Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fehlerbehebung bei Sicherheitsgeräten

Fehlerbehebung bei der DNS-Namensauflösung in Sicherheitsrichtlinien logischer Systeme (nur primäre Administratoren)

Problem

Beschreibung

Die Adresse eines Hostnamens in einem Adressbucheintrag, der in einer Sicherheitsrichtlinie verwendet wird, kann möglicherweise nicht ordnungsgemäß aufgelöst werden.

Verursachen

Normalerweise werden Adressbucheinträge, die dynamische Hostnamen enthalten, für Firewalls der SRX-Serie automatisch aktualisiert. Das TTL-Feld, das einem DNS-Eintrag zugeordnet ist, gibt die Zeit an, nach der der Eintrag im Richtliniencache aktualisiert werden soll. Sobald der TTL-Wert abläuft, aktualisiert die Firewall der SRX-Serie automatisch den DNS-Eintrag für einen Adressbucheintrag.

Wenn die Firewall der SRX-Serie jedoch keine Antwort vom DNS-Server erhalten kann (z. B. weil die DNS-Anforderung oder das DNS-Antwortpaket im Netzwerk verloren geht oder der DNS-Server keine Antwort senden kann), kann die Adresse eines Hostnamens in einem Adressbucheintrag möglicherweise nicht korrekt aufgelöst werden. Dies kann dazu führen, dass der Datenverkehr zurückgeht, da keine Übereinstimmung mit der Sicherheitsrichtlinie oder -sitzung gefunden wird.

Lösung

Der primäre Administrator kann den show security dns-cache Befehl verwenden, um DNS-Cache-Informationen auf der Firewall der SRX-Serie anzuzeigen. Wenn die DNS-Cache-Informationen aktualisiert werden müssen, kann der primäre Administrator den clear security dns-cache Befehl verwenden.

HINWEIS:

Diese Befehle stehen nur dem primären Administrator auf Geräten zur Verfügung, die für logische Systeme konfiguriert sind. Dieser Befehl ist in logischen Benutzersystemen oder auf Geräten, die nicht für logische Systeme konfiguriert sind, nicht verfügbar.

Fehlerbehebung bei Sicherheitsrichtlinien

Synchronisieren von Richtlinien zwischen Routing-Engine und Paketweiterleitungs-Engine

Problem

Beschreibung

Sicherheitsrichtlinien werden in der Routing-Engine und der Paketweiterleitungs-Engine gespeichert. Sicherheitsrichtlinien werden von der Routing-Engine an die Paketweiterleitungs-Engine übertragen, wenn Sie Konfigurationen bestätigen. Wenn die Sicherheitsrichtlinien der Routing-Engine nicht mit der Paketweiterleitungs-Engine synchronisiert sind, schlägt der Commit einer Konfiguration fehl. Core-Dump-Dateien können generiert werden, wenn der Commit wiederholt versucht wird. Die Störung der Synchronisierung kann folgende Ursachen haben:

  • Eine Richtliniennachricht von der Routing-Engine an die Paketweiterleitungs-Engine geht während der Übertragung verloren.

  • Ein Fehler mit der Routing-Engine, z. B. eine wiederverwendete Richtlinien-UID.

Infrastruktur

Die Richtlinien in der Routing-Engine und der Paketweiterleitungs-Engine müssen synchron sein, damit die Konfiguration festgeschrieben werden kann. Unter bestimmten Umständen können die Richtlinien in der Routing-Engine und der Paketweiterleitungs-Engine jedoch nicht synchron sein, was dazu führt, dass der Commit fehlschlägt.

Symptome

Wenn die Richtlinienkonfigurationen geändert werden und die Richtlinien nicht synchron sind, wird die folgende Fehlermeldung angezeigt: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

Lösung

Verwenden Sie den show security policies checksum Befehl, um den Prüfsummenwert der Sicherheitsrichtlinie anzuzeigen, und verwenden Sie den request security policies resync Befehl, um die Konfiguration der Sicherheitsrichtlinien in der Routing-Engine und der Paketweiterleitungs-Engine zu synchronisieren, wenn die Sicherheitsrichtlinien nicht synchron sind.

Überprüfen eines Fehlers bei der Festschreibung einer Sicherheitsrichtlinie

Problem

Beschreibung

Die meisten Richtlinienkonfigurationsfehler treten während eines Commits oder zur Laufzeit auf.

Commit-Fehler werden direkt in der CLI gemeldet, wenn Sie den CLI-Befehl commit-check im Konfigurationsmodus ausführen. Bei diesen Fehlern handelt es sich um Konfigurationsfehler, und Sie können die Konfiguration nicht bestätigen, ohne diese Fehler zu beheben.

Lösung

Gehen Sie wie folgt vor, um diese Fehler zu beheben:

  1. Überprüfen Sie Ihre Konfigurationsdaten.

  2. Öffnen Sie die Datei /var/log/nsd_chk_only. Diese Datei wird jedes Mal überschrieben, wenn Sie eine Commit-Prüfung durchführen, und enthält detaillierte Fehlerinformationen.

Überprüfen eines Sicherheitsrichtlinien-Commits

Problem

Beschreibung

Wenn Sie nach dem Ausführen eines Commits für die Richtlinienkonfiguration feststellen, dass das Systemverhalten nicht korrekt ist, führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

Lösung

  1. Betriebsbefehle show : Führen Sie die Betriebsbefehle für Sicherheitsrichtlinien aus und überprüfen Sie, ob die in der Ausgabe angezeigten Informationen mit Ihren Erwartungen übereinstimmen. Ist dies nicht der Fall, muss die Konfiguration entsprechend geändert werden.

  2. Traceoptions: Legen Sie den traceoptions Befehl in Ihrer Richtlinienkonfiguration fest. Die Flags unter dieser Hierarchie können gemäß der Benutzeranalyse der show Befehlsausgabe ausgewählt werden. Wenn Sie nicht bestimmen können, welches Flag verwendet werden soll, kann die Option all flag verwendet werden, um alle Ablaufverfolgungsprotokolle zu erfassen.

Sie können auch einen optionalen Dateinamen konfigurieren, um die Protokolle zu erfassen.

Wenn Sie in den Trace-Optionen einen Dateinamen angegeben haben, können Sie in /var/log/<filename> nach der Protokolldatei suchen, um festzustellen, ob Fehler in der Datei gemeldet wurden. (Wenn Sie keinen Dateinamen angegeben haben, lautet der Standarddateiname eventd.) Die Fehlermeldungen geben den Ort des Fehlers und die entsprechende Ursache an.

Nachdem Sie die Ablaufverfolgungsoptionen konfiguriert haben, müssen Sie die Konfigurationsänderung, die das falsche Systemverhalten verursacht hat, erneut bestätigen.

Debuggen der Richtliniensuche

Problem

Beschreibung

Wenn Sie über die richtige Konfiguration verfügen, aber ein Teil des Datenverkehrs fälschlicherweise verworfen oder zugelassen wurde, können Sie das Flag lookup in den Trace-Optionen für Sicherheitsrichtlinien aktivieren. Das lookup Flag protokolliert die ablaufverfolgungsbezogenen Ablaufverfolgungen in der Ablaufverfolgungsdatei.

Lösung