Cisco Intercloud Fabric ファイアウォール コンフィギュレーション ガイド、リリース 5.2(1)VSG2(2.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2016年3月1日
章のタイトル: ファイアウォール プロファイルおよびポリシー オブジェクトの設定
目次
- ファイアウォール プロファイルおよびポリシー オブジェクトの設定
- Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報
- Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファイアウォール プロファイルに関する情報
- Intercloud Fabric ファイアウォール ポリシー オブジェクトの設定の前提条件
- Intercloud Fabric ファイアウォール設定時の注意事項および制約事項
- デフォルト設定
- ゾーン
- ゾーンの例
- オブジェクト グループ
- オブジェクト グループの例
- ルール
- ルールの例
- ポリシー
- ポリシー例
- Intercloud Fabric ファイアウォール属性
- 属性名表記に関する情報
- 方向属性
- ニュートラル属性
- 属性クラス
- ニュートラル属性
- VM 属性
- ゾーン属性
- セキュリティ プロファイル
- グローバル ポリシーエンジン ロギングのイネーブル化
- Intercloud Fabric ファイアウォール設定の確認
この章の内容は、次のとおりです。
- Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報
- グローバル ポリシーエンジン ロギングのイネーブル化
- Intercloud Fabric ファイアウォール設定の確認
Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報
ここでは、Cisco Prime ネットワーク サービス コントローラ(Prime NSC)を使用して、Intercloud Fabric ファイアウォールでファイアウォール ポリシー オブジェクトを設定し管理する方法について説明します。
 (注) |
Cisco PNSC を通じてのみ、Intercloud Fabric ファイアウォールを設定できます。 現在は、ファイアウォール ポリシー オブジェクトの帯域外の設定と管理はサポートしていません。 |
- Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファイアウォール プロファイルに関する情報
- Intercloud Fabric ファイアウォール属性
- セキュリティ プロファイル
Intercloud Fabric ファイアウォール ポリシー オブジェクトの設定の前提条件
Intercloud Fabric ファイアウォール設定時の注意事項および制約事項
デフォルト設定
| パラメータ |
デフォルト |
|---|---|
| ルール ポリシー オブジェクト |
drop |
ゾーン
ゾーンは、VM の論理グループまたはホストです。 ゾーンは、ゾーン名を使用したゾーン属性に基づくポリシーの記述を許可することにより、ポリシーの記述を簡素化できます。 ゾーン定義により、ゾーンに VM がマッピングされます。 論理グループの定義は、VM 属性やネットワーク属性など、VM に関連付けられた属性に基づくことができます。 ゾーン定義は条件ベースのサブネットおよびエンドポイントの IP アドレスとして記述できます。
ゾーンおよびオブジェクト グループは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は、方向付けされず、ニュートラルである必要があります。
ゾーンの例
次に、ネットワークのゾーンを表示する例を示します。
vsg# show running-config zone zone1 zone zone1 cond-match-criteria: match-any condition 1 net.ip-address eq 1.1.1.1 condition 2 net.port eq 80
オブジェクト グループ
オブジェクト グループは、属性に関連する条件のセットです。 オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用される属性は、方向付けされず、ニュートラルである必要があります。 オブジェクト グループは、ファイアウォール ルールの記述を支援するセカンダリ ポリシー オブジェクトです。 ルール条件は、演算子を使用することによりオブジェクト グループを参照できます。
オブジェクト グループの例
次に、ネットワークのオブジェクト グループを表示する例を示します。
vsg# show running-config object-group g1 object-group g1 net.port match 10 in-range protocol 6 port 10 30 match 11 eq protocol 6 port 21 inspect ftp
ルール
ファイアウォール ルールは複数の条件とアクショで構成できます。 ルールは、トラフィックをフィルタリングする条件としてポリシーで定義できます。 ポリシー エンジンは、Intercloud Fabric ファイアウォール(VSG)で受信したネットワーク トラフィックをフィルタリングする設定としてポリシーを使用します。 ポリシー エンジンは、ネットワーク トラフィックをフィルタリングする 2 種類の条件一致モデルを使用します。
AND モデル:ルール内のすべての属性が一致する場合、ルールは matched に設定されます。
ルールの例
次に、ネットワークのルールを表示する例を示します。
vsg# show running-config rule r2
rule r2
cond-match-criteria: match-all
dst-attributes
condition 10 dst.zone.name eq z1@r2
service/protocol-attribute
condition 11 net.service eq protocol 6 port 21 inspect ftp
action permit
ポリシー
ポリシーは、一連の間接的な関連付けを使用して ICF ファイアウォールにバインドされます。 セキュリティ管理者は、セキュリティ プロファイルを設定すると、セキュリティ プロファイル内のポリシー名を参照できます。 セキュリティ プロファイルは、ICF ファイアウォールへのリファレンスを持つポート プロファイルに関連付けられます。
ポリシー例
次に、show running-config コマンド出力にポリシーが表示される例を示します。
vsg# show running-config policy p2@root/T1 policy p2@root/T1 rule r2 order 10
次に、show running-config コマンド出力に条件が表示される例を示します。
condition 1 dst.net.ip-address eq 2.2.2.2 condition 2 src.net.ip-address eq 1.1.1.1
次に、show running-config コマンド出力にアクションが表示される例を示します。
action permit
Intercloud Fabric ファイアウォール属性
ここでは、Intercloud Fabric ファイアウォール(VSG)属性について説明します。
方向属性
ファイアウォール ポリシーは、着信パケットまたは発信パケットに対して方向付けられています。 ルール条件内の属性は、送信元または宛先のいずれかに関連するように指定されたものが必要です。 src.、dst.のようなプレフィックス、または属性名は、方向付けに使用されます。
ニュートラル属性
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
属性クラス
属性は、ポリシー ルールおよび条件の設定、またはゾーン定義で使用されます。
ニュートラル属性
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
VM 属性
次の表に、Intercloud Fabric ファイアウォール(VSG)によってサポートされる VM 属性を示します。
| 説明 | 名前 | ||||
|---|---|---|---|---|---|
| VM の名前 |
src.vm.name dst.vm.name vm.name
|
||||
| ゲスト OS のフルネーム(バージョン含む) |
src.vm.os-fullname dst.vm.os-fullname vm.os-fullname
|
||||
| 特定の vNIC に関連付けられたポート プロファイルの名前 |
src.vm.portprofile-name dst.vm.portprofile-name vm.portprofile-name
|
||||
| 関連付けられたポート グループのセキュリティ プロファイルからのカスタム属性。
|
src.vm.custom.xxx dst.vm.custom.xxx vm.custom.xxx
|
カスタム VM 属性は、サービス プロファイルの下で設定できるユーザ定義の属性です。
次に、ICF ファイアウォールの VM 属性を確認する例を示します。
firewall(config)# show vsg vm VM uuid : 47592090-c9c2-5e67-f044-9d6a39dc1696 VM attributes : name : didata1-cvm os-fullname : rhel 6.2 (64bit) Zone(s) : -------------------------------------------------------------------------------- VM uuid : 503ee75f-437b-1fa0-f0f4-fe0da53bab7a VM attributes : host-name : 10.36.6.9 name : windowsvm-migrate os-fullname : microsoft windows server 2003 (32-bit) os-hostname : sg-w2k-rv-1 resource-pool : resources tools-status : installed
ゾーン属性
| 説明 |
名前 |
||
|---|---|---|---|
| ゾーン名を指定します。 これは複数値属性で、複数のゾーンに同時に属することができます。 |
src.zone.name dst.zone.name zone.name
|
セキュリティ プロファイル
セキュリティ プロファイルは、ポリシーの記述に使用できるカスタム属性を定義します。 特定のポート プロファイルのタグが付いたすべての VM は、そのポート プロファイルに関連付けられたセキュリティ プロファイルで定義されたファイアウォール ポリシーおよびカスタム属性を継承します。 各カスタム属性は、state = CA のように名前と値のペアとして設定されます。
次に、Intercloud Fabric(ICF)ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile table -------------------------------------------------------------------------------- Security-Profile Name VNSP ID Policy Name -------------------------------------------------------------------------------- default@root 1 default@root sp10@root/tenant_d3338 9 ps9@root/tenant_d3338 sp9@root/tenant_d3338 10 ps9@root/tenant_d3338 sp2@root/tenant_d3338 11 ps1@root/tenant_d3338 sp1@root/tenant_d3338 12 ps1@root/tenant_d3338
次に、ICF ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile VNSP : sp10@root/tenant_d3338 VNSP id : 9 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338 VNSP : default@root VNSP id : 1 Policy Name : default@root Policy id : 1 Custom attributes : vnsporg : root VNSP : sp1@root/tenant_d3338 VNSP id : 12 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : losangeles color9 : test9 color8 : test8 color7 : test7 color6 : test6 color5 : test5 color4 : test4 color3 : test3 color2 : test2 color13 : test13 color12 : test12 color11 : test11 color10 : test10 color1 : test1 color : red VNSP : sp2@root/tenant_d3338 VNSP id : 11 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : sanjose color : blue VNSP : sp9@root/tenant_d3338 VNSP id : 10 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338
グローバル ポリシーエンジン ロギングのイネーブル化
ロギングを使用すると、モニタしている VM を通過するトラフィックを確認できます。 このロギングは、適切な設定を行っていることを確認したり、トラブルシューティングを行ったりするのに役立ちます。
Intercloud Fabric ファイアウォール設定の確認
Intercloud Fabric(ICF)ファイアウォール(VSG)設定を表示するには、show running-config コマンドを使用します。
firewall-40# show running-config !Generating configuration........ !version 1.0.1h.4.4 hostname firewall-40 interface mgmt 0 ip address 10.2.77.40 255.255.0.0 interface tunnel 0 ip address 70.10.10.10 255.255.255.0 ip route 0.0.0.0 0.0.0.0 10.2.0.1 ntp server 0.ubuntu.pool.ntp.org ntp server 1.ubuntu.pool.ntp.org ntp server 2.ubuntu.pool.ntp.org ntp server 3.ubuntu.pool.ntp.org ntp server ntp.ubuntu.com no ip domain-lookup ip domain-name cisco.com ip domain-list cisco.com nsc-policy-agent registration-ip 10.2.77.14 shared-secret ********** policy-agent-image install log-level info security-profile sp1@root/T1 policy ps1@root/T1 security-profile default@root policy default@root Policy default@root rule default/default-rule@root order 2 Policy ps1@root/T1 rule pol1/vm_attr@root/T1 order 101 rule permit_all/all@root/T1 order 202 rule default/default-rule@root cond-match-criteria: match-all action drop rule permit_all/all@root/T1 cond-match-criteria: match-all action permit rule pol1/vm_attr@root/T1 cond-match-criteria: match-any dst-attributes condition 13 dst.vm.portprofile-name contains csw src-attributes condition 14 src.vm.portprofile-name contains csw service/protocol-attribute condition 10 net.service eq protocol 6 port 22 condition 11 net.service in-range protocol 17 port 0 65535 condition 12 net.service in-range protocol 6 port 0 65535 action permit firewall-40#
目次
- ファイアウォール プロファイルおよびポリシー オブジェクトの設定
- Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報
- Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファイアウォール プロファイルに関する情報
- Intercloud Fabric ファイアウォール ポリシー オブジェクトの設定の前提条件
- Intercloud Fabric ファイアウォール設定時の注意事項および制約事項
- デフォルト設定
- ゾーン
- ゾーンの例
- オブジェクト グループ
- オブジェクト グループの例
- ルール
- ルールの例
- ポリシー
- ポリシー例
- Intercloud Fabric ファイアウォール属性
- 属性名表記に関する情報
- 方向属性
- ニュートラル属性
- 属性クラス
- ニュートラル属性
- VM 属性
- ゾーン属性
- セキュリティ プロファイル
- グローバル ポリシーエンジン ロギングのイネーブル化
- Intercloud Fabric ファイアウォール設定の確認
この章の内容は、次のとおりです。
- Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報
- グローバル ポリシーエンジン ロギングのイネーブル化
- Intercloud Fabric ファイアウォール設定の確認
Intercloud Fabric ファイアウォール ポリシー オブジェクトに関する情報
ここでは、Cisco Prime ネットワーク サービス コントローラ(Prime NSC)を使用して、Intercloud Fabric ファイアウォールでファイアウォール ポリシー オブジェクトを設定し管理する方法について説明します。
(注) |
Cisco PNSC を通じてのみ、Intercloud Fabric ファイアウォールを設定できます。 現在は、ファイアウォール ポリシー オブジェクトの帯域外の設定と管理はサポートしていません。 |
- Intercloud Fabric ファイアウォール ポリシー オブジェクトおよびファイアウォール プロファイルに関する情報
- Intercloud Fabric ファイアウォール属性
- セキュリティ プロファイル
ゾーン
ゾーンは、VM の論理グループまたはホストです。 ゾーンは、ゾーン名を使用したゾーン属性に基づくポリシーの記述を許可することにより、ポリシーの記述を簡素化できます。 ゾーン定義により、ゾーンに VM がマッピングされます。 論理グループの定義は、VM 属性やネットワーク属性など、VM に関連付けられた属性に基づくことができます。 ゾーン定義は条件ベースのサブネットおよびエンドポイントの IP アドレスとして記述できます。
ゾーンおよびオブジェクト グループは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は、方向付けされず、ニュートラルである必要があります。
オブジェクト グループ
オブジェクト グループは、属性に関連する条件のセットです。 オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、オブジェクト グループ条件で使用される属性は、方向付けされず、ニュートラルである必要があります。 オブジェクト グループは、ファイアウォール ルールの記述を支援するセカンダリ ポリシー オブジェクトです。 ルール条件は、演算子を使用することによりオブジェクト グループを参照できます。
ルール
ファイアウォール ルールは複数の条件とアクショで構成できます。 ルールは、トラフィックをフィルタリングする条件としてポリシーで定義できます。 ポリシー エンジンは、Intercloud Fabric ファイアウォール(VSG)で受信したネットワーク トラフィックをフィルタリングする設定としてポリシーを使用します。 ポリシー エンジンは、ネットワーク トラフィックをフィルタリングする 2 種類の条件一致モデルを使用します。
AND モデル:ルール内のすべての属性が一致する場合、ルールは matched に設定されます。
ポリシー
ポリシーは、一連の間接的な関連付けを使用して ICF ファイアウォールにバインドされます。 セキュリティ管理者は、セキュリティ プロファイルを設定すると、セキュリティ プロファイル内のポリシー名を参照できます。 セキュリティ プロファイルは、ICF ファイアウォールへのリファレンスを持つポート プロファイルに関連付けられます。
ポリシー例
次に、show running-config コマンド出力にポリシーが表示される例を示します。
vsg# show running-config policy p2@root/T1 policy p2@root/T1 rule r2 order 10
次に、show running-config コマンド出力に条件が表示される例を示します。
condition 1 dst.net.ip-address eq 2.2.2.2 condition 2 src.net.ip-address eq 1.1.1.1
次に、show running-config コマンド出力にアクションが表示される例を示します。
action permit
Intercloud Fabric ファイアウォール属性
ここでは、Intercloud Fabric ファイアウォール(VSG)属性について説明します。
方向属性
ファイアウォール ポリシーは、着信パケットまたは発信パケットに対して方向付けられています。 ルール条件内の属性は、送信元または宛先のいずれかに関連するように指定されたものが必要です。 src.、dst.のようなプレフィックス、または属性名は、方向付けに使用されます。
ニュートラル属性
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
属性クラス
属性は、ポリシー ルールおよび条件の設定、またはゾーン定義で使用されます。
ニュートラル属性
オブジェクト グループおよびゾーンは異なる方向のさまざまなルール間で共有されるため、ゾーンで使用される属性は方向付けされません。 方向付けされていない属性(src. または dst. などの方向プレフィックスを提供 しない)は、ニュートラル属性と呼ばれます。
異なる方向の 2 つのルール条件は同じオブジェクト グループ定義を共有できます。 オブジェクト グループで使用されるニュートラル属性と net.ip-address は、src.net.ip-address および dst.net.ip-address のような異なるルールで使用される方向属性と関連付けることができます。
VM 属性
次の表に、Intercloud Fabric ファイアウォール(VSG)によってサポートされる VM 属性を示します。
| 説明 | 名前 | ||||
|---|---|---|---|---|---|
| VM の名前 |
src.vm.name dst.vm.name vm.name
|
||||
| ゲスト OS のフルネーム(バージョン含む) |
src.vm.os-fullname dst.vm.os-fullname vm.os-fullname
|
||||
| 特定の vNIC に関連付けられたポート プロファイルの名前 |
src.vm.portprofile-name dst.vm.portprofile-name vm.portprofile-name
|
||||
| 関連付けられたポート グループのセキュリティ プロファイルからのカスタム属性。
|
src.vm.custom.xxx dst.vm.custom.xxx vm.custom.xxx
|
カスタム VM 属性は、サービス プロファイルの下で設定できるユーザ定義の属性です。
次に、ICF ファイアウォールの VM 属性を確認する例を示します。
firewall(config)# show vsg vm VM uuid : 47592090-c9c2-5e67-f044-9d6a39dc1696 VM attributes : name : didata1-cvm os-fullname : rhel 6.2 (64bit) Zone(s) : -------------------------------------------------------------------------------- VM uuid : 503ee75f-437b-1fa0-f0f4-fe0da53bab7a VM attributes : host-name : 10.36.6.9 name : windowsvm-migrate os-fullname : microsoft windows server 2003 (32-bit) os-hostname : sg-w2k-rv-1 resource-pool : resources tools-status : installed
セキュリティ プロファイル
セキュリティ プロファイルは、ポリシーの記述に使用できるカスタム属性を定義します。 特定のポート プロファイルのタグが付いたすべての VM は、そのポート プロファイルに関連付けられたセキュリティ プロファイルで定義されたファイアウォール ポリシーおよびカスタム属性を継承します。 各カスタム属性は、state = CA のように名前と値のペアとして設定されます。
次に、Intercloud Fabric(ICF)ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile table -------------------------------------------------------------------------------- Security-Profile Name VNSP ID Policy Name -------------------------------------------------------------------------------- default@root 1 default@root sp10@root/tenant_d3338 9 ps9@root/tenant_d3338 sp9@root/tenant_d3338 10 ps9@root/tenant_d3338 sp2@root/tenant_d3338 11 ps1@root/tenant_d3338 sp1@root/tenant_d3338 12 ps1@root/tenant_d3338
次に、ICF ファイアウォールのセキュリティ プロファイルを確認する例を示します。
firewall(config-vnm-policy-agent)# show vsg security-profile VNSP : sp10@root/tenant_d3338 VNSP id : 9 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338 VNSP : default@root VNSP id : 1 Policy Name : default@root Policy id : 1 Custom attributes : vnsporg : root VNSP : sp1@root/tenant_d3338 VNSP id : 12 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : losangeles color9 : test9 color8 : test8 color7 : test7 color6 : test6 color5 : test5 color4 : test4 color3 : test3 color2 : test2 color13 : test13 color12 : test12 color11 : test11 color10 : test10 color1 : test1 color : red VNSP : sp2@root/tenant_d3338 VNSP id : 11 Policy Name : ps1@root/tenant_d3338 Policy id : 2 Custom attributes : vnsporg : root/tenant_d3338 location : sanjose color : blue VNSP : sp9@root/tenant_d3338 VNSP id : 10 Policy Name : ps9@root/tenant_d3338 Policy id : 3 Custom attributes : vnsporg : root/tenant_d3338
グローバル ポリシーエンジン ロギングのイネーブル化
Intercloud Fabric ファイアウォール設定の確認
Intercloud Fabric(ICF)ファイアウォール(VSG)設定を表示するには、show running-config コマンドを使用します。
firewall-40# show running-config !Generating configuration........ !version 1.0.1h.4.4 hostname firewall-40 interface mgmt 0 ip address 10.2.77.40 255.255.0.0 interface tunnel 0 ip address 70.10.10.10 255.255.255.0 ip route 0.0.0.0 0.0.0.0 10.2.0.1 ntp server 0.ubuntu.pool.ntp.org ntp server 1.ubuntu.pool.ntp.org ntp server 2.ubuntu.pool.ntp.org ntp server 3.ubuntu.pool.ntp.org ntp server ntp.ubuntu.com no ip domain-lookup ip domain-name cisco.com ip domain-list cisco.com nsc-policy-agent registration-ip 10.2.77.14 shared-secret ********** policy-agent-image install log-level info security-profile sp1@root/T1 policy ps1@root/T1 security-profile default@root policy default@root Policy default@root rule default/default-rule@root order 2 Policy ps1@root/T1 rule pol1/vm_attr@root/T1 order 101 rule permit_all/all@root/T1 order 202 rule default/default-rule@root cond-match-criteria: match-all action drop rule permit_all/all@root/T1 cond-match-criteria: match-all action permit rule pol1/vm_attr@root/T1 cond-match-criteria: match-any dst-attributes condition 13 dst.vm.portprofile-name contains csw src-attributes condition 14 src.vm.portprofile-name contains csw service/protocol-attribute condition 10 net.service eq protocol 6 port 22 condition 11 net.service in-range protocol 17 port 0 65535 condition 12 net.service in-range protocol 6 port 0 65535 action permit firewall-40#
フィードバック