Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fehlerbehebung bei Sicherheitsgeräten

Fehlerbehebung bei der DNS-Namensauflösung in Sicherheitsrichtlinien logischer Systeme (nur primäre Administratoren)

Problem

Beschreibung

Die Adresse eines Hostnamens in einem Adressbucheintrag, der in einer Sicherheitsrichtlinie verwendet wird, kann möglicherweise nicht ordnungsgemäß aufgelöst werden.

Ursache

Normalerweise werden Adressbucheinträge, die dynamische Hostnamen enthalten, für Firewalls der SRX-Serie automatisch aktualisiert. Das TTL-Feld, das einem DNS-Eintrag zugeordnet ist, gibt die Zeit an, nach der der Eintrag im Richtliniencache aktualisiert werden soll. Sobald der TTL-Wert abläuft, aktualisiert die Firewall der SRX-Serie automatisch den DNS-Eintrag für einen Adressbucheintrag.

Wenn die Firewall der SRX-Serie jedoch keine Antwort vom DNS-Server erhalten kann (z. B. weil die DNS-Anforderung oder das DNS-Antwortpaket im Netzwerk verloren geht oder der DNS-Server keine Antwort senden kann), kann die Adresse eines Hostnamens in einem Adressbucheintrag möglicherweise nicht korrekt aufgelöst werden. Dies kann dazu führen, dass der Datenverkehr zurückgeht, da keine Übereinstimmung mit der Sicherheitsrichtlinie oder -sitzung gefunden wird.

Lösung

Der primäre Administrator kann den Befehl verwenden, um DNS-Cache-Informationen auf der Firewall der SRX-Serie anzuzeigen.show security dns-cache Wenn die DNS-Cache-Informationen aktualisiert werden müssen, kann der primäre Administrator den Befehl verwenden.clear security dns-cache

HINWEIS:

Diese Befehle stehen nur dem primären Administrator auf Geräten zur Verfügung, die für logische Systeme konfiguriert sind. Dieser Befehl ist in logischen Benutzersystemen oder auf Geräten, die nicht für logische Systeme konfiguriert sind, nicht verfügbar.

Fehlerbehebung bei Sicherheitsrichtlinien

Synchronisieren von Richtlinien zwischen Routing-Engine und Paketweiterleitungs-Engine

Problem

Beschreibung

Sicherheitsrichtlinien werden in der Routing-Engine und der Paketweiterleitungs-Engine gespeichert. Sicherheitsrichtlinien werden von der Routing-Engine an die Paketweiterleitungs-Engine übertragen, wenn Sie Konfigurationen bestätigen. Wenn die Sicherheitsrichtlinien der Routing-Engine nicht mit der Paketweiterleitungs-Engine synchronisiert sind, schlägt der Commit einer Konfiguration fehl. Core-Dump-Dateien können generiert werden, wenn der Commit wiederholt versucht wird. Die Störung der Synchronisierung kann folgende Ursachen haben:

  • Eine Richtliniennachricht von der Routing-Engine an die Paketweiterleitungs-Engine geht während der Übertragung verloren.

  • Ein Fehler mit der Routing-Engine, z. B. eine wiederverwendete Richtlinien-UID.

Infrastruktur

Die Richtlinien in der Routing-Engine und der Paketweiterleitungs-Engine müssen synchron sein, damit die Konfiguration festgeschrieben werden kann. Unter bestimmten Umständen können die Richtlinien in der Routing-Engine und der Paketweiterleitungs-Engine jedoch nicht synchron sein, was dazu führt, dass der Commit fehlschlägt.

Symptome

Wenn die Richtlinienkonfigurationen geändert werden und die Richtlinien nicht synchron sind, wird die folgende Fehlermeldung angezeigt: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

Lösung

Verwenden Sie den Befehl, um den Prüfsummenwert der Sicherheitsrichtlinie anzuzeigen, und verwenden Sie den Befehl, um die Konfiguration der Sicherheitsrichtlinien in der Routing-Engine und der Paketweiterleitungs-Engine zu synchronisieren, wenn die Sicherheitsrichtlinien nicht synchron sind.show security policies checksumrequest security policies resync

Überprüfen eines Fehlers bei der Festschreibung einer Sicherheitsrichtlinie

Problem

Beschreibung

Die meisten Richtlinienkonfigurationsfehler treten während eines Commits oder zur Laufzeit auf.

Commit-Fehler werden direkt in der CLI gemeldet, wenn Sie den CLI-Befehl im Konfigurationsmodus ausführen.commit-check Bei diesen Fehlern handelt es sich um Konfigurationsfehler, und Sie können die Konfiguration nicht bestätigen, ohne diese Fehler zu beheben.

Lösung

Gehen Sie wie folgt vor, um diese Fehler zu beheben:

  1. Überprüfen Sie Ihre Konfigurationsdaten.

  2. Öffnen Sie die Datei /var/log/nsd_chk_only. Diese Datei wird jedes Mal überschrieben, wenn Sie eine Commit-Prüfung durchführen, und enthält detaillierte Fehlerinformationen.

Überprüfen eines Sicherheitsrichtlinien-Commits

Problem

Beschreibung

Wenn Sie nach dem Ausführen eines Commits für die Richtlinienkonfiguration feststellen, dass das Systemverhalten nicht korrekt ist, führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

Lösung

  1. Betriebsbefehle : Führen Sie die Betriebsbefehle für Sicherheitsrichtlinien aus und überprüfen Sie, ob die in der Ausgabe angezeigten Informationen mit Ihren Erwartungen übereinstimmen.show Ist dies nicht der Fall, muss die Konfiguration entsprechend geändert werden.

  2. Traceoptions: Legen Sie den Befehl in Ihrer Richtlinienkonfiguration fest.traceoptions Die Flags unter dieser Hierarchie können gemäß der Benutzeranalyse der Befehlsausgabe ausgewählt werden.show Wenn Sie nicht bestimmen können, welches Flag verwendet werden soll, kann die Option flag verwendet werden, um alle Ablaufverfolgungsprotokolle zu erfassen.all

Sie können auch einen optionalen Dateinamen konfigurieren, um die Protokolle zu erfassen.

Wenn Sie in den Trace-Optionen einen Dateinamen angegeben haben, können Sie in /var/log/&lt;filename> nach der Protokolldatei suchen, um festzustellen, ob Fehler in der Datei gemeldet wurden. (Wenn Sie keinen Dateinamen angegeben haben, lautet der Standarddateiname eventd.) Die Fehlermeldungen geben den Ort des Fehlers und die entsprechende Ursache an.

Nachdem Sie die Ablaufverfolgungsoptionen konfiguriert haben, müssen Sie die Konfigurationsänderung, die das falsche Systemverhalten verursacht hat, erneut bestätigen.

Debuggen der Richtliniensuche

Problem

Beschreibung

Wenn Sie über die richtige Konfiguration verfügen, aber ein Teil des Datenverkehrs fälschlicherweise verworfen oder zugelassen wurde, können Sie das Flag in den Trace-Optionen für Sicherheitsrichtlinien aktivieren.lookup Das Flag protokolliert die ablaufverfolgungsbezogenen Ablaufverfolgungen in der Ablaufverfolgungsdatei.lookup

Lösung