监控安全策略
SUMMARY 本节介绍监控安全策略并记录允许或拒绝的流量。
监控安全策略统计数据
目的
监控和记录 Junos OS 允许或拒绝基于以前配置的策略的流量。
行动
要监控流量,请启用计数和日志选项。
Count—可在单个策略中配置。如果启用计数,将收集针对给定策略进入设备的会话的统计信息,以及为给定策略通过设备在两个方向上传递的数据包和字节数。对于计数(仅对于数据包和字节),您可以指定当流量超过指定阈值时生成报警。请参阅计数(安全策略)。
Log—可在会话初始化 ( ) 或会话关闭 ( ) 阶段通过 session-initsession-close 安全策略启用日志记录功能。请参阅日志(安全策略)。
要查看被拒绝的连接的日志,请启用 登录 session-init 。
要记录完成/关闭的会话,请登录 session-close 。
会话日志在流代码中实时启用,从而影响用户性能。如果同时启用 和 ,则性能比仅启用 session-closesession-init 进一步 session-init 降级。
有关为会话日志收集的信息的详细信息,请参阅SRX 系列服务网关的会话日志条目中提供的信息。
监控路由信息
监控路由信息
用途
查看有关路由表中路由的信息,包括目标、协议、状态和参数信息。
行动
在Monitor>Routing>Route Information J-Web 用户界面中选择,或输入以下 CLI 命令:
show route terseshow route detail
使用 Microsoft Internet Explorer 浏览器中的 HTTPS 连接在 J Web 界面中保存此页面上的报告时,将显示错误消息 "Internet Explorer 无法打开互联网网站"。发生此问题的原因是缓存控制:不会在服务器端添加缓存 HTTP 标头,并且 Internet Explorer 不允许您通过缓存控制下载加密文件:未在服务器响应中设置缓存 HTTP 标头。
作为一种解决方法,请参阅以下 URL 提供的 Microsoft 知识库文章323308:http://support.microsoft.com/kb/323308. 此外,您也可以在 Internet Explorer 浏览器中使用 HTTP,或在 Mozilla Firefox 浏览器中使用 HTTPS 来保存此页面中的文件。
表 1 介绍了不同过滤器、其功能和相关操作。
表 2汇总路由信息显示中的主要输出字段。
字段 |
功能 |
执行的操作 |
|---|---|---|
目标地址 |
指定路由的目标地址。 |
输入目标地址。 |
Protocol |
指定从中获知路由的协议。 |
输入协议名称。 |
下一跳跃地址 |
指定可直接到达的邻接系统(如果适用)的网络层地址,以及用于到达它的接口。 |
输入下一个跳跃地址。 |
接收协议 |
指定动态路由协议,用于通过特定相邻节点接收路由信息。 |
输入路由协议。 |
最佳路由 |
仅指定可用的最佳路由。 |
选择最佳路由的查看详细信息。 |
停用路由 |
指定非活动路由。 |
选择查看非活动路由的详细信息。 |
精确路由 |
指定准确的路由。 |
选择准确的路由查看详细信息。 |
隐藏路由 |
指定隐藏路由。 |
选择查看隐藏路由的详细信息。 |
Search |
应用指定过滤器并显示匹配消息。 |
要应用过滤器并显示消息,请单击 Search 。 |
Reset |
将选定选项重置为默认值 |
要重置过滤器,请单击 Reset 。 |
字段 |
值 |
其他信息 |
|---|---|---|
静态路由地址 |
静态路由地址列表。 |
– |
Protocol |
从中获知路由的协议:StaticDirect、 Local 或特定协议的名称。 |
– |
优先级 |
该首选参数是路由的单独首选值。 |
路由首选项用作路由选择标准之一。 |
下一跳跃 |
可直接到达的邻接系统的网络层地址(如果适用),以及用于到达它的接口。 |
如果下一跳跃列为 ,则具有该目标地址的所有信息流 Discard 将被丢弃,而不是路由。此值通常表示路由是已设置属性的 discard 静态路由。 如果下一跳跃列为 Reject ,则具有该目标地址的所有流量均会被拒绝。此值通常表示地址不可达。例如,如果地址是已配置的接口地址,并且接口不可用,则绑定到该地址的信息流将被拒绝。 如果下一跳跃列为 ,则目标为主机上的地址(例如环路地址或以太网管理端口 Local 0 地址)。 |
老化 |
路由处于活动状态的时间长度。 |
– |
State |
此路由的标志。 |
有许多可能的标志。 |
AS Path |
路径,通过它获知路由。AS 路径的字母表示路径原点:
|
– |
监控 RIP 路由信息
用途
查看 RIP 路由信息,包括 RIP 邻居和统计数据的汇总。
行动
在Monitor>Routing>RIP Information J-Web 用户界面中选择,或输入以下 CLI 命令:
show rip statisticsshow rip neighbors
表 3汇总了 J-Web 用户界面中的 RIP 路由显示中的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| RIP 统计 | ||
协议名称 |
RIP 协议名称。 |
– |
端口号 |
启用 RIP 的端口。 |
– |
按下时间 |
不通告和更新路由的时间间隔。 |
– |
了解的全球路由 |
在逻辑接口上获知的 RIP 路由数量。 |
– |
保持的全局路由 |
在关闭间隔期间不会公布或更新的 RIP 路由数量。 |
– |
丢弃全局请求 |
丢弃的请求数。 |
– |
全局响应丢弃 |
丢弃的答复数。 |
– |
| RIP 邻居 | ||
详细信息 |
此选项卡用于查看启用 RIP 的接口的详细信息。 |
– |
相邻 |
RIP 邻居的名称。 |
此值是启用 RIP 的接口的名称。单击名称查看此邻居的详细信息。 |
State |
RIP 连接的状态:Up 或 Dn (Down)。 |
– |
源地址 |
本地源地址。 |
此值是启用 RIP 的接口的配置地址。 |
目标地址 |
目标地址。 |
此值是配置的即时 RIP 邻接的地址。 |
发送模式 |
发送 RIP 消息的模式。 |
– |
接收模式 |
接收消息的模式。 |
– |
指标 |
为 RIP 邻居配置的传入度量值。 |
– |
监控 OSPF 路由信息
用途
查看 OSPF 路由信息,包括 OSPF 邻居、接口和统计数据的汇总。
行动
在Monitor>Routing>OSPF Information J-Web 用户界面中选择,或输入以下 CLI 命令:
show ospf neighborsshow ospf interfacesshow ospf statistics
表 4汇总了 J-Web 用户界面 OSPF 路由显示中的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| OSPF 接口 | ||
详细信息 |
用于查看所选 OSPF 详细信息的选项卡。 |
– |
接口 |
运行 OSPF 的接口的名称。 |
– |
State |
接口状态:BDR、 Down、 DR、 DRother、 Loop、 PtToPt或Waiting。 |
该状态表示接口未工作,而状态表示已建立点到点连接, DownPtToPt 是最常用的状态。 |
区号 |
接口所在区域的编号。 |
– |
DR ID |
区域指定设备的 ID。 |
– |
BDR ID |
区域备份指定设备的 ID。 |
– |
邻 |
此接口上的邻居数。 |
– |
| OSPF 统计数据 | ||
| 数据包选项卡 | ||
出去 |
显示发送的数据包总数。 |
– |
获得 |
显示接收的数据包总数。 |
– |
| 详细信息选项卡 | ||
洪水队列深度 |
扩展队列中的条目数。 |
– |
重新传输总数 |
排队的重新传输条目数。 |
– |
总数据库汇总 |
数据库说明数据包的总数。 |
– |
| OSPF 邻居 | ||
地址 |
邻域的地址。 |
– |
接口 |
可到达邻居的接口。 |
– |
State |
邻域的状态:Attempt、 Down、 Exchange、 ExStart、 Full、 InitLoading、或2way。 |
通常,只有表示邻OSPF出现故障的状态,而表示功能邻接状态的状态将保持数 DownFull 秒以上。其他状态为过渡状态,仅当建立 OSPF 邻接关系时,相邻节点才会短暂出现。 |
ID |
邻域的 ID。 |
– |
Priority |
要成为指定路由器的邻居的优先级。 |
– |
活动时间 |
活动时间。 |
– |
区号 |
邻居所在的区域。 |
– |
选项 |
在邻居的 hello 数据包中接收的选项位。 |
– |
DR 地址 |
指定路由器的地址。 |
– |
BDR 地址 |
指定路由器的备份地址。 |
– |
正常运行时间 |
自邻居出现以来的时间长度。 |
– |
相邻 |
自邻居与邻接方建立的时间长度。 |
– |
监控 BGP 路由信息
用途
监控路由设备上 BGP 路由信息,包括 BGP 路由和邻居信息的汇总。
行动
在Monitor>Routing>BGP Information J-Web 用户界面中选择,或输入以下 CLI 命令:
show bgp summaryshow bgp neighbor
表 5汇总了 J-Web 用户界面 BGP 路由显示中的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| BGP 对等汇总 | ||
总组 |
BGP 组的数量。 |
– |
对等方总数 |
BGP 对等方的数量。 |
– |
下等 |
BGP 对等方不可用的数量。 |
– |
未配置对等方 |
每个 BGP 对等体的地址。 |
– |
| 筋摘要标签 | ||
筋名称 |
RIB 组的名称。 |
– |
总前缀 |
路由表中对等方(主动和非活动)的前缀总数。 |
– |
活动前缀 |
从在路由表中处于活动状态的 EBGP 对等方收到的前缀数。 |
– |
抑制的前缀 |
由于阻尼或其他原因,从 EBGP 对等方接收的路由数量当前不活动。 |
– |
历史记录前缀 |
收到或抑制的路由历史记录。 |
– |
转储的前缀 |
由于阻尼或其他原因而当前处于非活动状态的路由数量。这些路由不会出现在转发表中,也不会由路由协议导出。 |
– |
挂起前缀 |
挂起路由的数量。 |
– |
State |
此路由表的平滑重启过程状态:BGP 重新启动完成,BGP 重新启动,正在进行 VPN 重启,或者 VPN 重新启动完成。 |
– |
| BGP 邻居 | ||
详细信息 |
单击此按钮可查看选定 BGP 邻接方详细信息。 |
– |
对等地址 |
BGP 邻居的地址。 |
– |
自治系统 |
AS 编号。 |
– |
对等状态 |
BGP 会话的当前状态:
|
通常,最常见的状态是 ,表示建立连接BGP问题, ActiveEstablished 和 表示成功会话设置。其他状态为过渡状态,BGP 会话通常不会在较长的时间内保持这些状态。 |
经过时间 |
上次重置对等会话以来经过的时间。 |
– |
说明 |
BGP 会话的说明。 |
– |
按策略监控安全事件
用途
按策略监控安全事件,并将记录的事件详细信息显示在 J Web 用户界面中。
行动
按策略监控安全事件:
在 J-Web 用户界面中选择以下某个选项:
如果要使用 SRX5400 SRX5600 平台,SRX5800 Monitor>Events and Alarms>Security Events 选择 。
选择 Monitor>Alarms>Policy Log 。
此时将显示视图策略日志窗格。表 6介绍了此窗格的内容。
表 6: 查看策略日志字段 字段
值
日志文件名
要搜索的事件日志文件的名称。
策略名称
要检索的事件的策略名称。
源地址
触发事件的信息流的源地址。
目标地址
触发事件的信息流的目标地址。
事件类型
由信息流触发的事件类型。
应用
触发事件的信息流的应用。
源端口
触发事件的信息流的源端口。
目标端口
触发事件的信息流的目标端口。
源区域
触发事件的信息流的源区域。
目标区域
触发事件的信息流的目标区域。
源 NAT 规则
触发事件的信息流的源 NAT 规则。
目标 NAT 规则
触发事件的信息流的目标 NAT 规则。
全局策略
指定策略为全局策略。
如果您的设备未配置为本地存储会话日志文件,则会在视图策略日志窗格的右下部分显示创建日志配置按钮。
要在本地存储会话日志文件,请单击 Create log configuration 。
如果会话日志正在发送到外部日志收集器(已为日志文件配置了流模式),将显示一条消息,指示必须将事件模式配置为查看策略日志。
注:恢复到事件模式将中止向外部日志收集器的事件记录。
要将 mode 选项重置为 event ,请输入 set security log 命令。
在"查看策略日志"窗格中输入一个或多个搜索字段,然后单击以显示 Search 符合标准的事件。
例如,输入事件类型和策略以显示包含指定策略的所有 Session Closepol1 会话结束日志的事件详细信息。要进一步减少搜索结果,请添加有关要显示的特定事件或事件组的更多标准。
策略事件详细信息窗格显示来自每个匹配会话日志的信息。表 7介绍了此窗格的内容。
字段 |
值 |
|---|---|
Timestamp |
事件发生的时间。 |
策略名称 |
触发事件的策略。 |
记录类型 |
提供数据的事件日志类型。 |
来源 IP/端口 |
事件流量的源地址(以及端口,如果适用)。 |
目标 IP/端口 |
事件信息流的目标地址(以及端口,如果适用)。 |
服务名称 |
事件信息流的服务名称。 |
NAT 来源 IP/端口 |
事件流量的 NAT 源地址(以及端口,如果适用)。 |
NAT 目标 IP/端口 |
事件流量的 NAT 目标地址(以及端口,如果适用)。 |
监控安全功能
监控策略
用途
显示、排序和查看设备上配置的每个激活策略的策略活动。策略按区域上下文(信息流的 "从" 和 "到" 区域)分组,以控制一次显示的数据量。从策略列表中选择一个策略,以显示统计数据和当前网络活动。
行动
要查看策略活动:
在Monitor>Security>Policy>Activities J-Web 用户界面中选择。将出现 "安全策略监控" 页面,其中列出了第一个区域上下文中的策略。有关表 8字段说明,请参阅。
Zone Context选择要监控的策略,然后单击Filter。区域上下文中的所有策略都以匹配顺序出现。选择策略,然后单击 Clear Statistics 将所选策略的所有计数器设置为零。
字段 |
值 |
其他信息 |
|---|---|---|
区域上下文(Total #) |
显示已配置策略的所有从和到区域的组合的列表。每个上下文的活动策略总数在 Total # 字段中指定。默认情况下,第一个区域上下文中的策略将显示出来。 |
要显示不同上下文的策略,请选择一个区域上下文并单击 |
默认策略操作 |
指定与上下文中的任何策略都不匹配的流量应采取的操作:
|
– |
从区域 |
显示用作策略匹配标准的源区域。 |
– |
到区域 |
显示用作策略匹配标准的目标区域。 |
– |
姓名 |
显示策略的名称。 |
– |
源地址 |
显示用作策略匹配标准的源地址。地址集解析为各自的名称。(在这种情况下,仅给定名称,而不是 IP 地址)。 |
– |
目标地址 |
显示用作策略匹配标准的目标地址(或地址集)。地址在目标区域地址簿中指定。 |
– |
源标识 |
显示为策略设置的源标识的名称。 |
要显示源标识的值,请将鼠标悬停在此字段上。还会显示未知源标识。 |
应用 |
显示要用作策略匹配标准的预定义或自定义应用程序签名的名称。 |
– |
动态应用 |
如果为策略配置了应用程序防火墙规则集,则显示要用作匹配条件的动态应用程序签名。 对于网络防火墙,未定义动态应用程序。 |
规则集显示为两行。第一行显示规则集中配置的动态应用程序签名。第二行显示默认动态应用程序签名。 如果为规则集指定了两个以上的动态应用程序签名,则将鼠标指针悬停在输出字段上方,以在工具提示中显示完整列表。 |
操作 |
如果为策略配置了应用程序防火墙规则集,则显示该规则集的操作部分。
|
规则集的操作部分出现在两行中。第一行标识当信息流与动态应用程序签名匹配时要采取的措施。当信息流与动态应用程序签名不匹配时,第二行显示默认操作。 |
NW 服务 |
如果配置了应用程序防火墙规则集,则显示该策略允许或拒绝的网络服务。网络服务包括:
|
– |
策略计数器图形 |
为指定计数器的时间段提供值的表示形式。如果策略计数器指示无数据,则图形为空。随着选定计数器累计数据,图形将在每次刷新间隔时更新。 |
要打开和关闭图形,请单击图形下面的计数器名称。 |
策略计数器 |
列出了所选策略的统计计数器(如果启用了 Count)。以下计数器可用于每个策略:
|
要图形或从策略计数器图中移除计数器,请切换计数器名称。已启用计数器的名称显示在图形下方。 |
检查策略
用途
输入匹配标准并执行策略搜索。搜索结果包括与流量标准匹配的所有策略(将在此顺序中出现)。
由于策略匹配在出现的顺序中列出,因此您可以确定特定策略是否正确应用。列表中的第一个策略将应用于所有匹配的信息流。此策略之后列出的策略仍然处于第一个策略的"影子"中,并且永远不会被此流量遇到。
通过操作信息流标准和策略顺序,您可以调整策略应用程序以满足您的需求。在策略开发过程中,您可以使用此功能建立相应的策略顺序,以实现最佳流量匹配。进行故障排除时,请使用此功能确定特定流量是否遇到适当的策略。
行动
在Monitor>Security>Policy>Shadow Policies J-Web 用户界面中选择。将显示检查策略页面。表 9介绍了此页面的内容。
在顶部窗格中,输入从区域和到区域以提供搜索的上下文。
输入流量的匹配标准,包括源地址和端口、目标地址和端口以及流量的协议。
输入要显示的匹配策略数。
单击
Search此处可查找符合您条件的策略。下部窗格显示与条件匹配的所有策略,直到达到您指定的策略数量。第一个策略将应用于具有此匹配标准的所有流量。
具有此匹配标准的任何流量都不会遇到剩余策略。
要操作策略的位置和激活,请选择策略并单击相应的按钮:
Move—向上或向下移动选定策略,以在搜索顺序中定位为更合适的点。
Move to—允许您将选定策略拖放到同一页面上的不同位置,以将其移动。
字段 |
功能 |
||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 检查策略搜索输入窗格 | |||||||||||||||||||||||||||||||||||||
从区域 |
源区域的名称或 ID。如果源区域由名称指定,名称将在内部被转换为其 ID。 |
||||||||||||||||||||||||||||||||||||
到区域 |
目标区域的名称或 ID。如果 a 到区域是按名称指定的,则该名称将在内部被转换为其 ID。 |
||||||||||||||||||||||||||||||||||||
源地址 |
IP 表示法中的来源地址。 |
||||||||||||||||||||||||||||||||||||
源端口 |
源的端口号。 |
||||||||||||||||||||||||||||||||||||
目标地址 |
IP 表示法中的目的地地址。 |
||||||||||||||||||||||||||||||||||||
目标端口 |
目标的端口号。 |
||||||||||||||||||||||||||||||||||||
源标识 |
源标识的名称。 |
||||||||||||||||||||||||||||||||||||
Protocol |
要匹配的协议的名称或同等值。
|
||||||||||||||||||||||||||||||||||||
结果计数 |
必要显示的策略数量。默认值为1。最大值为16。 |
||||||||||||||||||||||||||||||||||||
| 检查策略列表 | |||||||||||||||||||||||||||||||||||||
从区域 |
源区域的名称。 |
||||||||||||||||||||||||||||||||||||
到区域 |
目标区域的名称。 |
||||||||||||||||||||||||||||||||||||
总策略 |
检索的策略数。 |
||||||||||||||||||||||||||||||||||||
默认策略操作 |
不发生匹配时将采取的措施。 |
||||||||||||||||||||||||||||||||||||
名称 |
策略名称 |
||||||||||||||||||||||||||||||||||||
源地址 |
策略的源地址(不是 IP 地址)的名称。地址集解析为各自的名称。 |
||||||||||||||||||||||||||||||||||||
目标地址 |
目标地址或地址集的名称。数据包的目标地址必须与要应用到它的策略匹配该值。 |
||||||||||||||||||||||||||||||||||||
源标识 |
策略的源标识名称。 |
||||||||||||||||||||||||||||||||||||
应用 |
策略匹配的预配置或自定义应用程序的名称。 |
||||||||||||||||||||||||||||||||||||
操作 |
在策略中指定的匹配发生时,采取的措施。 |
||||||||||||||||||||||||||||||||||||
命中次数 |
此策略的匹配项数。此值与策略统计报告中的策略查找相同。 |
||||||||||||||||||||||||||||||||||||
活动会话 |
与此策略匹配的活动会话数量。 |
||||||||||||||||||||||||||||||||||||
或者,要使用 CLI 列出匹配策略,请输入show security match-policies命令并包括您的匹配标准和要显示的匹配策略数。
监控屏幕计数器
用途
查看指定安全区域的屏幕统计信息。
行动
在 Monitor>Security>Screen Counters J-Web 用户界面中选择,或输入以下 CLI 命令:
show security screen statistics zone zone-name
表 10汇总了屏幕计数器显示的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| 区域 | ||
ICMP 洪水攻击 |
互联网控制消息协议(ICMP)淹没计数器。 |
ICMP 洪水攻击通常在 ICMP echo 请求使用所有资源响应时出现,这样就无法再处理有效的网络流量。 |
UDP 洪水 |
用户数据报协议(UDP)淹没计数器。 |
当攻击者发送包含 UDP 数据报的 IP 数据包并降低资源的速度时,就会发生 UDP 泛滥,这样就无法再处理有效连接。 |
TCP Winnuke |
传输控制协议(TCP) WinNuke 攻击的数量。 |
WinNuke 是一种拒绝服务(DoS)攻击,针对运行 Windows 的 Internet 上的任何计算机。 |
TCP 端口扫描 |
TCP 端口扫描数。 |
此攻击的目的是扫描可用的服务,确保至少一个端口将响应,从而确定要瞄准的服务。 |
ICMP 地址扫描 |
ICMP 地址扫描数。 |
在触发来自活动主机的响应时,可以进行 IP 地址扫描。 |
IP 撕丢弃 |
泪珠形攻击数量。 |
泪珠形攻击利用分段 IP 数据包的重组。 |
TCP SYN 攻击 |
TCP SYN 攻击数。 |
– |
IP 欺骗 |
IP 假冒数量。 |
在数据包标头中插入无效的源地址以使数据包看上去来自可靠来源时,IP 欺骗发生。 |
ICMP Ping 死亡 |
ICMP ping 死亡死机计数器。 |
如果发送的 IP 数据包超过最大合法长度(65535字节),则会发生死亡 Ping 命令。 |
IP 源路由 |
IP 源路由攻击数。 |
– |
TCP 陆地攻击 |
土地攻击数量。 |
当攻击者将包含受害者 IP 地址的虚假 SYN 数据包发送为目标和源 IP 地址时,就会发生陆地攻击。 |
TCP SYN 分段 |
TCP SYN 碎片数。 |
– |
TCP 无标志 |
不带标志集的 TCP 标头数量。 |
正常 TCP 段标头至少设置了一个控制标志。 |
IP 未知协议 |
未知互联网协议数。 |
– |
IP 坏选件 |
无效选项数。 |
– |
IP 记录路由选项 |
启用了 IP 记录路由选项的数据包数量。 |
此选项记录 IP 数据包传输的路径中的网络设备的 IP 地址。 |
IP 时间戳选项 |
IP 时间戳选项攻击数。 |
此选项记录了每个网络设备在从原点到达目的地的过程中接收数据包的时间(通用时间)。 |
IP 安全选项 |
IP 安全选项攻击数。 |
– |
IP 松散路由选项 |
IP 松散路由选项攻击数。 |
此选项指定数据包在从源到目标的旅程上所用的部分路由列表。 |
IP 严格源路由选项 |
IP 严格源路由选项攻击数。 |
此选项指定数据包在从源到目标的旅程上所执行的完整路由列表。 |
IP 流选项 |
流选项攻击数量。 |
此选项提供了一种通过不支持流的网络传输16位 SATNET 流标识符的方法。 |
ICMP 分段 |
ICMP 分段数。 |
由于 ICMP 数据包包含很短的消息,因此 ICMP 数据包无法分段。如果 ICMP 数据包太大,必须将其分段,则有些 amiss。 |
ICMP 大数据包 |
大型 ICMP 数据包数。 |
– |
TCP SYN FIN 数据包 |
TCP SYN FIN 数据包数。 |
– |
无 ACK 的 TCP FIN |
没有确认(ACK)标志的 TCP FIN 标志数。 |
– |
TCP SYN ACK-ACK 代理 |
启用了 SYN ACK 的 TCP 标记数。 |
要防止对 SYN ack ACK 会话的泛滥,您可以启用 SYN ack-ACK 代理防护屏幕选项。当来自相同 IP 地址的连接数达到 SYN ACK-ACK 代理阈值后,Junos OS 将拒绝来自该 IP 地址的进一步连接请求。 |
IP 阻止片段 |
IP 块碎片数。 |
– |
监控 IDP 状态
用途
查看有关 IDP 状态、内存、计数器、策略库统计数据和攻击表统计数据的详细信息。
行动
要查看入侵检测和防御(IDP)表信息,请执行以下操作之一:
如果要使用 SRX5400、SRX5600 或 SRX5800平台,请在 J-Web 用户界面中选择,或输入 Monitor>Security>IDP>Status 以下CLI命令:
show security idp statusshow security idp memory
在Monitor>Security>IPS>Status J-Web 用户界面中选择。
表 11汇总了 IDP 显示中的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| IDP 状态 | ||
IDP 状态 |
显示当前 IDP 策略的状态。 |
– |
自 |
显示从 IDP 策略首次开始在系统上运行的时间。 |
– |
数据包/秒 |
显示每秒接收和返回的数据包数量。 |
– |
非 |
显示每秒接收的数据包的最大数量以及达到最大值的时间。 |
– |
Kbits/Second |
显示系统的聚合吞吐量(每秒千位)。 |
– |
峰值 Kbits |
显示最大千位/秒和达到最大值的时间。 |
– |
延迟(微秒) |
显示由节点接收和返回的数据包的延迟(以微秒计)。 |
– |
当前策略 |
显示当前安装的 IDP 策略的名称。 |
– |
| IDP 内存状态 | ||
IDP 内存统计数据 |
显示所有 IDP 数据平面内存的状态。 |
– |
PIC 名称 |
显示 PIC 的名称。 |
– |
总 IDP 数据平面内存(MB) |
显示为 IDP 数据平面分配的总内存空间(以 mb 为单位)。 |
– |
使用(MB) |
显示数据平面的已用内存空间(以 mb 为单位)。 |
– |
可用(MB) |
显示数据平面的可用内存空间(以 mb 为单位)。 |
– |
监控流门信息
用途
查看有关临时入口的信息,称为安全防火墙中的 pinholes 或关口。
行动
在Monitor>Security>Flow Gate J-Web 用户界面中选择,或输入show security flow gate命令。
表 12汇总了流门显示中的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| 流门信息 | ||
孔 |
Pinhole 允许的信息流范围。 |
– |
目标语言 |
元组,如果与 pinhole 匹配,则用于创建会话:
|
– |
Protocol |
应用协议,例如 UDP 或 TCP。 |
– |
应用 |
应用程序的名称。 |
– |
老化 |
Pinhole 的空闲超时。 |
– |
标记 |
Pinhole 的内部调试标志。 |
– |
区段 |
传入区域。 |
– |
引用计数 |
对 pinhole 的资源管理器引用数。 |
– |
人力资源 |
有关 pinhole 的资源管理器信息。 |
– |
监控防火墙身份验证表
用途
查看有关认证表的信息,该表将防火墙身份验证用户信息划分为多个部分。
行动
在Monitor>Security>Firewall Authentication>Authentication Table J-Web 用户界面中选择。要查看有关具有特定标识符的用户的详细信息,请在认证表页面上选择 ID。要查看有关特定来源 IP 地址的用户的详细信息,请在认证表页面上选择来源 IP。
或者,输入以下 CLI show命令:
show security firewall-authentication usersshow security firewall-authentication users address ip-addressshow security firewall-authentication users identifier identifier
表 13汇总防火墙认证表显示中的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| 防火墙认证用户 | ||
表中的用户总数 |
认证表中的用户数。 |
– |
| 认证表 | ||
ID |
身份验证识别号。 |
– |
来源 Ip |
身份验证源的 IP 地址。 |
– |
老化 |
用户的空闲超时。 |
– |
Status |
身份验证的状态 |
– |
用户 |
用户的名称。 |
– |
| 每个所选 ID 的详细报告:ID | ||
源区域 |
源区域的名称。 |
– |
目标区域 |
目标区域的名称。 |
– |
配置文件 |
配置文件的名称。 |
用户信息。 |
身份验证方法 |
选择进行身份验证的路径。 |
– |
策略 Id |
策略标识符。 |
– |
接口名称 |
接口名称。 |
– |
此用户发送的字节 |
此用户发送的字节数的数据包数量。 |
– |
此用户接收的字节 |
此用户接收的字节数。 |
– |
客户端组 |
客户端组的名称。 |
– |
| 每个所选源 Ip 的详细报告 | ||
来源 IP 条目 |
身份验证源的 IP 地址。 |
– |
源区域 |
源区域的名称。 |
– |
目标区域 |
目标区域的名称。 |
– |
配置文件 |
配置文件的名称。 |
– |
老化 |
用户的空闲超时。 |
– |
Status |
身份验证的状态 |
– |
用户 |
用户的名称。 |
– |
身份验证方法 |
选择进行身份验证的路径。 |
– |
策略 Id |
策略标识符。 |
– |
接口名称 |
接口名称。 |
– |
此用户发送的字节 |
此用户发送的字节数的数据包数量。 |
– |
此用户接收的字节 |
此用户接收的字节数。 |
– |
客户端组 |
客户端组的名称。 |
– |
监控防火墙身份验证历史记录
用途
查看有关划分为多个部分的认证历史的信息。
行动
在Monitor>Security>Firewall Authentication>Authentication History J-Web 用户界面中选择。要查看具有此标识符的身份验证的详细历史记录,请在防火墙认证历史记录页面上选择 ID。要查看此来源 IP 地址的详细身份验证历史记录,请在防火墙认证历史记录页面上选择来源 IP。
或者,输入以下 CLI show命令:
show security firewall-authentication historyshow security firewall-authentication history address ip-addressshow security firewall-authentication history identifier identifier
表 14汇总防火墙认证历史显示中的主要输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
| 防火墙身份验证数据历史记录 | ||
身份验证总计 |
身份验证数量。 |
– |
| 历史记录表 | ||
ID |
标识号。 |
– |
来源 Ip |
身份验证源的 IP 地址。 |
– |
开始日期 |
认证日期。 |
– |
开始时间 |
身份验证时间。 |
– |
持续时间 |
身份验证持续时间。 |
– |
Status |
身份验证的状态 |
– |
用户 |
用户的名称。 |
– |
| 所选 Id 的详细信息历史记录:ID | ||
身份验证方法 |
选择进行身份验证的路径。 |
– |
策略 Id |
安全策略标识符。 |
– |
源区域 |
源区域的名称。 |
– |
目标区域 |
目标区域的名称。 |
– |
接口名称 |
接口名称。 |
– |
此用户发送的字节 |
此用户发送的字节数的数据包数量。 |
– |
此用户接收的字节 |
此用户接收的字节数。 |
– |
客户端组 |
客户端组的名称。 |
– |
| 所选源 IP 的详细信息历史记录:源 IP | ||
用户 |
用户的名称。 |
– |
开始日期 |
认证日期。 |
– |
开始时间 |
身份验证时间。 |
– |
持续时间 |
身份验证持续时间。 |
– |
Status |
身份验证的状态 |
– |
概况 |
配置文件的名称。 |
– |
身份验证方法 |
选择进行身份验证的路径。 |
– |
策略 Id |
安全策略标识符。 |
– |
源区域 |
源区域的名称。 |
– |
目标区域 |
目标区域的名称。 |
– |
接口名称 |
接口名称。 |
– |
此用户发送的字节 |
此用户发送的字节数的数据包数量。 |
– |
此用户接收的字节 |
此用户接收的字节数。 |
– |
客户端组 |
客户端组的名称。 |
– |
监控 802.1 x
用途
查看有关 802.1 X 属性的信息。
行动
在Monitor>Security>802.1x J-Web 用户界面中选择,或输入以下 CLI 命令:
show dot1x interfaces interface-nameshow dot1x authentication-failed-users
表 15汇总了 Dot1X 的输出字段。
字段 |
值 |
其他信息 |
|---|---|---|
选择端口 |
用于选择的端口列表。 |
– |
连接的主机数 |
连接到端口的主机总数。 |
– |
跳过的身份验证主机数 |
关于端口的身份验证绕过主机总数。 |
– |
| 经过身份验证的用户汇总 | ||
MAC 地址 |
连接的主机的 MAC 地址。 |
– |
用户名 |
用户的名称。 |
– |
Status |
有关主机连接状态的信息。 |
– |
认证到期 |
有关主机身份验证的信息。 |
– |
| 认证失败的用户汇总 | ||
MAC 地址 |
身份验证失败主机的 MAC 地址。 |
– |
用户名 |
认证失败用户的名称。 |
– |