流会话的 TAP 模式
在 TAP 模式下,SRX 系列防火墙将连接到交换机的镜像端口,该端口提供遍历交换机的流量副本。TAP 模式下的 SRX 系列防火墙处理来自 TAP 接口的传入流量并生成安全日志,以显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。
了解安全流会话的 TAP 模式支持
从 Junos OS 18.3R1 版开始,TAP 模式支持安全流会话。安全流会话配置与非 TAP 模式相同。将设备配置为在 TAP 模式下运行时,设备会生成安全日志信息,以根据传入流量显示有关检测到的威胁、应用程序使用情况和用户详细信息的信息。当配置了 TAP 接口时,将在流状态中启用 TAP 模式。
带和不带 VLAN 的流量均可通过 TAP 接口接收。默认情况下,在所有设备上,FLOW SYN-check
在层次结构级别禁用[set security]
和sequence-check
选项。
从 Junos OS 20.1R1 版开始,TAP 模式可用于通过解封装外部和内部 IP 报头并创建流会话来检查最多两级嵌入 IP-IP 隧道和一级嵌入 GRE 隧道。您最多可以在 SRX 系列防火墙上配置 8 个 TAP 接口。
示例:在 TAP 模式下配置安全流会话
此示例说明在 TAP 模式下配置 SRX 系列防火墙时如何配置安全流会话。
要求
此示例使用以下硬件和软件组件:
-
SRX 系列防火墙
-
Junos OS 19.1R1 版
概述
在此示例中,您将在 TAP 模式下配置 SRX 系列防火墙时配置安全流会话。当收到 TCP SYN 数据包并由安全策略允许时,将创建会话。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入提交。
set security flow tcp-session no-syn-check set security flow tcp-session no-sequence-check
程序
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要在 TAP 模式下配置安全流会话:
配置安全流会话。
user@host#set security flow tcp-session no-syn-check user@host# set security flow tcp-session no-sequence-check
结果
在配置模式下,输入 show security flow
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit] user@host# show security flow tcp-session { no-syn-check; no-sequence-check; }
如果完成设备配置,请从配置模式输入 commit
。
验证
要确认配置工作正常,请执行以下任务:
在 TAP 模式下验证安全会话配置
目的
验证有关安全会话的信息。
行动
在操作模式下,输入 show security flow session
命令。
user@host> show security flow session node0: -------------------------------------------------------------------------- Flow Sessions on FPC4 PIC0: Total sessions: 0 Flow Sessions on FPC4 PIC1: Total sessions: 0
意义
显示有关 TAP 模式下设备上所有当前处于活动状态的安全会话的信息。
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。