管理事件日志以生成 IP 地址至用户映射

Windows 管理仪表客户端

在设备上配置集成的用户防火墙功能时，设备将建立与域控制器的 Windows 管理仪表 （WMI）/分布式组件对象模块 （DCOM） 连接。设备充当 WMI 客户端 （WMIC）。它会读取并监控域控制器上的安全事件日志。设备会分析事件消息以生成 IP 地址到用户的映射信息。

关于 WMIC 的所有配置都是可选的;它将使用默认值运行。配置域（按语句） set services user-identification active-directory-access domain 后，WMIC 开始工作。与域控制器的 WMIC 连接使用与为域配置的相同用户凭据。

WMIC 在域控制器上读取事件日志

以下行为适用于阅读事件日志：

• 设备以可配置的间隔监控事件日志，默认为 10 秒。

• 设备将读取事件日志一定的时间段，您可以将其配置。默认时间为一小时。每次在 WMIC 启动时，设备都会检查最后的时间戳和时间段。如果最后时间戳比当前时间段早，则时间段将生效。WMIC 和 UserID 进程开始工作之后，时间范围不适用：设备只需读取最新事件日志即可。

• 除了 IPv4 地址之外，设备还可以阅读事件日志以获取 IPv6 地址。

• 在 WMIC 启动期间，设备有从事件日志中读取的事件数上限，并且最大无法配置。

  • 在 SRX300、SRX320、SRX340、SRX345 和 SRX380 设备上，最大计数为 100，000。

  • 在 SRX5400、SRX5600 和 SRX5800 设备上，最大计数为 200，000。

  在 WMIC 启动期间，此最大计数用于时间范围设置，因此，如果达到任一限制，WMIC 将停止读取事件日志。

• 故障切换后，设备将从最新事件日志时间戳中读取事件日志。

• 在机箱集群环境中，WMIC 仅在主节点上工作。

指定 IP 过滤器以限制 IP 至用户映射

您可以指定 IP 过滤器，以限制设备从事件日志生成的 IP 地址至用户映射信息。

要了解过滤器何时对此类映射有用，请考虑以下情景。客户在一个域中部署 10 台设备，每个设备控制一个分支机构。所有 10 台设备均读取域控制器中的所有 10 个分支机构用户登录事件日志。但是，该设备配置为仅检测用户是否在它控制的分支机构上经过身份验证。通过在设备上配置 IP 过滤器，设备仅读取其控制下的 IP 事件日志。

您可以配置过滤器以包含或排除 IP 地址或前缀。您可以为每个过滤器指定最多 20 个地址。

事件日志验证和统计信息

您可验证身份验证表是否获取 IP 地址和用户信息， show services user-identification active-directory-access active-directory-authentication-table all 方法是发出 命令。每个域都显示一个 IP 地址到用户映射列表。在运行 LDAP 之前，此表不包含组信息。

您可以查看有关阅读事件日志的统计数据，方法是发出 show services user-identification active-directory-access ip-user-mapping statistics domain 命令。

WMIC 限制

集成用户防火墙功能获取 IP 地址到用户映射信息的主要方法是让设备充当 WMI 客户端 （WMIC）。但是，WMIC 存在限制，例如：

• 在 Windows XP 或 Server2003 上，由于分布式组件对象模型 （DCOM） 的动态端口分配，Windows 防火墙不允许 WMIC 请求通过。因此，对于启用 Windows 防火墙时的这些操作系统，PC 不会对 WMIC 探测器做出响应。

• 由于事件日志读取和 PC 探测功能都使用 WMI，使用全局策略禁用 WMI 到 PC 探测器也会影响事件日志读取。

由于这些情况可能会导致 PC 探测失败，因此需要一种获取 IP 地址到用户映射的备份方法。此方法是使用防火墙身份验证来识别用户。

防火墙身份验证作为 IP 地址到用户映射的备份方法

如果要使用防火墙身份验证识别集成用户防火墙功能的用户，请在语句中 set security policies from-zone trust to-zone untrust policy <policy-name> then permit firewall-authentication user-firewall domain <domain-name> 指定域名。

如果在该语句中配置了域，fwauth 将识别该域用于域认证条目，并将域名连同认证请求一起发送至 fwauth 进程。收到认证响应后，fwauth 删除了该域认证条目。fwauth 进程会将源 IP 地址、用户名、域和其他信息发送至 USERID 进程，以验证它是有效的域用户条目。随后的流量会碰到此用户防火墙条目。

域 PC 探测概述

在高层次上，集成用户防火墙功能从 Windows Active Directory 域控制器事件日志和 LDAP 服务中收集 IP 地址、用户和组信息。此信息用于在设备上生成 Active Directory 身份验证表条目。身份验证条目用作实施基于用户或基于组的访问控制的安全策略的身份验证源。

PC 探测可作为事件日志读取的补充。当用户登录域时，事件日志包含该信息。只有当事件日志中没有 IP 到地址映射时，才会触发 PC 探测器。

当用户登录和退出域 PC 时，域信息不断变化。集成的用户防火墙探测功能通过直接探测域 PC 以获取 IP 地址到用户的映射信息，提供了一种机制，用于跟踪和验证身份验证表中的信息。探测器识别的全新和更改的信息可用于更新 Active Directory 身份验证表条目，这对维护防火墙完整性至关重要。

IP 地址过滤器也会影响 PC 探测器。配置 IP 地址过滤器后，仅对过滤器中指定的 IP 地址进行探测。

为用户信息探测域 PC

集成的用户防火墙功能通过探测域 PC 跟踪用户的联机状态。如果用户未联机或不是预期用户，活动目录认证表将根据需要更新。以下探测行为适用：

如果设备因某种原因（如网络配置或 Windows 防火墙问题）无法访问域 PC，探查将失败。

探查响应

根据域 PC 探查响应，对 Active Directory 身份验证表进行更新，并生效相关防火墙策略。如果 90 秒后未收到探测器的响应，则认证输入时间将超出。超时身份验证条目是正在挂起的状态认证条目，在启动 PC 探测器时生成。

如果探测器成功，认证条目状态将从待定更新为有效。如果探测器未成功，则认证条目的状态标记为无效。无效条目与有效条目具有相同的生存期，并且由即将发布的 fwauth（防火墙认证流程）认证结果或事件日志覆盖。 表 1 列出了探测器响应和相应的身份验证表操作。

探查配置

默认情况下，已启用按需探测。要禁用按需探测，请使用 该 set services user-identification active-directory-access no-on-demand-probe 语句。删除此语句以重新进行探测。禁用按需探测后，可进行手动探测。

探查超时值可配置。默认超时为 10 秒。要配置超时值，请使用以下语句：

如果在间隔内 wmi-timeout 未收到域 PC 的响应，探头将发生故障，系统将创建无效身份验证条目，或将现有认证条目更新为无效。如果已针对已探查的 IP 地址存在身份验证表条目，且间隔内 wmi-timeout 未从域 PC 接收任何响应，则探查将失败，并且该条目将从表中删除。

探查率和统计信息

集成用户防火墙功能的最大探查速率默认设置，无法更改。对于 SRX 5400、SRX 5600 和 SRX 5800 设备，探查速率为每分钟 600 次。对于分支机构 SRX 系列设备，探查速率为每分钟 100 次。探测功能支持 5000 个用户，或者最多支持认证条目总数的 10%，以较小者为准。支持 10% 意味着随时等待调查的 IP 地址数量不得超过 10%。有关受支持的 Active Directory 身份验证表条目的详细信息，请参阅 了解 Active Directory 身份验证表。

有关探测活动的高级统计数据可用于探测器总数和失败的探测器数量。 表 1 说明了探测器故障的原因。要显示探查统计信息，请使用 命令 show services user-identification active-directory-access statistics ip-user-probe 。