本页内容
常见问题
本主题包含有关瞻博网络 Security Director Cloud 的常见问题解答。如需了解有关该产品的更多信息,请参阅瞻博网络 Security Director 云用户指南。
为什么我添加的设备没有被发现?
由于多种原因,例如管理接口关闭、Juniper Security Director Cloud FQDN 无法解析,或者所需端口已关闭,可能无法手动发现通过全自动部署手动添加的设备。
要确保成功发现设备,请检查以下各项:
-
带内管理接口已启动,并配置了访问瞻博网络 Security Director Cloud FQDN 的路由。
-
发送到瞻博网络 Security Director Cloud 的数据包中的源 IP 是正确的。
-
在设备上配置了 Google DNS 或您自己的 DNS,用于解析瞻博网络 Security Director Cloud FQDN,可从设备访问。
-
防火墙过滤器配置正确。
-
所需端口为开放端口。有关详细信息,请参阅 Juniper Security Director Cloud 发行说明 。
为什么未发现使用 CLI 配置的设备?
可能出于多种原因无法发现通过采用设备方法使用 CLI 配置的设备。
要确保成功发现使用 CLI 配置的设备,请执行以下操作:
-
检查发送至瞻博网络 Security Director Cloud 的数据包中的源 IP 是否正确。
-
检查防火墙过滤器配置是否正确。
-
删除允许用户无需密码登录的 CLI 配置。例如,必须在 AWS 上部署的 vSRX 系列设备中移除以下 CLI 配置:
集组 aws 默认系统服务 ssh no-密码
为什么我的设备显示“未配置”作为名称?
未配置设备的主机名时,设备名称显示为“未配置”。采用设备方法不提供配置设备主机名的选项。
在 SRX >设备管理>配置模板中使用 HOSTNAME 模板配置设备的主机名。
配置主机名和部署设备后,设备名称会正确显示。
为什么我的设备显示“srxXXXXXXXX”作为名称?
未配置设备的主机名时,设备名称显示为“srxXXXXX”。采用设备方法确实提供了配置设备主机名的选项,如果没有主机名,就无法部署防火墙策略。
使用以下一种方法配置主机名:
- 在 SRX >设备管理>配置模板中使用 HOSTNAME 模板配置设备的主机名。
- 使用 CLI 直接在设备上配置主机名。
配置主机名并部署设备和防火墙策略后,设备名称会正确显示。
为什么在设备发现操作期间未导入 CA 证书?
在设备发现操作期间导入 CA 证书可能会因为多种原因而失败。
要确保成功导入 CA 证书,请执行以下操作:
- 确保原始设备配置未修改。
- 确保设备没有冲突的 CA 配置文件或具有“sd_cloud_ca”证书名称的现有证书。
- 确保在提交 CLI 模式更改或向接口分配以太网交换机时,设备上的 CLI 配置不会显示任何 Commit 警告。
- 请确保设备未在另一个瞻博网络 Security Director Cloud 组织中配置。
- 删除设备上的数字证书的以下安全 PKI 配置:
-
设置安全 pki ca 配置文件sd_cloud_ca ca 身份sd_cloud_ca
-
设置安全 pki ca 配置文件sd_cloud_ca ca 身份sd_cloud_local
-
为什么设备删除作业会失败?
只有当设备的状态为“运行”或“同步”时,设备才能从“设备”页面中删除。
要删除状态为“关闭”或“不同步”的设备,将设备的状态更改为“使用同一配置版本运行”,然后删除该设备。
如果无法将设备的状态更改为“运行”,请联系 JTAC,获取使用 API 删除设备的帮助。您可以使用 JTAC 在 Web 上或通过电话创建服务请求。
-
致电 1-888-314-JTAC(1-888-314-5822 在美国、加拿大和墨西哥)。
有关无免费电话的国家/地区的国际或直拨选项,请参阅 https://support.juniper.net/support/requesting-support/。
为什么即使在删除 Active Directory 配置文件后也未删除我的设备配置?
如果未提交配置更改,或者直接在设备上修改了配置更改,则设备配置可能不会被删除。
要手动删除设备配置,请使用 CLI 在编辑模式下登录设备并提交以下配置:
删除服务用户识别 active-directory-access
为什么无法使用监控日志分析数据?
如果未配置日志记录或应用日志记录配置,因为设备发现过程中未部署所需证书,因此日志分析数据可能无法在仪表板、事件查看器和应用程序可见性页面上使用。
要验证日志配置,请执行以下操作:
- 使用设备 ILP 页面验证安全日志配置是否已推送到设备。
-
请执行以下操作,为设备启用安全日志记录:
- 单击 SRX > 设备管理 > 设备。
- 单击 启用安全日志 以打开启用安全日志页面。
-
选择设备接口,然后单击 OK 以创建部署作业。
-
使用以下命令检查瞻博网络 Security Director Cloud 中部署 ca 证书和部署-ca-local-证书作业的状态:
CA 证书 — 显示安全 pki ca-证书
本地证书 — 显示安全 pki 本地证书
为什么“启用安全日志”页面未显示我的所有设备?
“启用安全日志”页面仅显示由瞻博网络 Security Director Cloud 管理并具有“同步”状态的设备。默认情况下,页面还显示仅已配置设备的过滤列表。
请执行以下操作:
- 检查设备状态是否为“同步”。“启用安全日志”页面仅显示已同步的设备。
- 如果所有设备均已同步,请检查设备列表是否已过滤。从“分组方式”下拉列表中选择 “全部 ”,查看完整的设备列表。
- 如果仍未看到完整的设备列表,请使用瞻博网络 Security Director Cloud 对设备进行重新编排。
配置安全日志记录后,为什么也缺少日志分析数据?
如果无法访问 Juniper Security Director Cloud 负载平衡器,则日志分析数据可能会丢失。
要验证是否可以访问瞻博网络 Security Director Cloud 进行 TLS 安全日志记录,请执行以下操作:
- 使用 CLI 连接到设备。
- 使用以下命令检查设备上的端口 6514 是否打开 — telnet srx.sdcloud.juniperclouds.net 6514
-
使用以下命令检查通过端口 6514 的安全会话数据流 — 显示安全流会话目标端口 6514
每次通过 TLS 将新会话日志发送到瞻博网络 Security Director Cloud 时,安全会话包含数据,并且数据流的字节数都会增加。
- 请确保为 SecureCRT 配置中的设备选择了正确的接口。
- 确保安全日志、安全 PKI 和 SSL 服务不会从设备中停用。
- 确保防火墙规则上启用了日志会话 init 和会话关闭,以查看RT_FLOW日志。
-
如果仍然看不到日志分析数据,请使用以下命令从设备正常重新启动安全日志记录重新启动安全日志
为什么我的设备的部署失败,并显示“语句创建失败”消息?
设备部署失败有多种原因,例如设备配置未与瞻博网络 Security Director Cloud 同步。
要确保设备部署成功,请执行以下操作:
- 如果配置直接在设备上更改,但未与瞻博网络 Security Director Cloud 同步,请重新同步设备。
- 如果分配给设备的多个策略包含类似的规则,请删除名称相同的规则。
为什么我在 IPS 策略规则窗口上看不到“保存”和“关闭”按钮?
如果不保存 IPS 策略规则并选择“否”以离开窗口,则“保存 ”(✓) 和关闭 (x) 按钮可能不可见。
要确保保存和关闭按钮始终可见,请单击关闭按钮关闭左侧导航窗格。
为什么不导入 IPS、内容安全和 SSL 配置文件的默认配置?
防火墙策略的全局设置在组织级别应用。对这些设置的修改会影响使用 IPS、内容安全和 SSL 配置文件启用防火墙规则的所有设备策略,因此默认冲突解决选项设置为“保留现有”,以避免在自动导入操作期间发生冲突。OCR 操作的默认“保持现有”设置可能会阻止在设备配置的自动导入操作期间导入 IPS、内容安全和 SSL 配置文件的默认配置。
要确保在自动导入操作期间成功导入 IPS、内容安全和 SSL 配置文件的默认配置,请执行以下操作之一:
- 使用全局设置更改默认 IPS、内容安全和 SSL 配置文件中的 OCR 操作,以使用导入的值覆盖并再次部署策略。
- 手动导入设备配置。手动导入操作会触发冲突解决选项,您可以在其中将 OCR 操作更改为使用导入的值覆盖。
为什么我的设备部署失败并标有“未找到匹配成员”。组为空。“配置动态 IPS 签名组后收到消息?
当可用 IPS 签名与过滤条件不匹配时,在配置动态 IPS 签名组后,设备部署失败。
要确保设备部署成功,请执行以下操作:
- 请确保在设备中下载 IPS 签名。
- 使用页面底部的“预览过滤签名”选项检查动态 IPS 签名组中的过滤器,并确保过滤器标准与可用的 IPS 签名匹配。
为什么设备上的 SSL 代理配置文件部署失败?
SSL 代理配置文件部署失败的原因有很多。
为了确保 SSL 代理配置文件部署成功,在部署配置文件之前,请执行以下操作,检查是否将瞻博网络 Security Director Cloud 中选择的根证书和可信 CA 证书导入设备中:
-
查看瞻博网络 Security Director Cloud 上的证书。
- 单击 SRX > 设备管理 > 设备。
- 单击该设备以打开设备页面。
- 单击 库存 > 证书。
-
查看设备上的证书。
- 使用 CLI 连接到设备。
- 使用以下 CLI 命令查看设备上的根目录 — 显示安全本地证书
-
使用以下 CLI 命令查看设备上的可信 CA 证书 — 显示安全 pki ca 证书
为什么我设备上的内容安全配置文件部署失败?
内容安全配置文件部署失败的原因有很多,例如,未安装内容安全许可证。
要确保成功部署内容安全配置文件,请执行以下操作:
- 使用 CLI 连接到设备。
-
使用以下命令检查设备上是否安装了内容安全许可证 — 显示系统许可证详细信息
-
使用以下命令检查是否通过使用内容安全配置文件配置的策略处理流量如何显示安全策略命中次数
-
使用以下命令检查内容安全对象(如 Web 过滤、防病毒、反垃圾邮件和内容过滤)是否具有有助于确定允许列表、阻止列表、自定义类别、病毒和垃圾邮件邮件命中数显示安全<utm 对象>统计信息
为什么应用程序未在“应用程序签名”页面上列出?
应用程序签名必须下载在瞻博网络 Security Director 云中。当有新的签名版本可用时,SRE 管理员将下载签名。
为什么映像管理任务会失败?
当网络下载到瞻博网络 Security Director Cloud 的速度低于 500Kbps 时,映像管理任务(如阶段、部署和升级)可能会失败。
在组织级别使用“图片”页面添加图像并执行其他映像管理操作。
为什么 IPS、内容安全、应用程序签名包安装失败?
当到瞻博网络 Security Director 云的网络下载速度低于 500Kbps 时,设备上的 IPS、内容安全、应用程序签名包安装可能会失败。
- 一段时间后,再次尝试安装 IPS、内容安全、应用程序签名包。
-
如果签名安装仍然失败,请使用 CLI 连接到设备,然后使用以下命令手动安装签名 — 请求安全 utm Web 过滤类别 download-install
出现“找不到类别文件”消息时,为什么 URL 类别安装失败?
由于 DNS 解析出现问题,设备中的 URL 类别安装可能会失败。
要确保成功安装 URL 类别,请使用以下预定义或默认路径进行安装: http://update.juniper-updates.net/EWF/
为什么单击帐户激活链接会生成无效的请求消息?
显示无效请求消息,因为激活链接将在 24 小时内过期。
如果您未在 24 小时内激活瞻博网络 Security Director 云帐户,瞻博网络 Security Director Cloud 会清除未激活其帐户的用户。
我可以在哪里查看用户活动日志?
用户活动日志可在 管理 > 审计日志上查看。
为什么新用户没有收到激活电子邮件?
当来自瞻博网络 Security Director Cloud 的电子邮件被组织网络阻止时,新用户可能不会收到激活电子邮件。
要确保贵组织中的用户收到激活电子邮件,请验证瞻博网络 Security Director 云电子邮件是否会被贵组织网络阻止。
为什么我安装的许可证无法立即看到?
只有重新同步设备后,已安装的许可证才会显示。
为了确保已安装的许可证立即可见,请使用瞻博网络 Security Director Cloud 重新同步设备。
为什么我导入的本地证书无法立即看到?
只有重新同步设备后,已安装的证书才可见。
为了确保导入的本地证书立即可见,请使用瞻博网络 Security Director Cloud 重新同步设备。
为什么映像升级工作非常慢?
如果在 Juniper Security Director Cloud 中使用 Junos 映像,则映像升级作业可能会变慢,因为映像会复制到设备,用于升级作业。所需时间取决于瞻博网络 Security Director Cloud 和设备之间网络连接的带宽容量。
为了确保 Junos 映像的快速升级工作,请从 support.juniper.net 创建下载 Junos 映像 URL 并使用 URl 升级映像。
如何为我的组织创建多个用户?
作为管理>用户与角色的组织管理员,您可以为您的组织创建具有不同角色的多个用户。
为什么在 IPsec VPN 监控页面上没有看到一些隧道关闭?
IPsec VPN 监控页面上的“顶级不稳定隧道”部分会显示根据所选时间跨度关闭的隧道过滤列表。如果列表中未包含隧道,则隧道的关闭时间可能比所选的时间范围长。
要显示已关闭隧道的完整列表,请在“顶部不稳定隧道”部分选择更长的时间范围。
为什么有些设备在导入 IPsec VPN 时被导入为外部网络设备?
设备可能与导入的 IPsec VPN 一起作为外部网络设备导入,原因多种。
要通过导入的 IPsec VPN 正确导入所有设备,请检查以下内容:
- 导入 IPsec VPN 时,已选择所有相关设备。
- 瞻博网络 Security Director Cloud 中和设备上的设备配置文件配置没有不匹配。
- 瞻博网络 Security Director Cloud 支持设备拓扑结构。
导入 IPsec VPN 时,为什么“导入 VPN”页面未显示我的设备?
“导入 VPN”页面仅显示具有“启动”和“同步”状态的设备。
要确保“导入 VPN”页面显示您的所有设备,请确保设备处于“启动”和“同步”状态。
为什么 IPsec VPN 监控页面不显示我的 VPN?
IPsec VPN 监控页面不支持以下 VPN:
- 中心辐射型自动发现 VPN
- 远程访问 VPN — 瞻博网络安全连接
- 自动 VPN
要验证 IPsec VPN 监控页面为何不显示您的 VPN,请检查是否支持 VPN 类型进行监控。
为什么 IPsec VPN 监控页面没有显示某些 VPN 的状态?
IPsec VPN 监控页面的“隧道状态”部分未显示某些 VPN 的状态有多种原因。
要确保隧道状态部分显示所有 VPN 的状态,请检查:
- 订阅与您的所有设备相关联
- VPN 部署在所有设备上。
- 所有设备的状态为“运行”和“同步”。
为什么 IPsec VPN 监控页面显示已关闭的 VPN 的“启动”状态?
IPsec VPN 监控页面的“隧道状态”部分会根据定期执行的状态轮询显示 VPN 隧道的状态,因此,如果 VPN 隧道的状态不正确,则隧道可能在进行轮询后出现故障。
要验证是否显示所有 VPN 隧道的正确状态,请等待进行轮询。默认情况下,每 10 分钟进行一次状态轮询。
为什么我的设备的运行状况未知?
设备页面仅显示具有订阅的设备的运行状况。
要确保“设备”页面显示设备的正确运行状况,请确保为设备分配试用或付费订阅。关联订阅几分钟后,将显示正确的运行状况。
为什么我的设备的运行状况显示为“没有可用数据”?
设备页面仅显示具有订阅的设备的状态。
要确保“设备”页面显示设备的正确运行状况,请确保为设备分配试用或付费订阅。关联订阅几分钟后,将显示正确的设备状态。
设备页面上的设备运行状况的更新频率如何?
“设备”页面上的运行状况状态设备每 15 分钟更新一次。瞻博网络 Security Director Cloud 会轮询组织内具有订阅的所有设备以获得 CPU、内存使用情况和存储使用情况数据。
如何检查设备的机箱详细信息?
机箱详细信息显示在设备特定的页面上。
要查看设备的机箱详细信息,请执行以下操作:
- 单击 SRX > 设备管理 > 设备 以打开设备页面。
- 单击“主机名”列中的设备名称,打开显示设备详细信息的设备专用页面。
如何查看设备的带宽速度?
带宽速度显示在设备特定的页面上。
要查看设备的带宽速度,请执行以下操作:
- 单击 SRX > 设备管理 > 设备 以打开设备页面。
- 单击“主机名”列中的设备名称,打开显示设备详细信息的设备专用页面。
- 单击“速度”列中显示带宽速度的库存>接口选项卡。
瞻博网络 Security Director 云提供多少存储空间?
瞻博网络 Security Director Cloud 为用户提供以下存储空间:
- 试用订阅 - 10GB 免费存储空间,最多 5 台设备。
- 付费订阅 — 根据设备订阅授权,为每个设备提供 10GB 免费存储空间,并可以选择购买每台价值 1TB 的多个存储订阅。例如,如果购买 10 个存储订阅,您将获得 10TB 的存储空间。
瞻博网络 Security Director Cloud 需要的最低带宽是多少?
瞻博网络 Security Director Cloud 无需特定的最低带宽。
带宽要求因执行的任务和正在进行的流程而异。例如,设备同步等进程取决于设备配置以及通过 syslog 通道发送的会话日志数量。但是,某些过程(如签名包安装和映像管理)需要至少 500Kbps 的带宽。