Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Monitoramento de políticas de segurança

SUMMARY Esta seção descreve o monitoramento das políticas de segurança e a gravação do tráfego permitido ou negado.

Monitoramento das estatísticas de políticas de segurança

Propósito

Monitore e registre tráfego que o Junos OS permite ou nega com base em políticas previamente configuradas.

Ação

Para monitorar o tráfego, habilite a contagem e as opções de log.

Count—Configurável em uma política individual. Se a contagem for ativada, as estatísticas são coletadas para sessões que entram no dispositivo para uma determinada política e para o número de pacotes e bytes que passam pelo dispositivo em ambas as direções para uma determinada política. Para contagens (apenas para pacotes e bytes), você pode especificar que alarmes são gerados sempre que o tráfego exceder os limites especificados. Veja a contagem (Políticas de segurança).

Log—O recurso de registro pode ser habilitado com políticas de segurança durante a inicialização da sessão (session-init) ou encerramento da sessão (session-close). Consulte o log (Políticas de segurança).

  • Para visualizar logs de conexões negadas, habilite o logon session-init.

  • Para registrar sessões após a conclusão/derrubada, habilite o logon session-close.

Nota:

O log de sessão é ativado em tempo real no código de fluxo que afeta o desempenho do usuário. Se ambos session-close estiverem session-init habilitados, o desempenho será ainda mais degradado em comparação apenas com a habilitação session-init .

Para obter detalhes sobre as informações coletadas para logs de sessão, consulte as informações fornecidas nas entradas de registro de sessão para gateways de serviços da Série SRX.

Informações de roteamento de monitoramento

Monitoramento das informações de rota

Propósito

Veja informações sobre as rotas em uma tabela de roteamento, incluindo informações de destino, protocolo, estado e parâmetros.

Ação

Selecione Monitor>Routing>Route Information na interface do usuário J-Web ou insira os seguintes comandos de CLI:

  • show route terse

  • show route detail

Nota:

Quando você usa uma conexão HTTPS no navegador Microsoft Internet Explorer para salvar um relatório desta página na interface J-Web, a mensagem de erro "Internet Explorer não foi capaz de abrir o site da Internet" é exibida. Esse problema ocorre porque o Controle de Cache: nenhum cabeçalho HTTP de cache é adicionado no lado do servidor e o Internet Explorer não permite que você baixe o arquivo criptografado com o Controle de Cache: sem conjunto de cabeçalho HTTP de cache na resposta do servidor.

Como uma solução alternativa, consulte o artigo da Base de Conhecimento da Microsoft 323308, que está disponível neste URL: http://support.microsoft.com/kb/323308. Além disso, você pode, alternativamente, usar HTTP no navegador Internet Explorer ou usar HTTPS no navegador Mozilla Firefox para salvar um arquivo desta página.

Tabela 1 descreve os diferentes filtros, suas funções e as ações associadas.

Tabela 2 resume os principais campos de saída no display de informações de roteamento.

Tabela 1: Filtragem de mensagens de rota

Campo

Função

Sua ação

Endereço de destino

Especifica o endereço de destino da rota.

Insira o endereço de destino.

Protocolo

Especifica o protocolo do qual a rota foi aprendida.

Insira o nome do protocolo.

Endereço de próximo salto

Especifica o endereço da camada de rede do sistema vizinho diretamente acessível (se aplicável) e a interface usada para alcançá-lo.

Insira o próximo endereço hop.

Receber protocolo

Especifica o protocolo de roteamento dinâmico usando quais informações de roteamento foram recebidas por um determinado vizinho.

Insira o protocolo de roteamento.

Melhor rota

Especifica apenas a melhor rota disponível.

Selecione os detalhes de visualização da melhor rota.

Rotas inativas

Especifica as rotas inativas.

Selecione os detalhes de visualização de rotas inativas.

Rota exata

Especifica a rota exata.

Selecione os detalhes de visualização da rota exata.

Rotas ocultas

Especifica as rotas ocultas.

Selecione os detalhes de visualização de rotas ocultas.

Pesquisar

Aplica o filtro especificado e exibe as mensagens correspondentes.

Para aplicar o filtro e exibir mensagens, clique Searchem .

Redefinir

Redefini opções selecionadas para padrão

Para redefinir o filtro, clique Resetem .

Tabela 2: Resumo dos principais campos de saída de informações de roteamento

Campo

Valores

Informações adicionais

Endereços de rota estáticos

A lista de endereços de rota estáticos.

Protocolo

Protocolo a partir do qual a rota foi aprendida: Static, DirectLocalou o nome de um protocolo específico.

Preferência

A preferência é o valor de preferência individual pela rota.

A preferência de rota é usada como um dos critérios de seleção de rotas.

Próximo salto

Endereço de camada de rede do sistema vizinho diretamente alcançável (se aplicável) e da interface usada para alcançá-lo.

Se um próximo salto for listado como Discard, todo o tráfego com esse endereço de destino é descartado em vez de roteado. Esse valor geralmente significa que a rota é uma rota estática para a qual o discard atributo foi definido.

Se um próximo salto for listado como Reject, todo o tráfego com esse endereço de destino será rejeitado. Esse valor geralmente significa que o endereço é inalcançável. Por exemplo, se o endereço for um endereço de interface configurado e a interface estiver indisponível, o tráfego com destino a esse endereço será rejeitado.

Se um próximo salto for listado como Local, o destino é um endereço no host (ou o endereço de loopback ou a porta de gerenciamento Ethernet 0, por exemplo).

Idade

Há quanto tempo a rota está ativa.

Estado

Bandeiras para esta rota.

Existem muitas bandeiras possíveis.

Caminho DO AS

COMO caminho pelo qual a rota foi aprendida. As letras do caminho AS indicam a origem do caminho:

  • I— IGP.

  • E— EGP.

  • ?— Incompleto. Normalmente, o caminho do AS era agregado.

Monitoramento das informações de roteamento RIP

Propósito

Veja as informações de roteamento RIP, incluindo um resumo dos vizinhos e estatísticas do RIP.

Ação

Selecione Monitor>Routing>RIP Information na interface do usuário J-Web ou insira os seguintes comandos de CLI:

  • show rip statistics

  • show rip neighbors

Tabela 3 resume os principais campos de saída na exibição de roteamento RIP na interface do usuário J-Web.

Tabela 3: Resumo dos principais campos de saída de roteamento RIP

Campo

Valores

Informações adicionais

Estatísticas do RIP

Nome do protocolo

O nome do protocolo RIP.

Número da porta

A porta na qual o RIP está habilitado.

Mantenha o tempo de inatividade

O intervalo durante o qual as rotas não são anunciadas nem atualizadas.

Rotas globais aprendidas

Número de rotas RIP aprendidas na interface lógica.

Rotas globais retivedas

Número de rotas RIP que não são anunciadas ou atualizadas durante o intervalo de espera.

Solicitação global caiu

O número de solicitações caiu.

As respostas globais caíram

O número de respostas caiu.

Vizinhos rip  

Detalhes

Tab usado para visualizar os detalhes da interface em que o RIP está habilitado.

Vizinho

Nome do vizinho RIP.

Esse valor é o nome da interface na qual o RIP está habilitado. Clique no nome para ver os detalhes deste vizinho.

Estado

Estado da conexão RIP: Up ou Dn (Para baixo).

Endereço de origem

Endereço de origem local.

Esse valor é o endereço configurado da interface em que o RIP está habilitado.

Endereço de destino

Endereço de destino.

Esse valor é o endereço configurado da adjacência RIP imediata.

Modo de envio

O modo de envio de mensagens RIP.

Modo de receber

O modo em que as mensagens são recebidas.

Em métrica

Valor da métrica de entrada configurada para o vizinho RIP.

Monitoramento das informações de roteamento OSPF

Propósito

Veja as informações de roteamento OSPF, incluindo um resumo de vizinhos, interfaces e estatísticas do OSPF.

Ação

Selecione Monitor>Routing>OSPF Information na interface do usuário J-Web ou insira os seguintes comandos de CLI:

  • show ospf neighbors

  • show ospf interfaces

  • show ospf statistics

Tabela 4 resume os principais campos de saída na exibição de roteamento OSPF na interface do usuário J-Web.

Tabela 4: Resumo dos principais campos de saída de roteamento OSPF

Campo

Valores

Informações adicionais

OSPF Interfaces  

Detalhes

Guia usada para visualizar os detalhes do OSPF selecionado.

Interface

Nome da interface que executa o OSPF.

Estado

Estado da interface: BDR, Down, DR, DRother, Loop, PtToPtou Waiting.

O Down estado, indicando que a interface não está funcionando, e PtToPt o estado, indicando que uma conexão ponto a ponto foi estabelecida, são os estados mais comuns.

Área

Número da área em que a interface está.

DR ID

Identificação do dispositivo designado da área.

BDR ID

ID do dispositivo designado para backup da área.

Vizinhos

Número de vizinhos nesta interface.

Estatísticas do OSPF  
Guia de pacotes

Enviado

Exibe o número total de pacotes enviados.

Recebido

Exibe o número total de pacotes recebidos.

Guia de detalhes

Profundidade da fila de inundação

Número de entradas na fila estendida.

Retransmissões totais

Número de entradas de retransmissão emqueudas.

Resumos totais do banco de dados

Número total de pacotes de descrição do banco de dados.

Vizinhos do OSPF

Endereço

Endereço do vizinho.

Interface

Interface pela qual o vizinho é acessível.

Estado

Estado do vizinho: Attempt, Down, Exchange, ExStart, Full, , Init, Loadingou 2way.

Geralmente, apenas o Down estado, indicando uma adjacência de OSPF falha, e o Full estado, indicando uma adjacência funcional, são mantidos por mais de alguns segundos. Os outros estados são estados transitórios que um vizinho está em apenas brevemente enquanto uma adjacência do OSPF está sendo estabelecida.

ID

Identificação do vizinho.

Prioridade

Prioridade do vizinho para se tornar o roteador designado.

Tempo de atividade

O tempo de atividade.

Área

Área em que o vizinho está.

Opções

Bits de opção recebidos nos pacotes olá do vizinho.

Endereço DR

Endereço do roteador designado.

Endereço BDR

Endereço do roteador designado para backup.

Uptime

Tempo desde que o vizinho apareceu.

Adjacência

Tempo desde que a adjacência com o vizinho foi estabelecida.

Monitoramento das informações de roteamento BGP

Propósito

Monitore as informações de roteamento BGP sobre o dispositivo de roteamento, incluindo um resumo do roteamento BGP e informações de vizinhos.

Ação

Selecione Monitor>Routing>BGP Information na interface do usuário J-Web ou insira os seguintes comandos de CLI:

  • show bgp summary

  • show bgp neighbor

Tabela 5 resume os principais campos de saída na exibição de roteamento BGP na interface do usuário J-Web.

Tabela 5: Resumo dos principais campos de saída de roteamento BGP

Campo

Valores

Informações adicionais

Resumo do BGP Peer

Grupos totais

Número de grupos BGP.

Total Peers

Número de colegas BGP.

Down Peers

Número de peers BGP indisponíveis.

Peers não configurados

Endereço de cada peer BGP.

Guia de resumo rib

Nome RIB

Nome do grupo RIB.

Prefixos totais

Número total de prefixos do peer, ativos e inativos, que estão na tabela de roteamento.

Prefixos ativos

Número de prefixos recebidos dos pares de EBGP que estão ativos na tabela de roteamento.

Prefixos suprimidos

Número de rotas recebidas de pares de EBGP atualmente inativos por causa do amortecimento ou outras razões.

Prefixos de história

Histórico das rotas recebidas ou suprimidas.

Prefixos despejados

Número de rotas atualmente inativas por causa do amortecimento ou outros motivos. Essas rotas não aparecem na tabela de encaminhamento e não são exportadas por protocolos de roteamento.

Prefixos pendentes

Número de rotas pendentes.

Estado

Status do processo de reinicialização gracioso para esta tabela de roteamento: A reinicialização do BGP está completa, a reinicialização do BGP em andamento, a reinicialização de VPN em andamento ou a reinicialização de VPN está completa.

Vizinhos BGP  

Detalhes

Clique neste botão para visualizar os detalhes selecionados do vizinho BGP.

Endereço peer

Endereço do vizinho BGP.

Sistema autônomo

Como número de peer.

Estado de peer

Estado atual da sessão BGP:

  • Active— a BGP está iniciando uma conexão TCP na tentativa de se conectar a um peer. Se a conexão for bem-sucedida, o BGP envia uma mensagem aberta.

  • Connect— o BGP está esperando a conexão TCP se tornar completa.

  • Established— A sessão bgp foi estabelecida, e os colegas estão trocando mensagens de atualização BGP.

  • Idle— Este é o primeiro estágio de uma conexão. A BGP está esperando um evento Start.

  • OpenConfirm— A BGP reconheceu o recebimento de uma mensagem aberta dos colegas e está esperando para receber uma mensagem keepalive ou de notificação.

  • OpenSent— a BGP enviou uma mensagem aberta e está esperando para receber uma mensagem aberta dos colegas.

Geralmente, os estados mais comuns são Active, o que indica um problema no estabelecimento da conexão BGP e Established, o que indica uma configuração de sessão bem sucedida. Os outros estados são estados de transição, e as sessões BGP normalmente não ficam nesses estados por longos períodos de tempo.

Tempo decorrido

Tempo decorrido desde que a sessão de peering foi redefinida pela última vez.

Descrição

Descrição da sessão BGP.

Monitoramento de eventos de segurança por política

Propósito

Monitore eventos de segurança por política e exibir detalhes de eventos registrados com a interface do usuário J-Web.

Ação

Monitorar eventos de segurança por política:

  1. Selecione um dos seguintes aspectos na interface do usuário J-Web:

    • Se você estiver usando plataformas SRX5400, SRX5600 ou SRX5800, selecione Monitor>Events and Alarms>Security Events.

    • Selecione Monitor>Alarms>Policy Log.

    O painel de registro da política de visualização aparece. Tabela 6 descreve o conteúdo deste painel.

    Tabela 6: Exibir campos de registro de políticas

    Campo

    Value

    Registrar nome do arquivo

    Nome dos arquivos de registro de eventos para pesquisar.

    Nome da política

    Nome da política dos eventos a serem recuperados.

    Endereço de origem

    Endereço fonte do tráfego que desencadeou o evento.

    Endereço de destino

    Endereço de destino do tráfego que desencadeou o evento.

    Tipo de evento

    Tipo de evento que foi acionado pelo tráfego.

    Aplicativo

    Aplicação do tráfego que desencadeou o evento.

    Porta de origem

    Porta de origem do tráfego que desencadeou o evento.

    Porta de destino

    Porta de destino do tráfego que desencadeou o evento.

    Zona de origem

    Zona de origem do tráfego que desencadeou o evento.

    Zona de destino

    Zona de destino do tráfego que desencadeou o evento.

    Regra do NAT de origem

    Regra de NAT de origem do tráfego que desencadeou o evento.

    Regra do NAT de destino

    Regra de NAT de destino do tráfego que desencadeou o evento.

    A política global

    Especifica que a política é uma política global.

    Se o dispositivo não estiver configurado para armazenar arquivos de log de sessão localmente, o botão Criar configuração de log é exibido na porção inferior direita do painel de registro da política de visualização.

    • Para armazenar arquivos de registro de sessão localmente, clique Create log configurationem .

    Se os logs de sessão estiverem sendo enviados a um coletor de log externo (o modo de fluxo foi configurado para arquivos de log), uma mensagem aparece indicando que o modo de evento deve ser configurado para visualizar logs de políticas.

    Nota:

    Reverter para o modo de evento interromperá o registro de eventos para o coletor de log externo.

    • Para redefinir a opção mode de evententrar no set security log comando.

  2. Insira um ou mais campos de pesquisa no painel de registro de políticas de visualização e clique Search para exibir eventos que correspondam aos seus critérios.

    Por exemplo, insira o tipo Session Close de evento e a política pol1 para exibir detalhes do evento a partir de todos os registros do Session Close que contenham a política especificada. Para reduzir ainda mais os resultados da pesquisa, adicione mais critérios sobre o evento ou grupo de eventos específicos que você deseja exibir.

    O painel detalhes dos eventos da política exibe informações de cada log de sessão correspondente. Tabela 7 descreve o conteúdo deste painel.

Tabela 7: Campos detalhados de eventos de política

Campo

Value

Timestamp

Momento em que o evento ocorreu.

Nome da política

Política que desencadeou o evento.

Tipo de registro

Tipo de log de eventos que fornece os dados.

IP/porta de origem

Endereço de origem (e porta, se aplicável) do tráfego de eventos.

IP/porta de destino

Endereço de destino (e porta, se aplicável) do tráfego de eventos.

Nome do serviço

Nome de serviço do tráfego de eventos.

IP/porta de origem NAT

Endereço de origem do NAT (e porta, se aplicável) do tráfego de eventos.

IP/porta de destino NAT

Endereço de destino NAT (e porta, se aplicável) do tráfego de eventos.

Recursos de segurança de monitoramento

Políticas de monitoramento

Propósito

Exibir, classificar e revisar a atividade de políticas para cada política ativada configurada no dispositivo. As políticas são agrupadas pelo Contexto de Zona (de e para zonas do tráfego) para controlar o volume de dados exibidos ao mesmo tempo. Na lista de políticas, selecione uma política para exibir estatísticas e a atividade atual da rede.

Ação

Para revisar a atividade de políticas:

  1. Selecione Monitor>Security>Policy>Activities na interface do usuário J-Web. A página de monitoramento de políticas de segurança aparece e lista as políticas do primeiro Contexto da Zona. Veja Tabela 8 as descrições de campo.

  2. Selecione a Zone Context política que deseja monitorar e clique Filterem . Todas as políticas dentro do contexto da zona aparecem em sequência de partidas.

  3. Selecione uma política e clique Clear Statistics para definir todos os contadores a zero para a política selecionada.

Tabela 8: Políticas de segurança monitorando campos de saída

Campo

Value

Informações adicionais

Contexto de zona (Total #)

Exibe uma lista de todas as combinações de e para zonas para as políticas configuradas. O número total de políticas ativas para cada contexto está especificado no campo Total #. Por padrão, as políticas do contexto da primeira zona são exibidas.

Para exibir políticas para um contexto diferente, selecione um contexto de zona e clique Filterem . Políticas ativas e inativas aparecem para cada contexto. No entanto, o campo Total # para um contexto especifica apenas o número de políticas ativas.

Ação padrão da política

Especifica as medidas a tomar para o tráfego que não correspondem a nenhuma das políticas no contexto:

  • permitir tudo — permitir todo o tráfego que não corresponda a uma política.

  • negar tudo — negar todo o tráfego que não corresponda a uma política.

Da zona

Exibe a zona de origem a ser usada como critério de correspondência para a política.

Para a zona

Exibe a zona de destino a ser usada como critério de correspondência para a política.

Nome

Exibe o nome da política.

Endereço de origem

Exibe os endereços de origem a serem usados como critérios de correspondência para a política. Os conjuntos de endereços são resolvidos para seus nomes individuais. (Neste caso, apenas os nomes são dados, não os endereços IP).

Endereço de destino

Exibe os endereços de destino (ou conjuntos de endereços) a serem usados como critérios de correspondência para a política. Os endereços são inseridos conforme especificado no livro de endereços da zona de destino.

Identidade de origem

Exibe o nome das identidades de origem definidas para a política.

Para exibir o valor das identidades de origem, passe o mouse neste campo. Identidades de origem desconhecidas também são exibidas.

Aplicativo

Exibe o nome de uma assinatura de aplicativo predefinida ou personalizada a ser usada como critério de correspondência para a política.

Aplicativo dinâmico

Exibe as assinaturas dinâmicas de aplicativos a serem usadas como critérios de correspondência se um conjunto de regras de firewall de aplicativo for configurado para a política.

Para um firewall de rede, um aplicativo dinâmico não é definido.

O conjunto de regras aparece em duas linhas. A primeira linha exibe as assinaturas de aplicativos dinâmicos configuradas no conjunto de regras. A segunda linha exibe a assinatura dinâmica padrão do aplicativo.

Se mais de duas assinaturas dinâmicas de aplicativos forem especificadas para o conjunto de regras, passe o mouse sobre o campo de saída para exibir a lista completa em uma dica de ferramenta.

Ação

Exibe a parte de ação do conjunto de regras se um conjunto de regras de firewall de aplicativos estiver configurado para a política.

  • permissão — permite o acesso aos serviços de rede controlados pela política. Um fundo verde significa permissão.

  • negar — nega o acesso aos serviços de rede controlados pela política. Um fundo vermelho significa negação.

A parte de ação do conjunto de regras aparece em duas linhas. A primeira linha identifica a ação a ser tomada quando o tráfego corresponde a uma assinatura dinâmica de aplicativo. A segunda linha exibe a ação padrão quando o tráfego não corresponde a uma assinatura dinâmica de aplicativo.

Serviços DELHS

Exibe os serviços de rede permitidos ou negados pela política se um conjunto de regras de firewall de aplicativo estiver configurado. Os serviços de rede incluem:

  • gprs-gtp-profile — Especifique um nome de perfil do protocolo de tunelamento GPRS.

  • idp — Realize a detecção e a prevenção de invasões.

  • redirecionamento-wx — Definir o redirecionamento WX.

  • reversão-redirecionamento-wx — Definir o redirecionamento reverso WX.

  • uac-policy — Habilitar a aplicação unificada do controle de acesso da política.

Gráfico de contadores de acertos de políticas

Fornece uma representação do valor ao longo do tempo para um contador especificado. O gráfico fica em branco se os contadores de políticas não indicarem dados. Como um contador selecionado acumula dados, o gráfico é atualizado a cada intervalo de atualização.

Para alternar um gráfico dentro e fora, clique no nome do contador abaixo do gráfico.

Contadores de políticas

Lista contadores estatísticas para a política selecionada se a Contagem estiver ativada. Os contadores a seguir estão disponíveis para cada política:

  • bytes de entrada

  • taxa de byte de entrada

  • bytes de saída

  • taxa de byte de saída

  • pacotes de entrada

  • taxa de pacotes de entrada

  • pacotes de saída

  • taxa de pacote de saída

  • criações de sessão

  • taxa de criação de sessão

  • sessões ativas

Para fazer gráficos ou remover um contador do gráfico de contadores de acertos de políticas, alterne o nome do contador. Os nomes dos contadores habilitados aparecem abaixo do gráfico.

Verificação de políticas

Propósito

Insira critérios de correspondência e realize uma pesquisa de políticas. Os resultados da pesquisa incluem todas as políticas que correspondem aos critérios de tráfego na sequência em que serão encontrados.

Como as correspondências de políticas estão listadas na sequência em que seriam encontradas, você pode determinar se uma política específica está sendo aplicada corretamente ou não. A primeira política da lista é aplicada a todo o tráfego correspondente. As políticas listadas após esta permanecem na "sombra" da primeira política e nunca são encontradas por esse tráfego.

Ao manipular os critérios de tráfego e a sequência de políticas, você pode ajustar a aplicação de políticas para atender às suas necessidades. Durante o desenvolvimento de políticas, você pode usar esse recurso para estabelecer a sequência apropriada de políticas para correspondências de tráfego ideais. Ao solucionar problemas, use esse recurso para determinar se um tráfego específico está encontrando a política apropriada.

Ação

  1. Selecione Monitor>Security>Policy>Shadow Policies na interface do usuário J-Web. A página Políticas de verificação aparece. Tabela 9 explica o conteúdo desta página.

  2. No painel superior, entre na Zona e na Zona para fornecer o contexto para a busca.

  3. Insira critérios de correspondência para o tráfego, incluindo o endereço e a porta de origem, o endereço e porta de destino e o protocolo do tráfego.

  4. Insira o número de políticas de correspondência para exibição.

  5. Clique Search para encontrar políticas que correspondam aos seus critérios. O painel inferior exibe todas as políticas que correspondem aos critérios até o número de políticas especificadas.

    • A primeira política será aplicada a todo o tráfego com esses critérios de correspondência.

    • As políticas restantes não serão encontradas por nenhum tráfego com esses critérios de correspondência.

  6. Para manipular a posição e a ativação de uma política, selecione a política e clique no botão apropriado:

    • Move— Move a política selecionada para cima ou para baixo para posicioná-la em um ponto mais apropriado na sequência de pesquisa.

    • Move to— Move a política selecionada permitindo arrastar e deixá-la em um local diferente na mesma página.

Tabela 9: Verificar a saída de políticas

Campo

Função

Painel de entrada de pesquisa de políticas

Da zona

Nome ou identificação da zona de origem. Se uma zona de distância for especificada pelo nome, o nome é traduzido para o ID internamente.

Para a zona

Nome ou identificação da zona de destino. Se uma Zona de To for especificada pelo nome, o nome é traduzido para o ID internamente.

Endereço de origem

Endereço da origem na notação de IP.

Porta de origem

Número de porta da origem.

Endereço de destino

Endereço do destino em notação de IP.

Porta de destino

Número de porta do destino.

Identidade de origem

Nome da identidade da origem.

Protocolo

Nome ou valor equivalente do protocolo a ser combinado.

ah

51

Egp

8

Esp

50

Gre

47

Icmp

1

Igmp

2

Igp

9

ipip

94

ipv6

41

Ospf

89

Pgm

113

Pim

103

Rdp

27

Rsvp

46

Sctp

132

Tcp

6

Udp

17

Vrrp

112

Contagem de resultados

(Opcional) Número de políticas a serem exibidas. O valor padrão é 1. O valor máximo é de 16.

Lista de políticas de verificação

Da zona

Nome da zona de origem.

Para a zona

Nome da zona de destino.

Políticas totais

Número de políticas recuperadas.

Ação padrão da política

A ação a ser tomada se não houver correspondência.

Nome

Nome da política

Endereço de origem

Nome do endereço de origem (não o endereço IP) de uma política. Os conjuntos de endereços são resolvidos para seus nomes individuais.

Endereço de destino

Nome do endereço ou endereço de destino. O endereço de destino de um pacote deve corresponder a esse valor para que a política seja aplicável a ele.

Identidade de origem

Nome da identidade de origem para a política.

Aplicativo

Nome de uma aplicação pré-configurada ou personalizada da correspondência da política.

Ação

Medidas tomadas quando uma correspondência ocorre conforme especificado na política.

Contagem de acertos

Número de correspondências para esta política. Esse valor é o mesmo que as buscas de políticas em um relatório de estatísticas de políticas.

Sessões ativas

Número de sessões ativas que correspondem a esta política.

Como alternativa, listar políticas de correspondência usando o CLI, entrar no comando e incluir seus show security match-policies critérios de correspondência e o número de políticas de correspondência a serem exibidas.

Contadores de tela de monitoramento

Propósito

Veja estatísticas de tela para uma zona de segurança especificada.

Ação

Selecione Monitor>Security>Screen Counters na interface do usuário J-Web ou insira o seguinte comando CLI:

show security screen statistics zone zone-name

Tabela 10 resume os principais campos de saída no display de contadores de tela.

Tabela 10: Resumo dos principais campos de saída de contadores de tela

Campo

Valores

Informações adicionais

Zonas    

Inundação de ICMP

Contador de inundações do Protocolo de Mensagens de Controle de Internet (ICMP).

Uma inundação de ICMP normalmente ocorre quando as solicitações de eco do ICMP usam todos os recursos para responder, de modo que o tráfego de rede válido não possa mais ser processado.

Inundação UDP

Contador de inundações do Protocolo de Datagram do Usuário (UDP).

A inundação de UDP ocorre quando um invasor envia pacotes IP contendo datagrams UDP com a finalidade de reduzir a velocidade dos recursos, de modo que conexões válidas não possam mais ser tratadas.

TCP Winnuke

Número de ataques WinNuke de protocolo de controle de transporte (TCP).

WinNuke é um ataque de negação de serviço (DoS) direcionado a qualquer computador na Internet que executa o Windows.

Verificação da porta TCP

Número de verificações de portas TCP.

O objetivo deste ataque é escanear os serviços disponíveis na esperança de que pelo menos uma porta responda, identificando assim um serviço para atingir.

Varredura de endereços do ICMP

Número de varreduras de endereços ICMP.

Uma varredura de endereço IP pode ocorrer com a intenção de acionar respostas de hosts ativos.

Queda de tear de IP

Número de ataques de teardrop.

Ataques de teardrop exploram a remontagem de pacotes IP fragmentados.

Ataque de SYN TCP

Número de ataques TCP SYN.

IP Spoofing

Número de falsificações de IP.

A spoofing de IP ocorre quando um endereço de origem inválido é inserido no cabeçalho do pacote para fazer com que o pacote pareça vir de uma fonte confiável.

Ping de morte do ICMP

ICMP ping de contador de morte.

O ping de morte ocorre quando são enviados pacotes IP que excedem o comprimento legal máximo (65.535 bytes).

Rota de origem IP

Número de ataques de rota de origem IP.

Ataque terrestre de TCP

Número de ataques terrestres.

Ataques terrestres ocorrem quando o invasor envia pacotes SYN falsificados contendo o endereço IP da vítima como o endereço IP de destino e origem.

Fragmento de SYN TCP

Número de fragmentos de SYN TCP.

TCP sem bandeira

Número de cabeçalhos TCP sem conjunto de bandeiras.

Um cabeçalho de segmento TCP normal tem pelo menos um conjunto de bandeiras de controle.

Protocolo ip desconhecido

Número de protocolos de Internet desconhecidos.

Opções ruins de IP

Número de opções inválidas.

Opção de rota de registro ip

Número de pacotes com a opção de rota de registro IP habilitada.

Essa opção registra os endereços IP dos dispositivos de rede ao longo do caminho que o pacote IP viaja.

Opção de tempo de IP

Número de ataques de opção de tempo de IP.

Essa opção registra o tempo (em Tempo Universal) em que cada dispositivo de rede recebe o pacote durante sua viagem desde o ponto de origem até seu destino.

Opção de segurança IP

Número de ataques de opção de segurança IP.

Opção de rota de IP solto

Número de ataques de opção de rota solta ip.

Essa opção especifica uma lista parcial de rotas para um pacote que assumirá sua jornada de origem ao destino.

Opção de rota de origem rigorosa de IP

Número de ataques de opção de rota de origem rigorosa de IP.

Essa opção especifica a lista de rotas completa para um pacote que faça sua jornada de origem ao destino.

Opção de fluxo de IP

Número de ataques de opção de fluxo.

Essa opção fornece uma maneira de o identificador de fluxo SATNET de 16 bits ser transportado por redes que não oferecem suporte a fluxos.

Fragmento de ICMP

Número de fragmentos de ICMP.

Como os pacotes de ICMP contêm mensagens muito curtas, não há uma razão legítima para que os pacotes de ICMP sejam fragmentados. Se um pacote ICMP é tão grande que deve ser fragmentado, algo está errado.

Pacote grande de ICMP

Número de pacotes de ICMP grandes.

Pacote TCP SYN FIN

Número de pacotes TCP SYN FIN.

TCP FIN sem ACK

Número de bandeiras TCP FIN sem a bandeira de reconhecimento (ACK).

TCP SYN-ACK-ACK Proxy

Número de bandeiras TCP habilitadas com SYN-ACK-ACK.

Para evitar inundações com sessões SYN-ACK-ACK, você pode habilitar a opção de tela de proteção por proxy SYN-ACK-ACK. Depois que o número de conexões do mesmo endereço IP chega ao limite de proxy SYN-ACK-ACK, o Junos OS rejeita novas solicitações de conexão desse endereço IP.

Fragmento de bloco ip

Número de fragmentos de blocos IP.

Monitoramento do status do IDP

Propósito

Veja informações detalhadas sobre o status do IDP, memória, contadores, estatísticas da base de regras de políticas e estatísticas da tabela de ataques.

Ação

Para ver as informações da tabela detecção e prevenção de invasões (IDP), faça um dos seguintes:

  • Se você estiver usando plataformas SRX5400, SRX5600 ou SRX5800, selecione Monitor>Security>IDP>Status na interface do usuário J-Web ou insira os seguintes comandos de CLI:

    1. show security idp status

    2. show security idp memory

  • Selecione Monitor>Security>IPS>Status na interface do usuário J-Web.

Tabela 11 resume os principais campos de saída no display IDP.

Tabela 11: Resumo dos campos de saída de status do IDP

Campo

Valores

Informações adicionais

IDP Status    

Status do IDP

Exibe o status da política de IDP atual.

Em alta desde

Mostra o momento em que a política de IDP começou a ser executada no sistema.

Pacotes/segundo

Exibe o número de pacotes recebidos e devolvidos por segundo.

Pico

Exibe o número máximo de pacotes recebidos por segundo e o tempo em que o máximo foi atingido.

Kbits/Segundo

Exibe a taxa de transferência agregada (kilobits por segundo) para o sistema.

Kbits de pico

Exibe o máximo de quilobits por segundo e o tempo em que o máximo foi atingido.

Latência (Microssegundos)

Exibe o atraso, em microssegundos, para que um pacote receba e retorne por um nó.

Política atual

Exibe o nome da política IDP instalada atualmente.

Status de memória IDP    

Estatísticas de memória do IDP

Exibe o status de toda a memória do plano de dados IDP.

Nome PIC

Exibe o nome do PIC.

Memória total do plano de dados do IDP (MB)

Exibe o espaço total de memória, em megabytes, destinado ao plano de dados IDP.

Usado (MB)

Exibe o espaço de memória usado, em megabytes, para o plano de dados.

Disponível (MB)

Exibe o espaço de memória disponível, em megabytes, para o plano de dados.

Monitoramento das informações do flow gate

Propósito

Veja informações sobre aberturas temporárias conhecidas como buracos ou portões no firewall de segurança.

Ação

Selecione Monitor>Security>Flow Gate na interface do usuário J-Web ou insira o show security flow gate comando.

Tabela 12 resume os principais campos de saída no display do portão de fluxo.

Tabela 12: Resumo dos principais campos de saída de portão de fluxo

Campo

Valores

Informações adicionais

Informações do Flow Gate

Buraco

Faixa de fluxos permitidos pelo buraco de pinos.

Traduzido

Tuples costumava criar a sessão se combinasse com o pinhole:

  • Endereço e porta de origem

  • Endereço e porta de destino

Protocolo

Protocolo de aplicativos, como UDP ou TCP.

Aplicativo

Nome do aplicativo.

Idade

Tempo de inatividade para o buraco de pinos.

Sinalizadores

Bandeiras de depuração internas para pinhole.

Zona

Zona de entrada.

Contagem de referência

Número de referências do gerenciador de recursos ao pinhole.

Recurso

Informações do gerenciador de recursos sobre o pinhole.

Tabela de autenticação de firewall de monitoramento

Propósito

Veja informações sobre a tabela de autenticação, que divide as informações do usuário de autenticação de firewall em várias partes.

Ação

Selecione Monitor>Security>Firewall Authentication>Authentication Table na interface do usuário J-Web. Para visualizar informações detalhadas sobre o usuário com um identificador específico, selecione o ID na página da Tabela de Autenticação. Para visualizar informações detalhadas sobre o usuário em um endereço IP de origem específico, selecione o IP de origem na página da Tabela de Autenticação.

Como alternativa, insira os seguintes comandos de CLI show :

  • show security firewall-authentication users

  • show security firewall-authentication users address ip-address

  • show security firewall-authentication users identifier identifier

Tabela 13 resume os principais campos de saída no display da tabela de autenticação de firewall.

Tabela 13: Resumo dos principais campos de saída da tabela de autenticação de firewall

Campo

Valores

Informações adicionais

Usuários de autenticação de firewall

Total de usuários na tabela

Número de usuários na tabela de autenticação.

Tabela de autenticação

ID

Número de identificação de autenticação.

Ip de origem

Endereço IP da fonte de autenticação.

Idade

Tempo de inatividade para o usuário.

Status

Status de autenticação (success ou failure).

Usuário

Nome do usuário.

Relatório detalhado por ID selecionado: ID

Zona de origem

Nome da zona de origem.

Zona de destino

Nome da zona de destino.

Perfil

Nome do perfil.

Informações dos usuários.

Método de autenticação

Caminho escolhido para autenticação.

Identificação de políticas

Identificador de políticas.

Nome da interface

Nome da interface.

Bytes enviados por este usuário

Número de pacotes em bytes enviados por este usuário.

Bytes recebidos por este usuário

Número de pacotes em bytes recebidos por este usuário.

Grupos de clientes

Nome do grupo de clientes.

Relatório detalhado por Ip de origem selecionado

Entradas do IP de origem

Endereço IP da fonte de autenticação.

Zona de origem

Nome da zona de origem.

Zona de destino

Nome da zona de destino.

Perfil

Nome do perfil.

Idade

Tempo de inatividade para o usuário.

Status

Status de autenticação (success ou failure).

Usuário

Nome do usuário.

Método de autenticação

Caminho escolhido para autenticação.

Identificação de políticas

Identificador de políticas.

Nome da interface

Nome da interface.

Bytes enviados por este usuário

Número de pacotes em bytes enviados por este usuário.

Bytes recebidos por este usuário

Número de pacotes em bytes recebidos por este usuário.

Grupos de clientes

Nome do grupo de clientes.

Histórico de autenticação de firewalls de monitoramento

Propósito

Veja informações sobre o histórico de autenticação, que é dividido em várias partes.

Ação

Selecione Monitor>Security>Firewall Authentication>Authentication History na interface do usuário J-Web. Para ver o histórico detalhado da autenticação com este identificador, selecione o ID na página de histórico de autenticação de firewall. Para ver um histórico de autenticação detalhado deste endereço IP de origem, selecione o IP de origem na página de histórico de autenticação de firewall.

Como alternativa, insira os seguintes comandos de CLI show :

  • show security firewall-authentication history

  • show security firewall-authentication history address ip-address

  • show security firewall-authentication history identifier identifier

Tabela 14 resume os principais campos de saída no display do histórico de autenticação de firewall.

Tabela 14: Resumo dos principais campos de saída do histórico de autenticação de firewall

Campo

Valores

Informações adicionais

Histórico de dados de autenticação de firewall

Autenticações totais

Número de autenticação.

Tabela de histórico

ID

Número de identificação.

Ip de origem

Endereço IP da fonte de autenticação.

Data de início

Data da autenticação.

Horário de início

Tempo de autenticação.

Duração

Duração da autenticação.

Status

Status de autenticação (success ou failure).

Usuário

Nome do usuário.

Detalhar o histórico da identificação selecionada: ID

Método de autenticação

Caminho escolhido para autenticação.

Identificação de políticas

Identificador de políticas de segurança.

Zona de origem

Nome da zona de origem.

Zona de destino

Nome da zona de destino.

Nome da interface

Nome da interface.

Bytes enviados por este usuário

Número de pacotes em bytes enviados por este usuário.

Bytes recebidos por este usuário

Número de pacotes em bytes recebidos por este usuário.

Grupos de clientes

Nome do grupo de clientes.

Detalhar o histórico de ip de origem selecionado:Ip de origem

Usuário

Nome do usuário.

Data de início

Data da autenticação.

Horário de início

Tempo de autenticação.

Duração

Duração da autenticação.

Status

Status de autenticação (success ou failure).

Perfil

Nome do perfil.

Método de autenticação

Caminho escolhido para autenticação.

Identificação de políticas

Identificador de políticas de segurança.

Zona de origem

Nome da zona de origem.

Zona de destino

Nome da zona de destino.

Nome da interface

Nome da interface.

Bytes enviados por este usuário

Número de pacotes em bytes enviados por este usuário.

Bytes recebidos por este usuário

Número de pacotes em bytes recebidos por este usuário.

Grupos de clientes

Nome do grupo de clientes.

Monitoramento do 802.1x

Propósito

Veja informações sobre 802.1X propriedades.

Ação

Selecione Monitor>Security>802.1x na interface do usuário J-Web ou insira os seguintes comandos de CLI:

  • show dot1x interfaces interface-name

  • show dot1x authentication-failed-users

Tabela 15 resume os campos de saída Dot1X.

Tabela 15: Resumo dos campos de saída Dot1X

Campo

Valores

Informações adicionais

Selecionar porta

Lista de portas para seleção.

Número de hosts conectados

Número total de hosts conectados à porta.

Número de hosts ignorados de autenticação

Número total de hosts ignorados por autenticação em relação à porta.

Resumo de usuários autenticados

Endereço MAC

Endereço MAC do host conectado.

Nome do usuário

Nome do usuário.

Status

Informações sobre o status da conexão do host.

Dívida de autenticação

Informações sobre a autenticação do host.

Resumo de usuários com falha na autenticação

Endereço MAC

Endereço MAC do host com falha de autenticação.

Nome do usuário

Nome do usuário com falha de autenticação.