监控安全流会话
本主题介绍使用操作模式命令监控、显示和验证流会话的信息。因此,无需提交或修改正在运行的配置,即可进行调试。
监控安全流会话概述
Junos OS 允许您使用操作模式命令配置和开始监控流会话。因此,无需提交或修改正在运行的配置,即可进行调试。当您不想通过提交配置来打开追踪选项来更改设备状态时,此方法特别有用。
要配置流会话监控,必须定义流过滤器,指定输出文件,然后开始监控。除非指定过滤器(至少一个)和输出文件,否则流会话监控不会启动。此外,定义过滤器本身不会触发监控。您必须显式使用 monitor security flow start
和 monitor security flow stop
命令来分别启用和禁用监控。
定义流过滤器 — 使用匹配标准的组合来定义要监控的流会话,例如源地址、目标地址、源端口、目标端口、IP 协议编号、传入或传出接口的名称以及逻辑系统名称。您可以使用命令删除过滤器
clear monitor security flow filter
。注意:与配置模式中定义的过滤器不同,当您重新启动系统时,使用操作模式命令定义的过滤器就会被清除。
指定输出文件 — 创建要保存安全流监控信息的输出文件。此文件保存在
/var/log/
目录中。您可以使用命令查看此文件show log filename
的内容。monitor security flow file
使用命令指定输出文件特征,例如其最大大小、最大编号和类型。开始监控 — 使用
monitor security flow start
命令开始监控。监控开始后,与过滤器匹配的任何流量将被保存在目录中的/var/log/
指定输出文件中。基本数据路径标志是默认标记,在监控开始时打开。monitor security flow stop
使用命令停止监控。监控停止后,基本数据路径标志将被清除。显示监控流信息 — 使用
show monitoring security flow
命令显示有关监控操作的详细信息。
您可以使用监控操作模式命令和流跟踪选项配置语句来配置流会话监控和调试。这两个操作不能并行运行。打开安全流监控时,流跟踪会话将被阻止,流跟踪选项会话正在运行时,流会话监控将被阻止。
了解如何获取 SRX 系列服务网关的会话信息
您可以获取有关设备上活动会话和数据包流的信息,包括有关特定会话的详细信息。(SRX 系列设备还会显示有关失败的会话的信息。)您可以显示这些信息来观察活动并用于调试。例如,您可以使用 show Security Flow session 命令:
显示传入和传出 IP 流(包括服务)列表
例如,为了显示与流关联的安全属性,适用于属于该流的流量的策略
显示会话超时值、会话何时处于活动状态、已处于活动状态的时间以及会话上是否有活动流量
如果配置了接口 NAT,并且使用该接口 IP 地址使用 NAT 设置会话,则只要接口 IP 地址发生变化,使用 NAT 设置的会话就会被刷新,并使用新的 IP 地址设置新会话。您可以使用 CLI 命令验证这一点 show security flow session
。
如果相关策略配置包含日志记录选项,也可以记录会话信息。对于所有 SRX 系列设备上的流会话日志,策略配置得到了增强。为满足通用标准 (CC) 中型稳健性保护配置文件 (MRPP) 合规性,在会话日志中有关会话 init 和会话关闭以及会话被策略或应用程序防火墙拒绝时,有关数据包传入接口参数的信息:
策略配置 — 要为要将其匹配记录为日志 session-init 或 session-close 并在 syslog 中记录会话的会话配置策略:
set security policies from-zone untrustZone to-zone trust zone policy policy13 match source-address extHost1
set security policies from-zone untrustZone to-zone trustZone policy policy13 match application junos-ping
set security policies from-zone untrustZone to-zone trustZone policy policy13 then permit
set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-init
set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-close
Example :流匹配策略13 将在日志中记录以下信息:
<14>1 2010-09-30T14:55:04.323+08:00 mrpp-srx550-dut01 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2626.192.0.2.1.40 source-address=“192.0.2.1” source-port=“1” 1“ destination-address=”198.51.100.12“目标端口=”46384“service-name=”icmp“nat-source-address=”192.192.1 0.2.1“nat-source-port=”1“nat-destination-address=”198.51.100.12“nat-destination-port=”46384”src-nat-rule-name=“None”dst-nat-rule-name=“None”protocol-id=“1”policy-name=“policy1”source-zone-name=“trustZone”destination-zone-name=“untrustZone”session-id-32=“41”packet-incoming-interface=“ge-0/0/1.0”] 会话创建 192.0.2 .1/1-->198.51.100.12/46384 icmp 192.0.2.1/1-->198.51.100.12/46384 无 1 策略 1 信任不信任区域 41 ge-0/0/1.0
<14>1 2010-09-30T14:55:07.188+08:00 mrpp-srx550-dut0 1 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2626.192.0.2.1.40 原因=“已收到响应”源地址=“192.0.2.1 ” source-port=“1”destination-address=“198.51.100.12”目标端口=“46384”service-name=“icmp”nat-source-address=“192.0.2.1”nat-source-port=“1”nat-destination-address=“198.51.100.12”nat-destination-port=“46384”src-nat-rule-name=“None”dst-nat-rule-name=“None”protocol-id=“1”策略-name=“policy1”source-zone-name=“trustZone”destination-zone-name=“untrustZone”session-id-32=“ 41” packets-from-client=“1”字节-from-client=“84”packets-from-server=“1”字节-from-server=“84”已用=“0”packet-incoming-interface=“ge-0/0/1.0“] 分会场闭幕回应收到:192.0.2.1/1->198.51.100.12/46384 icmp 192.0.2.1/1-->198.51.100.12/46384 无 1 策略 1 信任不信任区域 41 1(84) 1(84) 0 ge-0/0/1.0
显示所有 SRX 系列服务网关的全局会话参数
目的
获取适用于所有流或会话的已配置参数的相关信息。
行动
要查看 CLI 中的会话信息,请输入以下命令:
user@host# show security flow
意义
配置 show security flow
命令将显示以下信息:
allow-dns-reply
- 确定是否允许不匹配的传入域名系统 (DNS) 回复数据包。route-change-timeout
- 如果启用,则显示路由更改为不存在路由时使用的会话超时值。tcp-mss
- 显示用于网络流量的所有 TCP 数据包的 TCP 最大分段大小值的当前配置。tcp-session
- 显示控制会话参数的所有配置参数。syn-flood-protection-mode
- 显示 SYN 代理模式。
显示 SRX 系列服务网关的会话摘要
显示有关 SRX 系列服务网关会话的会话和流信息
显示有关 SRX 系列服务网关特定会话的会话和流信息
使用过滤器显示 SRX 系列服务网关的会话和流信息
SRX 系列服务网关的会话日志条目中提供的信息
会话日志条目绑定到策略配置。如果控制策略已启用日志记录,则每个主会话事件(创建、关闭和拒绝)都将创建一个日志条目。
为会话创建、会话关闭和会话拒绝事件记录不同的字段,如 表 1、 表 2 和 表 3 所示。每种类型下相同的字段名称表示记录相同的信息,但每个表都是为该类型会话日志记录所有数据的完整列表。
下表定义了在会话日志条目中显示的字段。
Field |
Description |
---|---|
|
创建会话的数据包的源 IP 地址。 |
|
创建会话的数据包的源端口。 |
|
创建会话的数据包的目标 IP 地址。 |
|
创建会话的数据包的目标端口。 |
|
数据包遍历的应用程序(例如,在允许本机 Telnet 的策略允许的会话期间,用于 Telnet 流量的“junos-telnet”。 |
|
如果应用了 NAT,则转换的 NAT 源地址;否则,源地址如上。 |
|
应用 NAT 时转换的 NAT 源端口;否则,则为上述源端口。 |
|
如果应用了 NAT,则转换的 NAT 目标地址;否则,则为上述目标地址。 |
|
应用 NAT 时转换的 NAT 目标端口;否则,则为上述目标端口。 |
|
应用于会话的源 NAT 规则(如果有)。如果同时配置了静态 NAT 并应用于会话,并且源地址转换,则此字段将显示静态 NAT 规则名称。* |
|
应用于会话的目标 NAT 规则(如果有)。如果同时配置了静态 NAT 并应用于会话,并且如果进行了目标地址转换,则此字段显示静态 NAT 规则名称。* |
|
创建会话的数据包的协议 ID。 |
|
允许创建会话的策略名称。 |
|
32 位会话 ID。 |
* 请注意,某些会话可能同时应用了目标和源 NAT,并记录了信息。 |
从 Junos OS 12.1X47-D20 版和 Junos OS 17.3R1 版开始,系统日志包含有关 NAT 规则类型的信息。NAT 规则会话中引入了两个新的 src-nat-rule-type 和 dst-nat-rule-type 文件。
Field |
Description |
---|---|
|
会话结束的原因。 |
|
创建会话的数据包的源 IP 地址。 |
|
创建会话的数据包的源端口。 |
|
创建会话的数据包的目标 IP 地址。 |
|
创建会话的数据包的目标端口。 |
|
数据包遍历的应用程序(例如,在允许本机 Telnet 的策略允许的会话期间,用于 Telnet 流量的“junos-telnet”。 |
|
如果应用了 NAT,则转换的 NAT 源地址;否则,源地址如上。 |
|
应用 NAT 时转换的 NAT 源端口;否则,则为上述源端口。 |
|
如果应用了 NAT,则转换的 NAT 目标地址;否则,则为上述目标地址。 |
|
应用 NAT 时转换的 NAT 目标端口;否则,则为上述目标端口。 |
|
应用于会话的源 NAT 规则(如果有)。如果同时配置了静态 NAT 并应用于会话,并且源地址转换,则此字段将显示静态 NAT 规则名称。* |
|
应用于会话的目标 NAT 规则(如果有)。如果同时配置了静态 NAT 并应用于会话,并且如果进行了目标地址转换,则此字段显示静态 NAT 规则名称。* |
|
创建会话的数据包的协议 ID。 |
|
允许创建会话的策略名称。 |
|
32 位会话 ID。 |
|
客户端发送的与此会话相关的数据包数。 |
|
客户端发送的与此会话相关的数据字节数。 |
|
服务器发送的与此会话相关的数据包数。 |
|
服务器发送的与此会话相关的数据字节数。 |
|
从允许到关闭的总会话时间(以秒为单位)。 |
|
在会话创建期间,您可以将会话关闭原因设置为 如果控制点上的会话安装失败,则会话结束,并说明原因 |
|
会话被从客户端发送到的 TCP 重置数据包关闭。 |
|
会话被从服务器发送到的 TCP 重置数据包关闭。 |
|
从两端接收的 FIN。 |
|
为数据包请求收到的响应(例如,ICMP req-reply)。 |
|
收到 ICMP 错误。 |
|
已达到会议结束。 |
|
关闭会话的 ALG 错误(例如,达到远程访问服务器 (RAS) 的最大限制)。 |
|
HA 消息关闭会话。 |
|
在达到配置的淘汰时间之前,会话没有流量。 |
|
身份验证失败。 |
|
由于安全模块 (SM) 内部错误,IDP 关闭了会话。 |
|
SYN 代理失败关闭会话。 |
|
分配次要会话失败的原因,需要释放原始会话。 |
|
家长会议结束。 |
|
通过 CLI 清除的会话。 |
|
收到的 CP NACK 响应。 |
|
CP ACK 删除关闭会话。 |
|
标记为删除的相应策略。 |
|
会话关闭,因为转发会话删除。 |
|
会话关闭,因为组播路由发生了更改。 |
|
重新路由第一个路径并重新创建会话。 |
|
SPU 从中心点收到 ACK 消息,但无法接收 DIP 资源。因此,此数据包被丢弃,会话将关闭。 |
|
会话关闭,因为所有其他原因(例如,pim reg tun 需要更新)。 |
|
IKE 直通模板创建错误。 |
|
会话将被删除,因为 IKE 直通模板会话没有子项。 |
|
待定会话已关闭,因为超时计时器已达到待定状态。 |
|
会话因未知原因而关闭。 |
* 请注意,某些会话可能同时应用了目标和源 NAT,并记录了信息。 |
Field |
Description |
---|---|
|
尝试创建会话的数据包的源 IP 地址。 |
|
尝试创建会话的数据包的源端口。 |
|
尝试创建会话的数据包的目标 IP 地址。 |
|
尝试创建会话的数据包的目标端口。 |
|
数据包尝试遍历的应用程序。 |
|
尝试创建会话的数据包的协议 ID。 |
|
配置了 ICMP 拒绝的数据包时,ICMP 类型;否则,此字段将为 0。 |
|
拒绝创建会话的策略名称。 |
错误处理扩展
了解机箱管理器 FPC 故障检测和错误处理增强功能
SRX5400、SRX5600 和 SRX5800 设备上的 Junos OS 路由引擎和微内核错误检测和管理功能使路由引擎和 ukernel 能够积累并存储所有报告的错误活动和不同严重程度的计数器的历史记录。您可以配置处理错误的方式,并指定严重级别以及当检测到错误并达到阈值时要执行的操作。您可以根据存储的信息生成并显示遇到的错误报告。
从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,我们提供了错误检测增强功能,可在 IOC 和 SPC 上检测其他错误并提供增强的错误管理。此实施扩展了主题涉及 show chassis fpc error
的错误检测和管理。
路由引擎版本 1 不支持此功能。
IOC 和 SPC 上的错误处理
从 Junos OS 15.1-X49-D50 版和 Junos OS 17.3R1 版开始,IOC2 和 IOC3 I/O 卡 (IOC) 以及 SPC2 服务处理卡 (SPC) 支持错误管理增强功能。IOC2 和 IOC3 或 SPC2 FPC 的一些增强功能是特别的,本主题将指出这些增强功能。
错误检测和管理
错误管理需要:
检测错误。
Junos OS 会监控机箱组件状态以检测一组错误情况。检测到的错误可以属于预配置的错误严重性级别之一:
致命
主要
小
确定要采取的操作。
发生错误时,系统会根据错误的严重级别以及设置和达到的阈值确定要执行的操作。
FPC 会为每个错误严重性级别维护一组错误计数器。错误计数器集由一个计数器组成,该计数器可跨所有错误累积,以及针对个别错误和类型的计数器。正是这些信息存储在路由引擎中。每个出现计数器都与一个错误发生阈值相关联。有两个阈值级别:一个基于类型,另一个基于严重性。
执行操作。
对于这些增强功能,当路由引擎对给定安全级别的错误发生次数达到配置的阈值时,您可以指示设备采取的预配置操作如下:
重 置
离线
报警
获取状态
日志
为 SRX5000 系列设备上的 SPC2 卡设置故障处理操作时,请小心谨慎。请注意,如果将 SPC2 卡上的故障处理操作设置为脱机或重置,当卡脱机或重新启动时,机箱守护程序(机箱)将重新启动其所有 FPC 卡,包括 SPC 和 IOC,即整个机箱将重新启动。
错误检测流程
借助这些增强功能,将启用并支持以下错误检测流程:
路由引擎版本 2 上的错误管理。
SPC2 卡上的 ukernel 模块上的错误管理。
IOC2 和 IOC3 卡上的错误管理。
驱动程序检查,以检测楔形条件的数据路径错误。
注意:仅 SPC2 卡支持对 Trinity Offload Engine 驱动程序进行波折情况检测。也就是说,IOC2 和 IOC3 卡上不支持它。
主机环路的楔形检测。
注意:仅在 SPC2 卡上支持主机环路的波段状况检测。也就是说,IOC2 和 IOC3 卡上不支持它。
机箱管理器交换矩阵错误检测。
控制 IOC2 和 IOC3 卡上的路径错误检测。
与机箱群集集成
在机箱群集环境中,当由于重大或致命错误首次提出告警时,将触发冗余组 1 (RG1) 切换。这是 SRX 系列设备上的标准行为,保持不变。但是,借助这些增强功能,告警会添加到默认故障处理操作列表中,以造成致命错误。将告警添加到默认故障处理列表中可以使机箱告警在检测到致命错误后立即触发 RG1 切换。
楔形检测、报告和管理
中断情况是由阻止网络流量的错误引起的。
此功能可检测多种类型的楔形情况。它:
确定楔形是瞬时还是不可逆的。
在统计信息和系统日志中记录楔形条件。
通过在路由引擎上发出机箱告警,提醒网络管理员不可逆转的楔形。
验证是否已为 IOC2、IOC3 和 SPC2 卡启用以下数据路径错误检测:
XM 驱动程序的楔形检测
LU 驱动程序的楔形检测
XL 驱动程序的楔形检测
TOE 驱动程序的楔形检测(仅限 SPC2)
主机环路的波段检测(仅限 SPC2)
所有数据路径楔形状况都会在 5 秒内被检测和报告。每个错误检测模块都会记录并报告其可识别的楔形状况的状态和历史记录。