Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

流会话的 TAP 模式

在 TAP 模式下,SRX 系列防火墙将连接到交换机的镜像端口,该端口提供遍历交换机的流量副本。TAP 模式下的 SRX 系列防火墙处理来自 TAP 接口的传入流量并生成安全日志,以显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。

了解安全流会话的 TAP 模式支持

从 Junos OS 18.3R1 版开始,TAP 模式支持安全流会话。安全流会话配置与非 TAP 模式相同。将设备配置为在 TAP 模式下运行时,设备会生成安全日志信息,以根据传入流量显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。当配置了 TAP 接口时,将在流状态中启用 TAP 模式。

带和不带 VLAN 的流量均可通过 TAP 接口接收。默认情况下,在所有设备上,FLOW SYN-check在层次结构级别禁用[set security]sequence-check选项。

从 Junos OS 20.1R1 版开始,TAP 模式可用于通过解封装外部和内部 IP 报头并创建流会话来检查最多两级嵌入 IP-IP 隧道和一级嵌入 GRE 隧道。您最多可以在 SRX 系列防火墙上配置 8 个 TAP 接口。

示例:在 TAP 模式下配置安全流会话

此示例说明在 TAP 模式下配置 SRX 系列防火墙时如何配置安全流会话。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙

  • Junos OS 19.1R1 版

概述

在此示例中,您将在 TAP 模式下配置 SRX 系列防火墙时配置安全流会话。当收到 TCP SYN 数据包并由安全策略允许时,将创建会话。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入提交。

程序

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在 TAP 模式下配置安全流会话:

  1. 配置安全流会话。

结果

在配置模式下,输入 show security flow 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式输入 commit

验证

要确认配置工作正常,请执行以下任务:

在 TAP 模式下验证安全会话配置

目的

验证有关安全会话的信息。

行动

在操作模式下,输入 show security flow session 命令。

意义

显示有关 TAP 模式下设备上所有当前处于活动状态的安全会话的信息。

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
20.1R1
从 Junos OS 20.1R1 版开始,TAP 模式可用于通过解封装外部和内部 IP 报头并创建流会话来检查最多两级嵌入 IP-IP 隧道和一级嵌入 GRE 隧道。