Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监控 VPN 流量

VPN 监控允许您通过向对等方发送互联网控制消息协议(ICMP)请求来确定对等设备的可访问性。

了解 VPN 报警和审计

配置以下命令,以便在设备的初始设置期间启用安全事件日志记录。此功能在 SRX300、SRX320、SRX340、SRX345、SRX550HM 和 SRX1500 设备以及 vSRX 实例上受支持。

set security log cache

管理员(审核、加密、IDS 和安全)无法修改安全事件日志记录配置,前提是上述命令已配置,并且每个管理员角色配置为具有不同的唯一权限集,所有其他管理角色。

报警由 VPN 故障触发。当系统监控以下任何已审核事件时,将生成 VPN 报警:

  • Authentication failures—您可将设备配置为在数据包认证失败达到指定编号时生成系统报警。

  • Encryption and decryption failures—您可以将设备配置为在加密或解密失败超过指定编号时生成系统报警。

  • IKE Phase 1 and IKE Phase 2 failures—互联网密钥交换 (IKE) 第 1 阶段协商用于建立IKE安全关联 (SLA)。这些 Sa 保护 IKE 阶段2协商。您可以将设备配置为在 IKE 阶段1或 IKE 阶段2故障超过指定数字时生成系统报警。

  • Self-test failures—自我测试是设备在电源打开或重新启动时运行的测试,用于验证安全软件是在设备上正确实施。

    自我测试确保加密算法的正确性。Junos-FIPS 图像在接通电源后自动执行自检,并持续进行密钥对生成。在国内或 FIPS 映像中,自测试可配置为根据定义的计划执行,或者在密钥生成之后按需运行。

    您可以将设备配置为在自检故障发生时生成系统报警。

  • IDP flow policy attacks— 入侵检测和防御 (IDP) 策略允许您对网络流量实施各种攻击检测和防御技术。您可以将设备配置为在发生 IDP 流策略违规时生成系统报警。

  • Replay attacks—重放攻击是一种网络攻击,有效数据传输恶意或欺诈地重复或延迟。您可以将设备配置为在发生重播攻击时生成系统报警。

以下情况中包括 syslog 消息:

  • 失败的对称密钥生成

  • 不对称密钥生成失败

  • 手动密钥分配失败

  • 自动化密钥分配失败

  • 密钥损坏失败

  • 失败的关键处理和存储

  • 数据加密或解密失败

  • 失败的签名

  • 失败的密钥协议

  • 加密散列失败

  • IKE 故障

  • 身份验证收到的数据包失败

  • 由于空白内容无效,因此出现解密错误

  • 从远程 VPN 对等设备收到的证书的备用接受方字段中指定的长度不匹配。

报警基于 syslog 消息发出。将记录所有故障,但仅当达到阈值时才生成报警。

要查看报警信息,请运行show security alarms命令。在系统重新引导期间,冲突计数和报警不会持续。重新启动后,冲突计数将重置为零,报警将从报警队列中清除。

采取相应的措施后,即可清除报警。报警将一直保留在队列中,直到您将其清除(或重新启动设备)。要清除报警,请运行clear security alarms命令。

了解 VPN 监控

VPN 监控使用ICMP回显请求(或PING)确定 VPN 通道是否正常运行。启用 VPN 监控时,安全设备会将 ping 通过 VPN 通道发送至对等网关或隧道另一端的指定目的地。默认情况下,ping 的间隔为10秒,最多连续10次。如果在10个连续 ping 之后未收到任何答复,则会将 VPN 视为关闭,并清除 IPsec 安全关联(SA)。

通过在 [ vpn-monitoredit security ipsec vpn vpn-name] 层次结构级别配置选项,可为指定 vpn 启用 VPN 监控。对等方网关的 IP 地址是默认目标;如果地址为 SIP 地址,则 IP 地址为默认目标。但是,您可以在隧道另一端指定不同的目标 IP 地址(例如服务器)。本地隧道端点是默认源接口,但您可以指定不同的接口名称。

SRX5400、SRX5600 和 SRX5800 设备不支持对外部连接的设备(例如 PC)进行 VPN 监控。VPN 监控目标必须是 SRX5400、SRX5600 或 SRX5800 设备上的本地接口。

只有存在传出optimized信息流且没有通过 VPN 通道的传入流量时,VPN 监控选项才会发送 ping 命令。如果通过 VPN 通道传入流量,则安全设备将通道视为活动的且不会向对等方发送 ping 命令。配置此optimized选项可将资源保存在安全设备上,因为仅当需要确定对等 liveliness 时,ping 才会发送。发送 ping 也可激活代价高昂的备份链路,否则将无法使用。

您可以配置 ping 发送的间隔,以及 VPN 被视为 down 之前发送但不带回复的连续 ping 的次数。这些intervalthreshold选项分别配置为 [edit security ipsec vpn-monitor-options] 层次结构级别。

如果对等方基于数据包的来源或目标 IP 地址不接受 ping 数据包,VPN 监控可能会导致某些 VPN 环境中出现隧道翻动。

了解 IPsec Datapath 验证

概述

默认情况下,基于路由的 Vpn 中配置为点对点模式的安全通道(st0)接口的状态基于 VPN 隧道的状态。建立 IPsec SA 后不久,与 st0 接口关联的路由将安装在 Junos OS 转发表中。在某些网络拓扑中(例如,VPN 通道端点之间的传输防火墙所在的位置),在 st0 接口上为已建立的 VPN 通道使用活动路由的 IPsec 数据流量可能被传输防火墙阻止。这可能会导致信息流丢失。

启用 IPsec datapath 验证时,st0 接口不会启动并激活,直至 datapath 得到验证。该验证配置有基于路由set security ipsec vpn vpn-name vpn-monitor verify-path 、站点到站点和动态端点 VPN 隧道的语句。

如果对等通道端点前面有 NAT 设备,则对等通道端点的 IP 地址将转换为 NAT 设备的 IP 地址。对于要到达对等通道端点的 VPN 监控 ICMP 请求,您需要明确指定 NAT 设备后面的对等通道端点的原始、未经翻译的 IP 地址。这是set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip配置的配置。

从 Junos OS Release 15.1 X 49-D120 中开始,您可以配置用于在st0接口启动之前验证 IPsec datapath 的数据包的大小。使用set security ipsec vpn vpn-name vpn-monitor verify-path packet-size配置。可配置的数据包大小范围为64到1350字节;默认值为64字节。

几点

可为 VPN 监控操作配置的源接口和目标 IP 地址不会影响 IPsec datapath 验证。IPsec datapath 验证中的 ICMP 请求源是本地隧道端点。

启用 IPsec datapath 验证时,VPN 监控将在 st0 接口启动后自动激活并使用。建议您在启用 IPsec datapath 验证时,使用set security ipsec vpn vpn-name vpn-monitor optimized命令配置 VPN 监控优化选项。

如果在 IPsec datapath 验证期间发生机箱群集故障转移,则新的主动节点将再次开始验证。只有验证成功后,st0 接口才会激活。

未对 IPsec SA 重新生成密钥执行 IPsec datapath 验证,因为 st0 接口状态不会更改为 "重新生成密钥"。

在与 AutoVPN、自动发现 VPN 和多个流量选择器一起使用的 st0 接口上,不支持 IPsec datapath 验证。VPN 监控和 IPsec datapath 验证不支持 IPv6 地址,因此 IPsec datapath 验证不能用于 IPv6 隧道。

了解全局 SPI 和 VPN 监控功能

您可以使用以下全局 VPN 功能监控和维护 VPN 的有效运行:

  • SPI— 当一个对等方出现故障时,安全关联 (SA) 中的对等方可能会变为非同一体化。例如,如果其中一个对等方重新启动,则可能会发送不正确的安全参数索引(SPI)。您可以启用设备以检测此类事件,并通过配置错误的 SPI 响应功能来重新同步对等方。

  • VPN 监控 — 您可以使用全局 VPN 监控功能定期向对等方发送 Internet 控制消息协议 (ICMP) 请求,以确定对等方是否可联系。

了解 VPN 监控和 DPD

VPN 监控和死对等方检测(DPD)是 SRX 系列设备上提供的功能,用于验证 VPN 对等设备的可用性。本节将比较这些功能的操作和配置。

即使未在设备上配置 DPD,SRX 系列设备也会响应 VPN 对等方发送的 DPD 消息。您可以将 SRX 系列设备配置为向 VPN 对等方发起 DPD 消息。您还可以将 DPD 和 VPN 监控配置为同时在同一个 SRX 系列设备上运行,尽管可使用任一方法监控的对等方数量也减少了。

VPN 监控是仅监控第2阶段安全关联(Sa)的 Junos OS 机制。VPN 监控在每 VPN 基础上启用, vpn-monitor语句位于 [edit security ipsec vpn vpn-name] 层次结构级别。必须指定目标 IP 和源接口。该optimized选项允许设备将信息流模式用作对等 liveliness 的证据;ICMP 请求被抑制。

VPN 监控选项使用 [ vpn-monitor-optionsedit security ipsec] 层次结构级别的语句进行配置。这些选项适用于启用 VPN 监控的所有 Vpn。您可以配置的选项包括向对等方发送 ICMP 请求的时间间隔(默认值为10秒)以及在对等方被视为不可访问之前发送的连续 ICMP 请求数(默认值为10连续请求)。

DPD 是 RFC 3706 的一种实施,是一种基于流量的不工作互联网密钥交换 (IKE) 对等方检测方法。它在 IKE 级别运行,并基于 IKE 和 IPsec 流量活动监控对等方。

DPD 在单个 IKE 网关上配置, dead-peer-detection语句位于 [edit security ike gateway gateway-name] 层次结构级别。您可以配置操作的 DPD 模式。如果在本地设备将传出数据包发送至对等方之后,在配置的间隔内没有传入 IKE 或 IPsec 流量,则默认(优化)模式向对等方发送 DPD 消息。其他可配置选项包括将 DPD 消息发送至对等方的时间间隔(默认值为10秒)以及在对等方被视为不可用之前发送的连续 DPD 消息数(默认值为5连续请求)。

了解死对等方检测

死对等方检测(DPD)是一种网络设备用于验证其他对等设备的当前存在性和可用性的方法。

您可以使用 DPD 作为 VPN 监控的替代方案。VPN 监控适用于单个 IPsec VPN,而 DPD 仅在单个 IKE 网关上下文中配置。

设备执行 DPD 验证,方法是向对等方发送加密的 IKE 阶段1通知负载(R-U-消息),并等待对等方的 DPD 确认(R-U-a-ACK 消息)。只有在指定的 DPD 间隔内未收到对等方的任何流量时,设备才会发送 R-U-a 消息。如果设备在此间隔期间收到来自对等方的 R-U-a ACK 消息,则认为对等方处于活动状态。如果设备从对等方接收通道上的流量,则会重置其 R-U-此通道的消息计数器,从而启动新间隔。如果设备在间隔期间未收到 R-U — a a ACK 消息,则认为对等方已死机。当设备将对等设备的状态更改为 "死机" 时,设备将删除该对等方的第1阶段安全关联(SA)和所有第2阶段 Sa。

SRX 系列设备支持以下 DPD 模式:

  • 已优化— 如果设备向对等方发送传出数据包IKE配置间隔内没有传入数据包或 IPsec 流量,将触发 R-U-THERE 消息。这是默认模式。

  • 探查空闲通道 — 在配置的间隔内,如果没有传入或传出IKE或 IPsec 流量,将触发 R-U-THERE 消息。R-U-定期向对等方发送消息,直到存在流量活动。此模式有助于及早检测出停机对等方,并使隧道可用于数据流量。

    为 VPN 配置多个流量选择器时,可以为同一个 IKE SA 建立多个隧道。在这种情况下,即使同一个 IKE SA 的另一个通道中可能存在流量,也会触发 R-U-如果与 IKE SA 关联的任何通道都处于空闲状态,则会发送消息。

  • 始终发送 — 无论对等方之间的流量活动如何,R-U-THERE 消息都将以配置的间隔发送。

    建议使用探测空闲通道模式,而不是always-send模式。

一旦建立了相位 1 SA,DPD 定时器就会激活。对于 IKEv1 和 IKEv2 协议,DPD 行为都相同。

您可以配置以下 DPD 参数:

  • Interval 参数指定设备等待来自其对等流量的时间量(以秒为单位),然后发送 R-U-有消息。默认间隔为10秒。从 Junos OS Release 15.1 X 49-D130,允许的间隔参数范围为 R-U-向对等设备发送消息时,将从10到60秒减少到2秒到60秒。当 DPD interval 参数设置为小于10秒时,最小阈值应为3。

  • 阈值参数指定在考虑对等方死端之前,在对等方没有响应的情况下发送 R-U 的最大次数。默认传输数为五倍,允许范围为1到5次重试。

配置 DPD 之前,请注意以下注意事项:

  • 将 DPD 配置添加到具有活动隧道的现有网关时,R-U-将在不清除阶段1或相位 2 Sa 的情况下启动消息。

  • 从具有活动隧道的现有网关删除 DPD 配置时,R-U-将停止隧道的消息。IKE 和 IPsec Sa 不受影响。

  • 修改任何 DPD 配置选项(如模式、间隔或阈值)将在不清除阶段1或相位 2 Sa 的情况下更新 DPD 操作。

  • 如果 IKE 网关配置了 DPD 和 VPN 监控,但未配置立即建立隧道的选项,DPD 不会启动第1阶段协商。配置 DPD 时,还必须同时配置 "立即建立隧道" 选项,以便在没有相位1和第2阶段可用时,将 st0 接口拉出。

  • 如果 IKE 网关配置了多个对等方 IP 地址和 DPD,但第1阶段 SA 未能建立到首个对等方 IP 地址,则会尝试下一个对等 IP 地址的阶段 1 SA。只有在建立了第1阶段 SA 之后,DPD 才处于活动状态。

  • 如果 IKE 网关配置了多个对等方 IP 地址和 DPD,但 DPD 与当前对等方的 IP 地址发生故障,将清除第 1 阶段和第 2 阶段 A 并触发故障切换至下一对等方 IP 地址。

  • 由于同时协商,同一对等方可能存在不止一个阶段1或阶段 2 SA。在这种情况下,在所有阶段 1 Sa 上发送 R-U-消息。如果在配置的连续时间收到 DPD 响应,则会清除阶段 1 SA 和关联的阶段 2 SA (仅限 IKEv2)。

了解通道事件

如果存在与 VPN 相关的网络问题,则在通道启动后,才会跟踪隧道状态。在通道出现之前可能会发生许多问题。因此,现在会跟踪成功事件,如成功的 IPsec SA 协商、IPsec 重新生成密钥和 IKE SA 重新加密等,而不是仅跟踪通道状态、通道断开问题或协商故障。这些事件称为通道事件。

对于阶段1和阶段2,将跟踪给定通道的协商事件以及外部守护程序(如 AUTHD 或 PKID)中发生的事件。当一个隧道事件发生多次时,将在更新的时间和事件发生的次数之间保留一个条目。

整体,将跟踪16个事件:阶段2的8个事件,阶段1和八个事件。某些事件可能会再次出现并填满事件内存,从而导致删除重要事件。为避免覆盖,除非通道断开,否则不会存储事件。

以下特殊活动属于此类别:

  • IPsec SA 的生存时间(kb)到期

  • IPsec SA 的硬生命周期已过期

  • IPsec SA 删除对等方接收的负载,相应的 IPsec Sa 将被清除

  • 清除未使用的冗余备份 IPsec SA 对

  • 已删除 IPsec Sa,因为相应 IKE SA 将其清除

AutoVPN 隧道是动态创建和卸下的,因此与这些隧道对应的隧道事件生存期较短。有时,这些通道事件不能与任何通道相关联,因此系统日志将用于调试。

示例:将可听见的报警设置为安全报警通知

此示例演示如何配置设备以在发生新安全事件时生成系统报警报警音。默认情况下,报警不会被听到。此功能在 SRX300、SRX320、SRX340、SRX345、SRX550HM 和 SRX1500 设备以及 vSRX 实例上受支持。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,设置为响应安全报警而生成的报警音。

配置

操作

分步过程

要设置可听的报警:

  1. 启用安全报警。

  2. 指定希望在出现报警音时收到安全报警通知。

  3. 如果您完成了设备配置,请提交配置。

针对

要验证配置是否正常运行,请输入show security alarms detail命令。

示例:生成安全告警以响应潜在违规

此示例演示如何配置设备以在发生潜在冲突时生成系统报警。默认情况下,在发生潜在冲突时不会触发报警。此功能在 SRX300、SRX320、SRX340、SRX345、SRX550HM 和 SRX1500 设备以及 vSRX 实例上受支持。

要求

配置此功能之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,配置在以下情况下发出的报警:

  • 认证失败次数超过6。

  • 加密自检失败。

  • 非加密自检失败。

  • 密钥生成自我测试失败。

  • 加密失败次数超过10个。

  • 解密失败的次数超过1。

  • IKE 阶段1次失败次数超过10个。

  • IKE 阶段2的错误数超过1。

  • 发生重播攻击。

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 Junos OS CLI指南 中的 在配置模式下使用 CLI编辑器

要在响应潜在违规时配置报警:

  1. 启用安全报警。

  2. 指定在发生身份验证故障时应发出报警。

  3. 指定在发生加密自我测试故障时应发出的报警。

  4. 指定当非加密自我测试故障发生时,应发出报警。

  5. 指定在发生密钥生成自我测试故障时应发出的报警。

  6. 指定在发生加密故障时应发出报警。

  7. 指定在发生解密故障时应发出的报警。

  8. 指定在发生 IKE 阶段1故障时应发出的报警。

  9. 指定当发生 IKE 阶段2故障时应发出的报警。

  10. 指定发生重播攻击时应发出的报警。

成果

从配置模式,输入show security alarms命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

针对

要确认配置是否正常运行,请在操作模式下输入show security alarms命令。

发布历史记录表
版本
说明
15.1X49-D130
从 Junos OS Release 15.1 X 49-D130,允许的间隔参数范围为 R-U-向对等设备发送消息时,将从10到60秒减少到2秒到60秒。当 DPD interval 参数设置为小于10秒时,最小阈值应为3。
15.1X49-D120
从 Junos OS Release 15.1 X 49-D120 中开始,您可以配置用于在st0接口启动之前验证 IPsec datapath 的数据包的大小。