。ゾーンが指定されていない場合、test コマンドは、送信元と宛先の IP アドレスが属していないゾーンに基づいて、ルールの結果を返します。
詳細
セキュリティルールのテスト
セキュリティのテスト-ポリシー-一致
+ アプリケーションアプリケーション名
+ カテゴリカテゴリ名
+ 宛先宛先 IP アドレス
+ 宛先ポートの宛先ポート
から +
+ プロトコル IP プロトコルの値
+ ショー-すべての潜在的な一致ルールを表示
+ ソースソース IP アドレス
+ ソース-ユーザソースユーザ
+ to
<Enter>終了入力</Enter>
例 1: (必要な引数の値がわかっている場合)
テストセキュリティ-ポリシー-一致プロトコル6から l3-トラスト l3-Untrust ソース192.168.52.1 宛先74.125.225.69 宛先-ポート80アプリケーション gmail ベース
Trust_Untrust {
L3 から-トラスト;
ソース 192.168.52.1;
ソース-リージョン any;
L3-Untrust;
デスティネーション 74.125.225.69;
デスティネーション-リージョン any;
ユーザー。
カテゴリ。
アプリケーション/サービス [gmail ベース/tcp/任意/80 gmail ベース/tcp/any/8080 ウェブブラウジング/tcp/any/80 ウェブブラウジング/tcp/any/8080 gmail の-チャット/tcp/任意/80 gmail の-チャット/tcp/any/8080 gmail の-エンタープライズ/tcp/any/80 gmail の-エンタープライズ/tcp/any/8080gmail の-電話/tcp/任意/80 gmail の-コール-磨く/tcp/any/8080 gmail の-ビデオ-チャット/tcp/任意/80 gmail のビデオ-チャット/tcp/any/8080]; アクションが許可;
}
例 2: (必要な引数の値が、ルールがフィールド値として "any" を持つシナリオのように不明な場合)
テストセキュリティ-ポリシーの一致プロトコル 1 l3 から-信頼 l3-Untrust ソース192.168.52.1 宛先4.4.4.4 宛先-ポート80
信頼 Untrust {
L3 から-トラスト;
ソースのいずれか。
ソース-リージョン any;
L3-Untrust;
コピー先。
デスティネーション-リージョン any;
ユーザー。
カテゴリ。
アプリケーション/サービス任意/任意/任意の;
アクションを許可する;
}
例 3: (ルールの一致なし)
テストセキュリティ-ポリシー-一致プロトコル 6 l3 から-トラスト l3-Untrust ソース192.168.52.1 宛先69.171.242.11 宛先-ポート80アプリケーションフェイスブックベース
ルールが一致しません
NAT ルールのテスト
テストの nat-ポリシー一致
+ 宛先宛先 IP アドレス
+ 宛先ポートの宛先ポート
から +
+ ha-デバイス id ha アクティブ-アクティブデバイス id
+ プロトコル IP プロトコルの値
+ ソースソース IP アドレス
+ ソースポートのソースポート
+ to
使用するインターフェイスの出力インターフェイス
<Enter>終了入力</Enter>
例 1: (必要な引数の値がわかっている場合)
テストの nat-ポリシー一致プロトコル 6 l3 から-Untrust ソース 192.168.52.1宛先171.161.148.173 宛先-ポート 443
ソース-NAT: ルールが一致しました: Src_NAT
192.168.52.1: 0 = > 10.30.6.52: 15473 (6),
例 2: (必要な引数の値が、ルールがフィールド値として "any" を持つシナリオのように不明な場合)
テストの nat-ポリシー-マッチプロトコル 17 l3 から-Untrust ソース 192.168.52.1宛先69.171.242.11 宛先-ポート 80
ソース-NAT: ルールが一致しました: Source_NAT
192.168.52.1: 0 = > 10.30.6.52: 47927 (17),
例 3: (ルールの一致なし)
テストの nat-ポリシー一致プロトコル 6 l3 から-Untrust ソース192.168.52.1 宛先212.58.241.131 宛先-ポート443
サーバーエラー:
PBF ルールのテスト
テスト pbf-ポリシー-マッチ
+ アプリケーションアプリケーション名
+ 宛先宛先 IP アドレス
+ 宛先ポートの宛先ポート
+ ゾーンから
インターフェイスからの + からのインターフェイス
+ ha-デバイス id ha アクティブ-アクティブデバイス id
+ プロトコル IP プロトコルの値
+ ソースソース IP アドレス
+ ソース-ユーザソースユーザ
<Enter>終了入力</Enter>
例 1: (必要な引数の値がわかっている場合)
テスト pbf-ポリシー-一致プロトコル 6 L3 から-トラストソース192.168.52.1 宛先74.125.225.69 宛先-ポート80アプリケーションの web ブラウジング
PBF
L3 から-トラスト;
ソース 192.168.52.1;
デスティネーション 74.125.225.69;
ユーザー。
アプリケーション/サービスの web ブラウジング/任意/任意/任意の;
アクション フォワード;
転送-出口-IF/VSYS ethernet1/3;
次ホップ 0.0.0.0。
}
例 2: (必要な引数の値が、ルールがフィールド値として "any" を持つシナリオのように不明な場合)
テスト pbf-ポリシー-一致プロトコル 6 L3 から-トラストソース192.168.52.1 宛先171.161.148.173 宛先-ポート80
"PBF" {
L3 から-トラスト;
ソースのいずれか。
コピー先。
ユーザー。
アプリケーション/サービス任意/任意/任意の;
アクション フォワード;
転送-出口-IF/VSYS ethernet1/3;
次ホップ 0.0.0.0。
}
例 3: (ルールの一致なし)
テスト pbf-ポリシー-マッチプロトコル 17 L3 から-トラストソース192.168.52.1 宛先69.171.242.11 宛先-ポート80
サーバーエラー: ポリシールックアップの実行中にエラーが発生しました
マルチ vsys 環境
マルチ vsys 環境で上記のコマンドをテストするには、まず <vsys>CLI で</vsys>システム設定ターゲット vsys コマンドを設定して、コンテキストをその特定の vsys に変更します。次に、テストを実行します。
管理者 @ PA-5050 vsys2 (パッシブ) > テストセキュリティ-vsys2_trust から vsys2_untrust 宛先へのポリシーの一致-ポート80プロトコル6ソース1.1.1.1 デスティネーション2.2.2.2
Temp
;
ソースのいずれか。
震源域なし;
;
コピー先。
送付先地域なし;
ユーザー。
カテゴリ。
アプリケーション/サービス/すべて/すべて/任意;
アクションを許可する;
ターミナルはい;
}
デフォルトの設定に戻すには、システム設定ターゲットの設定-vsys noneコマンドを実行します。
所有者: gchandrasekaran