Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监控 VPN 流量

通过 VPN 监控,您可以向对等方发送互联网控制消息协议 (ICMP) 请求,以确定对等设备的可访问性。

了解 VPN 报警和审核

配置以下命令以在设备初始设置期间启用安全事件日志记录。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500 设备和 vSRX 实例支持此功能。

set security log cache

如果配置了上述命令,并且将每个管理员角色配置为具有除所有其他管理角色之外的独特权限集,管理员(审核、加密、IDS 和安全)将无法修改安全事件日志记录配置。

VPN 故障触发报警。当系统监控以下任何已审核的事件时,将生成 VPN 报警:

  • Authentication failures— 当数据包认证故障达到指定编号时,您可以将设备配置为生成系统报警。

  • Encryption and decryption failures— 当加密或解密故障超过指定编号时,您可以将设备配置为生成系统报警。

  • IKE Phase 1 and IKE Phase 2 failures— 互联网密钥交换 (IKE) 第 1 阶段协商用于建立 IKE 安全关联 (SA)。这些 SA 保护 IKE 第 2 阶段协商。当 IKE 第 1 阶段或 IKE 第 2 阶段故障超过指定编号时,您可以将设备配置为生成系统报警。

  • Self-test failures—自我测试是指设备在接通电源或重新启动时运行的测试,以验证安全软件是否在您的设备上正确实施。

    自我测试可确保加密算法的正确性。Junos-FIPS 映像在开机后自动执行自我测试,并持续执行密钥对生成。在家用或 FIPS 映像中,可以配置自我测试,以便根据既定时间表、按需或在关键生成后立即执行。

    当发生自我测试故障时,您可以将设备配置为生成系统报警。

  • IDP flow policy attacks— 入侵检测和防御 (IDP) 策略允许您在网络流量上实施各种攻击检测和防御技术。当 IDP 流策略违规时,您可以将设备配置为生成系统报警。

  • Replay attacks—重放攻击是一种网络攻击,有效数据传输在其中恶意重复或以欺诈方式重复或延迟。当重放攻击发生时,您可以将设备配置为生成系统报警。

以下情形中包含 syslog 消息:

  • 失败的对称密钥生成

  • 失败的非对称关键一代

  • 手动密钥分配失败

  • 自动化密钥分配失败

  • 密钥销毁失败

  • 密钥处理和存储故障

  • 数据加密或解密失败

  • 签名失败

  • 失败的密钥协议

  • 失败的加密散列

  • IKE 故障

  • 收到的数据包身份验证失败

  • 填充内容无效导致的解密错误

  • 从远程 VPN 对等设备接收的证书的备选主题字段中指定的长度不匹配。

会根据 syslog 消息发出报警。记录每个故障,但仅在达到阈值时才会生成报警。

要查看报警信息,请运行 命令 show security alarms 。违反情况计数且报警不会在系统重新启动时持续存在。重新启动后,违例计数将重置为零,并且报警从报警队列中清除。

采取相应操作后,可以清除报警。报警将保留在队列中,直至您清除(或在重新启动设备之前)。要清除报警,请运行 clear security alarms 命令。

了解 VPN 监控

VPN 监控使用 ICMP 回应请求(或 ping)来确定 VPN 隧道是否正常运行。启用 VPN 监控后,安全设备将通过 VPN 隧道的 ping 发送至对等网关或通道另一端的指定目标。默认情况下,会默认发送 Ping,间隔为 10 秒,最多可以连续发送 10 次。如果连续 10 次 ping 后未收到回复,则 VPN 被视为已关闭且 IPsec 安全关联 (SA) 将被清除。

通过在 [edit security ipsec vpn vpn-name] 层次结构级别配置vpn-monitor选项,为指定的 VPN 启用 VPN 监控。对等网关的 IP 地址是默认目标;但是,您可以在隧道另一端指定不同的目标 IP 地址(例如服务器)。本地 隧道端点 是默认源接口,但您可以指定不同的接口名称。

SRX5400、SRX5600 和 SRX5800 设备不支持对外部连接的设备(如 PC)进行 VPN 监控。VPN 监控目标必须是 SRX5400、SRX5600 或 SRX5800 设备上的本地接口。

只有当有传出流量且没有通过 VPN 隧道的传入流量时,VPN 监控 optimized 选项才会发送 ping。如果通过 VPN 隧道有传入流量,安全设备会认为隧道处于活动状态,并且不会向对等方发送 ping。配置 optimized 选项可以保存安全设备上的资源,因为 ping 仅在需要确定对等方活力时才会发送。发送 ping 还可以激活成本高昂的备份链路,否则不会使用。

您可配置发送 ping 的间隔时间以及在将 VPN 视为停机之前发送的连续 ping 数,而无需回复。这些interval配置分别在 [edit security ipsec vpn-monitor-options] 层次结构级别和threshold选项中。

如果对等方不根据数据包的源或目标 IP 地址接受 ping 数据包,VPN 监控可能导致某些 VPN 环境中的隧道翻动。

了解 IPsec 数据路径验证

概述

默认情况下,在基于路由的 VPN 中以点对点模式配置的安全隧道 (st0) 接口的状态基于 VPN 隧道的状态。建立 IPsec SA 后不久,将将与 st0 接口关联的路由安装在 Junos OS 转发表中。在某些网络拓扑中,如传输防火墙位于 VPN 隧道端点之间的位置,使用活动路由在 st0 接口上建立的 VPN 隧道的 IPsec 数据流量可能会被传输防火墙阻止。这可能导致流量丢失。

启用 IPsec 数据路径验证时,st0 接口在验证数据路径之前不会启动并激活。验证 set security ipsec vpn vpn-name vpn-monitor verify-path 配置了基于路由、站点到站点和动态端点 VPN 隧道的语句。

如果对等隧道端点前面有 NAT 设备,则对等隧道端点的 IP 地址将转换为 NAT 设备的 IP 地址。要使 VPN 监控 ICMP 请求到达对等方隧道端点,您需要明确指定 NAT 设备后面对等隧道端点的原始未转换 IP 地址。此配置为 set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip 配置。

从 Junos OS 15.1X49-D120 版开始,您可以配置在接口启动之前 st0 用于验证 IPsec 数据路径的数据包的大小。set security ipsec vpn vpn-name vpn-monitor verify-path packet-size使用配置。可配置的数据包大小范围为 64 到 1350 字节;默认值为 64 字节。

警告

可为 VPN 监控操作配置的源接口和目标 IP 地址对 IPsec 数据路径验证没有影响。IPsec 数据路径验证中 ICMP 请求的来源是本地隧道端点。

启用 IPsec 数据路径验证时,VPN 监控会自动激活,并在建立 st0 接口后使用。只要您启用 IPsec 数据路径验证,我们建议您使用 命令配置 VPN 监控器优化选项 set security ipsec vpn vpn-name vpn-monitor optimized

如果在 IPsec 数据路径验证期间发生机箱群集故障转移,新的活动节点将再次启动验证。st0 接口在验证成功之前不会激活。

不对 IPsec SA 重新密钥执行 IPsec 数据路径验证,因为重新密钥的 st0 接口状态不会更改。

在用于 AutoVPN、自动发现 VPN 和多个流量选择器的点对多点模式配置的 st0 接口上,不支持 IPsec 数据路径验证。VPN 监控和 IPsec 数据路径验证不支持 IPv6 地址,因此 IPsec 数据路径验证不能与 IPv6 隧道配合使用。

了解全球 SPI 和 VPN 监控功能

您可以使用以下全局 VPN 功能监控和维护 VPN 的有效运行:

  • SPI— 安全关联 (SA) 中的对等方可能会在其中一个对等方发生故障时变得未同步。例如,如果其中一个对等方重新启动,则可能会发送错误的安全参数索引 (SPI)。您可以让设备检测到此类事件,并通过配置不良 SPI 响应功能重新调整对等方的同步。

  • VPN 监控 — 您可以使用全局 VPN 监控功能定期向对等方发送互联网控制消息协议 (ICMP) 请求,以确定是否可访问对等方。

了解 VPN 监控和 DPD

SRX 系列设备上提供 VPN 监控和失效对等方检测 (DPD) 功能,用于验证 VPN 对等设备的可用性。本节比较了这些功能的操作和配置。

即使未在设备上配置 DPD,SRX 系列设备也会响应 VPN 对等方发送的 DPD 消息。您可以配置 SRX 系列设备,以便向 VPN 对等方发起 DPD 消息。您也可配置 DPD 和 VPN 监控,以便在同一 SRX 系列设备上同时运行,但是可使用任一方法监控的对等方数量减少了。

VPN 监控是一种 Junos OS 机制,仅监控第 2 阶段安全关联 (SA)。VPN 监控按 VPN 启用, vpn-monitor 语句在 [edit security ipsec vpn vpn-name] 层次结构级别。必须指定目标 IP 和源接口。该 optimized 选项允许设备使用流量模式作为对等实时性的证据;ICMP 请求被抑制。

VPN 监控选项在 [edit security ipsec] 层次结构级别使用语句配置vpn-monitor-options。这些选项适用于启用 VPN 监控的所有 VPN。您可以配置的选项包括将 ICMP 请求发送至对等方的间隔(默认为 10 秒),以及在对等方被视为不可访问之前连续发送的 ICMP 请求数(默认是连续 10 次请求)。

DPD 是 RFC 3706 的一种 实施,这是一种基于流量的不工作互联网密钥交换 (IKE) 对等方检测方法。它在 IKE 级别运行,并基于 IKE 和 IPsec 流量活动监控对等方。

DPD 在单个 IKE 网关上配置, dead-peer-detection 语句位于 [edit security ike gateway gateway-name] 层次结构级别。您可以配置 DPD 操作模式。如果在配置的间隔内没有传入 IKE 或 IPsec 流量,则默认(已优化)模式会向对等方发送 DPD 消息。其他可配置选项包括 DPD 消息发送至对等方的间隔(默认为 10 秒),以及在对等方被视为不可用之前连续发送的 DPD 消息数(默认是连续五次请求)。

了解失效对等方检测

死对等方检测 (DPD) 是网络设备用来验证其他对等设备当前存在和可用性的方法。

您可以使用 DPD 作为 VPN 监控的替代项。VPN 监控适用于单个 IPsec VPN,而 DPD 仅在单个 IKE 网关环境中配置。

设备执行 DPD 验证,方法是向对等方发送加密的 IKE 第 1 阶段通知有效负载 (R-U-THERE 消息),并等待对等方的 DPD 确认(R-U-THERE-ACK 消息)。只有当设备在指定的 DPD 间隔内未收到来自对等方的任何信息流时,设备才会发送 R-U-THERE 消息。如果设备在此间隔期间收到来自对等方的 R-U-THERE-ACK 消息,则会认为对等方还活着。如果设备从对等方接收到隧道上的流量,则会重置其用于该隧道的 R-U-THERE 消息计数器,从而启动新的间隔。如果设备在间隔期间未收到 R-U-THERE-ACK 消息,则会认为对等方已死亡。当设备将对等设备的状态更改为无效时,设备将移除该对等方的第 1 阶段安全关联 (SA) 和所有第 2 阶段 SA。

SRX 系列设备支持以下 DPD 模式:

  • 经过优化 — 在设备向对等方发送传出数据包后,如果配置的间隔内没有传入 IKE 或 IPsec 流量,将触发 R-U-THE 消息。这是默认模式。

  • 探测空闲隧道 — 如果配置的间隔内没有传入或传出 IKE 或 IPsec 流量,将触发 R-U-THERE 消息。R-U-THERE 消息会定期发送至对等方,直至有流量活动。此模式有助于早期检测被关闭的对等方,并使隧道可用于数据流量。

    为 VPN 配置多个流量选择器时,可为同一 IKE SA 建立多个隧道。在这种情况下,探测器空闲隧道模式会触发与 IKE SA 关联的任何隧道出现空闲时要发送的 R-U-THERE 消息,即使同一 IKE SA 的另一隧道中可能存在流量。

  • 始终发送 — R-U-THERE 消息以配置的时间间隔发送,而无需考虑对等方之间的流量活动。

    建议使用探查空闲隧道模式,而不是模式 always-send

DPD 时间表一旦建立第 1 阶段 SA 即处于活动状态。IKEv1 和 IKEv2 协议的 DPD 行为相同。

您可以配置以下 DPD 参数:

  • 间隔参数指定设备从其对等方等待信息流的时间量(以秒为单位表示),然后再发送 R-U-THERE 消息。默认间隔为 10 秒。从 Junos OS 15.1X49-D130 版本开始,R-U-THERE 消息发送至对等设备的允许间隔参数范围从 10 至 60 秒缩短至 2 秒至 60 秒。如果设置的 DPD 间隔参数少于 10 秒,则最低阈值参数应为 3。

  • 阈值参数指定在考虑对等方死亡之前发送 R-U-THERE 消息时没有对等方响应的最大次数。默认传输次数为五倍,允许的距离为 1 到 5 重构。

在配置 DPD 之前,请注意以下注意事项:

  • 如果将 DPD 配置添加到具有活动隧道的现有网关中,将启动 R-U-THERE 消息,而无需清除第 1 阶段或第 2 阶段 SA。

  • 从带活动隧道的现有网关中删除 DPD 配置时,将停止为隧道发送 R-U-THERE 消息。IKE 和 IPsec SA 不受影响。

  • 修改任何 DPD 配置选项,例如模式、间隔或阈值,无需清除第 1 阶段或第 2 阶段 SA 即可更新 DPD 操作。

  • 如果 IKE 网关配置了 DPD 和 VPN 监控,但是未配置立即建立隧道的选项,则 DPD 不会启动第 1 阶段协商。配置 DPD 时,还必须同时配置建立隧道选项,以便在无第 1 阶段和第 2 阶段 SA 可用时拆除 st0 接口。

  • 如果 IKE 网关配置了多个对等 IP 地址和 DPD,但是无法将第 1 阶段 SA 建立到第一个对等方 IP 地址,则会尝试使用下一个对等 IP 地址建立第 1 阶段 SA。DPD 仅在第 1 阶段 SA 建立后才处于活动状态。

  • 如果 IKE 网关配置了多个对等 IP 地址和 DPD,但 DPD 因当前对等方的 IP 地址出现故障,将清除第 1 阶段和第 2 阶段 SA,并触发下一个对等 IP 地址的故障切换。

  • 由于同时协商,同一对等方可以存在多个第 1 阶段或第 2 阶段 SA。在这种情况下,R-U-THERE 消息会在所有第 1 阶段 SA 上发送。如果连续数次未收到 DPD 响应,将清除第 1 阶段 SA 和关联的第 2 阶段 SA(仅适用于 IKEv2)。

了解隧道事件

出现与 VPN 相关的网络问题时,隧道出现后,只会跟踪隧道状态。在隧道出现之前,可能会出现许多问题。因此,现在无需仅跟踪隧道状态、隧道关闭问题或协商失败,而是跟踪成功事件,如成功的 IPsec SA 协商、IPsec 重新密钥和 IKE SA 重新密钥。这些事件称为隧道事件。

对于第 1 阶段和第 2 阶段,会跟踪给定隧道的协商事件以及在外部守护程序(如 AUTHD 或 PKID)中发生的事件。当隧道事件发生多次时,只有一个条目与更新的时间和事件发生的次数保持。

总的来说,跟踪了 16 个事件:第 1 阶段的 8 个活动和第 2 阶段的 8 个活动。某些事件会再次发生并填满事件内存,从而导致重要事件被移除。为避免覆盖,除非隧道中断,否则不会存储事件。

以下特殊事件属于以下类别:

  • IPsec SA 用千字节过期的生存期

  • IPsec SA 的硬生存期已过期

  • IPsec SA 删除从对等方接收的有效负载,对应的 IPsec SA 已清除

  • 清除未使用的冗余备份 IPsec SA 对

  • 已删除相应 IKE SA 时清除的 IPsec SA

自动VPN 隧道会动态创建和移除,因此与这些隧道对应的隧道事件的寿命很短。有时,这些隧道事件无法与任何隧道相关联,因此系统日志被用于调试。

示例:将可听见的警报设置为安全报警通知

此示例说明如何在发生新安全事件时配置设备以生成系统警报蜂鸣声。默认情况下,未听到报警。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500 设备和 vSRX 实例支持此功能。

要求

配置此功能之前,无需设备初始化以外的特殊配置。

概述

在此示例中,您设置一个可听见的蜂鸣声以响应安全报警。

配置

程序

逐步过程

要设置可听见的报警:

  1. 启用安全报警。

  2. 指定要通过可听见的蜂鸣声通知您安全报警。

  3. 如果完成设备配置,请提交配置。

验证

要验证配置是否正常工作,请输入 show security alarms detail 命令。

示例:生成安全警报以响应潜在的违规行为

此示例说明如何在发生潜在违规时配置设备以生成系统报警。默认情况下,发生潜在违规时不会引发报警。SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500 设备和 vSRX 实例支持此功能。

要求

配置此功能之前,无需设备初始化以外的特殊配置。

概述

在此示例中,当:

  • 身份验证故障数超过 6。

  • 加密自我测试失败。

  • 非加密自我测试失败。

  • 关键一代自我测试失败。

  • 加密故障数超过 10。

  • 解密故障数超过 1。

  • IKE 第 1 阶段故障数超过 10。

  • IKE 第 2 阶段故障的数量超过 1。

  • 将发生重放攻击。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制并粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要针对潜在的违规行为配置报警:

  1. 启用安全报警。

  2. 指定在发生身份验证故障时应报警。

  3. 指定在发生加密自我测试故障时应报警。

  4. 指定在发生非加密自我测试故障时应报警。

  5. 指定在发生关键一代自我测试故障时应报警。

  6. 指定在发生加密故障时应报警。

  7. 指定在发生解密故障时应报警。

  8. 指定在发生 IKE 第 1 阶段故障时应报警。

  9. 指定在发生 IKE 第 2 阶段故障时应报警。

  10. 指定在发生重放攻击时应报警。

结果

在配置模式下,输入 show security alarms 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 commit

验证

要确认配置在操作模式下正常工作,请输入 show security alarms 命令。

发布历史记录表
版本
说明
15.1X49-D130
从 Junos OS 15.1X49-D130 版本开始,R-U-THERE 消息发送至对等设备的允许间隔参数范围从 10 至 60 秒缩短至 2 秒至 60 秒。如果设置的 DPD 间隔参数少于 10 秒,则最低阈值参数应为 3。
15.1X49-D120
从 Junos OS 15.1X49-D120 版开始,您可以配置在接口启动之前 st0 用于验证 IPsec 数据路径的数据包的大小。