Überwachung und Fehlerbehebung von Sicherheitsrichtlinien
Die Überwachung bietet eine Echtzeitpräsentation aussagekräftiger Daten, die den Status der Zugriffsaktivitäten in einem Netzwerk darstellen. Mit diesen Erkenntnissen können Sie die Betriebsbedingungen leicht interpretieren und beeinflussen. Die Fehlerbehebung bietet kontextbezogene Anleitungen für die Behebung von Zugriffsproblemen in Netzwerken. Auf diese Weise können Sie auf die Bedenken der Benutzer eingehen und zeitnah eine Lösung anbieten.
Grundlegendes zu Sicherheitsalarmen
Alarme werden ausgelöst, wenn Pakete aufgrund eines Richtlinienverstoßes verloren gehen. Ein Richtlinienverstoß liegt vor, wenn ein Paket mit einer Ablehnungs- oder Verweigerungsrichtlinie übereinstimmt. Ein Richtlinienverletzungsalarm wird generiert, wenn das System eines der folgenden überwachten Ereignisse überwacht:
Anzahl der Richtlinienverstöße durch eine Quellnetzwerkkennung innerhalb eines bestimmten Zeitraums
Anzahl der Richtlinienverstöße gegen eine Zielnetzwerkkennung innerhalb eines bestimmten Zeitraums
Anzahl der Richtlinienverstöße gegen eine Anwendung innerhalb eines bestimmten Zeitraums
Richtlinien, Regeln oder Gruppen von Regelverstößen innerhalb eines bestimmten Zeitraums
Es gibt vier Arten von Alarmen, die diesen vier Ereignissen entsprechen. Die Alarme basieren auf der Quell-IP, der Ziel-IP, der Anwendung und der Richtlinie.
Wenn ein Paket auf eine Ablehnungs- oder Verweigerungsrichtlinie trifft, werden die Zähler für Richtlinienverstöße für alle aktivierten Alarmtypen erhöht. Wenn ein Zähler den angegebenen Schwellenwert innerhalb eines bestimmten Zeitraums erreicht, wird ein Alarm generiert. Nach einem bestimmten Zeitraum wird der Zähler für Richtlinienverstöße zurückgesetzt und wiederverwendet, um einen weiteren Zählzyklus zu starten.
Um die Alarminformationen anzuzeigen, führen Sie den show security alarms Befehl aus. Die Anzahl der Verstöße und der Alarm bleiben auch nach einem Neustart des Systems nicht erhalten. Nach einem Neustart wird die Anzahl der Verstöße auf Null zurückgesetzt und der Alarm wird aus der Alarmwarteschlange gelöscht.
Nachdem Sie die entsprechenden Maßnahmen ergriffen haben, können Sie den Alarm löschen. Der Alarm verbleibt in der Warteschlange, bis Sie ihn löschen (oder bis Sie das Gerät neu starten). Um den Alarm zu löschen, führen Sie den clear security alarms Befehl aus. Nachdem Sie den Alarm gelöscht haben, kann eine nachfolgende Reihe von Verstößen gegen die Flussrichtlinie dazu führen, dass ein neuer Alarm ausgelöst wird.
Siehe auch
Beispiel: Generieren eines Sicherheitsalarms als Reaktion auf Richtlinienverstöße
In diesem Beispiel wird gezeigt, wie das Gerät so konfiguriert wird, dass es einen Systemalarm generiert, wenn ein Richtlinienverstoß auftritt. Standardmäßig wird kein Alarm ausgelöst, wenn ein Richtlinienverstoß auftritt.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.
Überblick
In diesem Beispiel konfigurieren Sie einen Alarm, der ausgelöst wird, wenn:
Die Anwendungsgröße beträgt 10240 Einheiten.
Die Quell-IP-Verletzung überschreitet innerhalb von 20 Sekunden 1000.
Die IP-Verletzungen des Ziels überschreiten innerhalb von 10 Sekunden 1000.
Der Verstoß gegen die Richtlinienübereinstimmung überschreitet 100 und hat eine Größe von 100 Einheiten.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die CLI ein, und wechseln Sie commit dann aus dem [edit] Konfigurationsmodus.
set security alarms potential-violation policy application size 10240 set security alarms potential-violation policy source-ip threshold 1000 duration 20 set security alarms potential-violation policy destination-ip threshold 1000 duration 10 set security alarms potential-violation policy policy-match threshold 100 size 100
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Alarme bei Richtlinienverstößen:
Aktivieren Sie Sicherheitsalarme.
[edit] user@host# edit security alarms
Geben Sie an, dass ein Alarm ausgelöst werden soll, wenn eine Anwendungsverletzung auftritt.
[edit security alarms potential-violation policy] user@host# set application size 10240
Geben Sie an, dass ein Alarm ausgelöst werden soll, wenn eine Verletzung der Quell-IP-Adresse auftritt.
[edit security alarms potential-violation policy] user@host# set source-ip threshold 1000 duration 20
Geben Sie an, dass ein Alarm ausgelöst werden soll, wenn eine Verletzung der Ziel-IP-Adresse auftritt.
[edit security alarms potential-violation policy] user@host# set destination-ip threshold 1000 duration 10
Geben Sie an, dass ein Alarm ausgelöst werden soll, wenn ein Verstoß gegen die Richtlinienübereinstimmung auftritt.
[edit security alarms potential-violation policy] user@host# set policy-match threshold 100 size 100
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security alarms Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
policy {
source-ip {
threshold 1000;
duration 20;
}
destination-ip {
threshold 1000;
duration 10;
}
application {
size 10240;
}
policy-match {
threshold 100;
size 100;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie im Betriebsmodus den show security alarms Befehl ein.
Übereinstimmende Sicherheitsrichtlinien
Mit dem show security match-policies Befehl können Sie Datenverkehrsprobleme anhand der folgenden Übereinstimmungskriterien beheben: Quellport, Zielport, Quell-IP-Adresse, Ziel-IP-Adresse und Protokoll. Wenn Ihr Datenverkehr z. B. nicht weitergeleitet wird, weil entweder keine geeignete Richtlinie konfiguriert ist oder die Übereinstimmungskriterien falsch sind, können Sie mit dem show security match-policies Befehl offline arbeiten und ermitteln, wo das Problem tatsächlich besteht. Es verwendet die Suchmaschine, um das Problem zu identifizieren, und ermöglicht es Ihnen so, die entsprechende Übereinstimmungsrichtlinie für den Datenverkehr zu verwenden.
Die result-count Option gibt an, wie viele Richtlinien angezeigt werden sollen. Die erste aktivierte Richtlinie in der Liste ist die Richtlinie, die auf den gesamten übereinstimmenden Datenverkehr angewendet wird. Andere Richtlinien darunter werden von der ersten Richtlinie "beschattet" und werden nie vom übereinstimmenden Datenverkehr getroffen.
Der show security match-policies Befehl gilt nur für Sicherheitsrichtlinien. IDP-Richtlinien werden nicht unterstützt.
Beispiel 1: show security match-policies
user@host> show security match-policies from-zone z1 to-zone z2 source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1 destination-port 21 protocol tcp
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: z1, To zone: z2
Source addresses:
a2: 203.0.113.1/25
a3: 10.10.10.1/32
Destination addresses:
d2: 203.0.113.129/25
d3: 192.0.2.1/24
Application: junos-ftp
IP protocol: tcp, ALG: ftp, Inactivity timeout: 1800
Source port range: [0-0]
Destination port range: [21-21]
Beispiel 2: Verwenden der Option "results-count"
Standardmäßig enthält die Ausgabeliste die Richtlinie, die auf den Datenverkehr mit den angegebenen Merkmalen angewendet wird. Wenn Sie mehr als eine Richtlinie auflisten möchten, die den Kriterien entsprechen, verwenden Sie die result-count Option. Die erste aufgeführte Richtlinie ist immer die Richtlinie, die auf übereinstimmenden Datenverkehr angewendet wird. Wenn der result-count Wert zwischen 2 und 16 liegt, enthält die Ausgabe alle Richtlinien, die den Kriterien bis zur angegebenen result-count. Alle Richtlinien, die nach der ersten Richtlinie aufgeführt sind, werden von der ersten Richtlinie "überschattet" und niemals auf übereinstimmenden Datenverkehr angewendet.
Verwenden Sie diese Option, um die Positionierung einer neuen Richtlinie zu testen oder Fehler bei einer Richtlinie zu beheben, die für bestimmten Datenverkehr nicht wie erwartet angewendet wird.
Im folgenden Beispiel stimmen die Datenverkehrskriterien mit zwei Richtlinien überein. Die erste aufgeführte Richtlinie enthält die Aktion, p1die auf den Datenverkehr angewendet wird. Die Richtlinie p15 wird von der ersten Richtlinie überschattet, und ihre Aktion wird daher nicht auf übereinstimmenden Datenverkehr angewendet.
user@host> show security match-policies from-zone zone-A to-zone zone-B source-ip 10.10.10.1 destination-ip 192.0.2.1 source-port 1004 destination-port 80 protocol tcp result-count 5
Policy: p1, action-type: permit, State: enabled, Index: 4
Sequence number: 1
From zone: zone-A, To zone: zone-B
Source addresses:
sa1: 10.10.0.0/16
Destination addresses:
da5: 192.0.2.0/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Policy: p15, action-type: deny, State: enabled, Index: 18
Sequence number: 15
From zone: zone-A, To zone: zone-B
Source addresses:
sa11: 10.10.10.1/32
Destination addresses:
da15: 192.0.2.5/24
Application: any
IP protocol: 1, ALG: 0, Inactivity timeout: 0
Source port range: [1000-1030]
Destination port range: [80-80]
Siehe auch
Trefferzahlen für Nachverfolgungsrichtlinien
Verwenden Sie den show security policies hit-count Befehl, um den Utility-Tarif von Sicherheitsrichtlinien entsprechend der Anzahl der erhaltenen Treffer anzuzeigen. Mit dieser Funktion können Sie bestimmen, welche Richtlinien auf dem Gerät verwendet werden und wie häufig sie verwendet werden. Abhängig von den Befehlsoptionen, die Sie auswählen, kann die Anzahl der Treffer ohne Reihenfolge aufgelistet oder in aufsteigender oder absteigender Reihenfolge sortiert werden, und sie können auf die Anzahl der Treffer beschränkt werden, die über oder unter einer bestimmten Anzahl oder innerhalb eines Bereichs liegen. Es werden Daten für alle Zonen angezeigt, die den Richtlinien oder benannten Zonen zugeordnet sind.
Überprüfen der Speicherauslastung auf Geräten der SRX-Serie
Sie können Speicherprobleme isolieren, indem Sie die Speicherwerte vor und nach den Richtlinienkonfigurationen vergleichen.
Bestimmte Verfahren können dabei helfen, die aktuelle Speicherauslastung auf dem Gerät zu überwachen und Parameter zu optimieren, um die Systemkonfiguration zu dimensionieren, insbesondere während der Richtlinienimplementierung.
So überprüfen Sie die Speicherauslastung:
Verwenden Sie den Befehl, um die
show chassis routing-enginegesamte Speicherauslastung der Routing-Engine (RE) zu überprüfen. Die folgende Ausgabe dieses Befehls zeigt eine Speicherauslastung von 39 Prozent:user@host#
show chassis routing-engineRouting Engine status: Slot 0: Current state Master Election priority Master (default) DRAM 1024 MB Memory utilization 39 percent CPU utilization: User 0 percent Background 0 percent Kernel 2 percent Interrupt 0 percent Idle 97 percent Model RE-PPC-1200-A Start time 2011-07-09 19:19:49 PDT Uptime 37 days, 15 hours, 44 minutes, 13 seconds Last reboot reason 0x3:power cycle/failure watchdog Load averages: 1 minute 5 minute 15 minute 0.22 0.16 0.07Verwenden Sie den
show system processes extensiveBefehl, um Informationen zu den Prozessen abzurufen, die auf der Routing-Engine ausgeführt werden.Verwenden Sie die
find nsdOption imshow system processes extensiveBefehl, um die direkte Nutzung des Netzwerksicherheitsdaemons (NSD) mit dem verwendeten Gesamtspeicher von 10 Megabyte und einer CPU-Auslastung von 0 Prozent anzuzeigen.user@host# show system processes extensive | find nsd 1182 root 1 96 0 10976K 5676K select 2:08 0.00% nsd 1191 root 4 4 0 8724K 3764K select 1:57 0.00% slbd 1169 root 1 96 0 8096K 3520K select 1:51 0.00% jsrpd 1200 root 1 4 0 0K 16K peer_s 1:10 0.00% peer proxy 1144 root 1 96 0 9616K 3528K select 1:08 0.00% lacpd 1138 root 1 96 0 6488K 2932K select 1:02 0.00% ppmd 1130 root 1 96 0 7204K 2208K select 1:02 0.00% craftd 1163 root 1 96 0 16928K 5188K select 0:58 0.00% cosd 1196 root 1 4 0 0K 16K peer_s 0:54 0.00% peer proxy 47 root 1 -16 0 0K 16K sdflus 0:54 0.00% softdepflush 1151 root 1 96 0 15516K 9580K select 0:53 0.00% appidd 900 root 1 96 0 5984K 2876K select 0:41 0.00% eventd
Überprüfen Sie die Größe der Konfigurationsdatei. Speichern Sie Ihre Konfigurationsdatei unter einem eindeutigen Namen, bevor Sie die CLI verlassen. Geben Sie dann den
ls -1 filenameBefehl aus der Shell-Eingabeaufforderung in der Shell auf UNIX-Ebene ein, um die Dateigröße zu überprüfen, wie in der folgenden Beispielausgabe gezeigt:user@host> start shell % ls -l config -rw-r--r-- 1 remote staff 12681 Feb 15 00:43 config
Siehe auch
Überwachen von Sicherheitsrichtlinienstatistiken
Zweck
Überwachen und zeichnen Sie den Datenverkehr auf, den Junos OS basierend auf zuvor konfigurierten Richtlinien zulässt oder verweigert.
Aktion
Um den Datenverkehr zu überwachen, aktivieren Sie die Optionen "Zählung" und "Protokoll".
Graf—Konfigurierbar in einer individuellen Richtlinie. Wenn count aktiviert ist, werden Statistiken für Sitzungen erfasst, die das Gerät für eine bestimmte Richtlinie betreten, sowie für die Anzahl der Pakete und Bytes, die das Gerät für eine bestimmte Richtlinie in beide Richtungen passieren. Für die Anzahl (nur für Pakete und Bytes) können Sie angeben, dass Alarme generiert werden, wenn der Datenverkehr bestimmte Schwellenwerte überschreitet. Siehe Anzahl (Sicherheitsrichtlinien).
Protokoll—Die Protokollierungsfunktion kann während der Sitzungsinitialisierung (session-init) oder des Schließens der Sitzung (session-close) mit Sicherheitsrichtlinien aktiviert werden. Siehe Protokoll (Sicherheitsrichtlinien).
Um Protokolle von verweigerten Verbindungen anzuzeigen, aktivieren Sie log on session-init.
Um Sitzungen nach ihrem Ende/Beenden zu protokollieren, aktivieren Sie die Option Beim Schließen der Sitzung anmelden.
Das Sitzungsprotokoll wird in Echtzeit im Flow-Code aktiviert, was sich auf die Benutzerleistung auswirkt. Wenn sowohl session-close als auch session-init aktiviert sind, wird die Leistung im Vergleich zur ausschließlichen Aktivierung von session-init weiter verschlechtert.
Ausführliche Informationen zu den für Sitzungsprotokolle erfassten Informationen finden Sie unter Informationen in Sitzungsprotokolleinträgen für Services Gateways der SRX-Serie.
Überprüfung von Schattenrichtlinien
- Überprüfung aller Schattenrichtlinien
- Überprüfen, ob eine Richtlinie eine oder mehrere Richtlinien überschattet
- Überprüfen, ob eine Richtlinie von einer oder mehreren Richtlinien überschattet wird
Überprüfung aller Schattenrichtlinien
Zweck
Überprüfen Sie alle Richtlinien, die eine oder mehrere Richtlinien überschatten.
Aktion
Geben Sie im Betriebsmodus die folgenden Befehle ein:
Geben Sie für logische Systeme den
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-nameBefehl ein.Geben Sie für globale Richtlinien den
show security shadow-policies logical-system lsys-name globalBefehl ein.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b
Policies Shadowed policies
P1 P3
P1 P4
P2 P5
Bedeutung
In der Ausgabe wird die Liste aller Richtlinien angezeigt, die andere Richtlinien überschatten. In diesem Beispiel schattiert die P1-Richtlinie die P3- und P4-Richtlinien und die P2-Richtlinie die P5-Richtlinie.
Überprüfen, ob eine Richtlinie eine oder mehrere Richtlinien überschattet
Zweck
Überprüfen Sie, ob eine bestimmte Richtlinie eine oder mehrere Richtlinien überschattet, die dahinter positioniert sind.
Aktion
Geben Sie im Betriebsmodus die folgenden Befehle ein:
Geben Sie für logische Systeme den
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-nameBefehl ein.Geben Sie für globale Richtlinien den
show security shadow-policies logical-system lsys-name global policy policy-nameBefehl ein.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P1
Policies Shadowed policies
P1 P3
P1 P4
Bedeutung
In der Ausgabe werden alle Richtlinien angezeigt, die von der angegebenen Richtlinie überschattet werden. In diesem Beispiel schattiert die P1-Richtlinie die P3- und P4-Richtlinien.
Überprüfen, ob eine Richtlinie von einer oder mehreren Richtlinien überschattet wird
Zweck
Überprüfen Sie, ob eine bestimmte Richtlinie von einer oder mehreren davor positionierten Richtlinie überschattet wird.
Aktion
Geben Sie im Betriebsmodus die folgenden Befehle ein:
Geben Sie für logische Systeme den
show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reverseBefehl ein.Geben Sie für globale Richtlinien den
show security shadow-policies logical-system lsys-name global policy policy-name reverseBefehl ein.
root@host> show security shadow-policies from-zone zone-a to-zone zone-b policy P4 reverse
Policies Shadowed policies
P1 P4
Bedeutung
In der Ausgabe wird die angegebene Richtlinie angezeigt, die von einer oder mehreren Richtlinien überschattet wird. In diesem Beispiel wird die P4-Richtlinie von der P1-Richtlinie überschattet.
Fehlerbehebung bei Sicherheitsrichtlinien
- Synchronisieren von Richtlinien zwischen Routing-Engine und Packet Forwarding Engine
- Überprüfen eines Commit-Fehlers für eine Sicherheitsrichtlinie
- Überprüfen eines Sicherheitsrichtlinien-Commits
- Debuggen der Richtliniensuche
Synchronisieren von Richtlinien zwischen Routing-Engine und Packet Forwarding Engine
Problem
Beschreibung
Sicherheitsrichtlinien werden in der Routing-Engine und der Paketweiterleitungs-Engine gespeichert. Sicherheitsrichtlinien werden von der Routing-Engine an die Packet Forwarding Engine übertragen, wenn Sie Konfigurationen bestätigen. Wenn die Sicherheitsrichtlinien der Routing-Engine nicht mit der Packet Forwarding Engine synchronisiert sind, schlägt die Bestätigung einer Konfiguration fehl. Core-Dump-Dateien können generiert werden, wenn der Commit wiederholt versucht wird. Die Synchronisierung kann folgende Ursachen haben:
Eine Richtliniennachricht von der Routing-Engine an die Packet Forwarding Engine geht während der Übertragung verloren.
Ein Fehler mit der Routing-Engine, z. B. eine wiederverwendete Richtlinien-UID.
Umwelt
Die Richtlinien in der Routing-Engine und der Packet Forwarding Engine müssen synchronisiert sein, damit für die Konfiguration ein Commit ausgeführt werden kann. Unter bestimmten Umständen können die Richtlinien in der Routing-Engine und der Packet Forwarding Engine jedoch nicht synchron sein, was dazu führt, dass der Commit fehlschlägt.
Symptome
Wenn die Richtlinienkonfigurationen geändert werden und die Richtlinien nicht mehr synchron sind, wird die folgende Fehlermeldung angezeigt: error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.
Lösung
Verwenden Sie den show security policies checksum Befehl, um den Prüfsummenwert der Sicherheitsrichtlinie anzuzeigen, und verwenden Sie den request security policies resync Befehl, um die Konfiguration der Sicherheitsrichtlinien in der Routing-Engine und der Packet Forwarding Engine zu synchronisieren, wenn die Sicherheitsrichtlinien nicht synchron sind.
Siehe auch
Überprüfen eines Commit-Fehlers für eine Sicherheitsrichtlinie
Problem
Beschreibung
Die meisten Fehler bei der Richtlinienkonfiguration treten während eines Commits oder einer Laufzeit auf.
Commit-Fehler werden direkt in der CLI gemeldet, wenn Sie den CLI-Befehl commit-check im Konfigurationsmodus ausführen. Bei diesen Fehlern handelt es sich um Konfigurationsfehler, und Sie können keinen Commit für die Konfiguration ausführen, ohne diese Fehler zu beheben.
Lösung
Gehen Sie wie folgt vor, um diese Fehler zu beheben:
Überprüfen Sie Ihre Konfigurationsdaten.
Öffnen Sie die Datei /var/log/nsd_chk_only. Diese Datei wird jedes Mal überschrieben, wenn Sie eine Commit-Prüfung durchführen, und enthält detaillierte Fehlerinformationen.
Überprüfen eines Sicherheitsrichtlinien-Commits
Problem
Beschreibung
Wenn Sie beim Ausführen eines Richtlinienkonfigurationscommits feststellen, dass das Systemverhalten falsch ist, führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:
Lösung
Operational show Commands: Führen Sie die operativen Befehle für Sicherheitsrichtlinien aus, und überprüfen Sie, ob die in der Ausgabe angezeigten Informationen mit Ihren Erwartungen übereinstimmen. Ist dies nicht der Fall, muss die Konfiguration entsprechend geändert werden.
Trace-Optionen: Legen Sie den Befehl in Ihrer
traceoptionsRichtlinienkonfiguration fest. Die Flags unter dieser Hierarchie können gemäß der Benutzeranalyse dershowBefehlsausgabe ausgewählt werden. Wenn Sie nicht bestimmen können, welches Flag verwendet werden soll, kann die Optionallflag verwendet werden, um alle Ablaufverfolgungsprotokolle zu erfassen.user@host#
set security policies traceoptions <flag all>
Sie können auch einen optionalen Dateinamen konfigurieren, um die Protokolle zu erfassen.
user@host# set security policies traceoptions <filename>
Wenn Sie in den Trace-Optionen einen Dateinamen angegeben haben, können Sie in /var/log/<filename> nach der Protokolldatei suchen, um festzustellen, ob in der Datei Fehler gemeldet wurden. (Wenn Sie keinen Dateinamen angegeben haben, ist der Standarddateiname ereignisd.) Die Fehlermeldungen geben den Ort des Fehlers und den entsprechenden Grund an.
Nachdem Sie die Ablaufverfolgungsoptionen konfiguriert haben, müssen Sie die Konfigurationsänderung, die das falsche Systemverhalten verursacht hat, erneut bestätigen.
Debuggen der Richtliniensuche
Problem
Beschreibung
Wenn Sie über die richtige Konfiguration verfügen, aber ein Teil des Datenverkehrs fälschlicherweise verworfen oder zugelassen wurde, können Sie das lookup Flag in den Trace-Optionen für Sicherheitsrichtlinien aktivieren. Das lookup Flag protokolliert die nachschlagebezogenen Ablaufverfolgungen in der Ablaufverfolgungsdatei.
Lösung
user@host# set security policies traceoptions <flag lookup>
Hochverfügbarkeitssynchronisierung (HA) des Adressnamen-Auflösungscaches
Der Netzwerksicherheitsprozess (NSD) wird neu gestartet, wenn das System neu gestartet wird, ein HA-Failover stattfindet oder wenn der Prozess abstürzt. Wenn während dieser Zeit eine große Anzahl von Domänennamenadressen in den Sicherheitsrichtlinien konfiguriert ist, versuchen Firewalls der SRX-Serie, Anfragen an den DNS-Server zu senden, um alle aufgelösten IP-Adressen abzurufen. Wenn eine große Anzahl von DNS-Abfragen und -Antworten ausgetauscht wird, wird eine große Menge an Systemressourcen verbraucht. Daher können Firewalls der SRX-Serie keine Antwort vom DNS-Server abrufen, und die Adresse eines Hostnamens in einem Adressbucheintrag kann möglicherweise nicht korrekt aufgelöst werden. Dies kann zu einem Rückgang des Datenverkehrs führen, da keine Sicherheitsrichtlinie oder Sitzungsübereinstimmung gefunden wird. Die neue Erweiterung der Firewalls der SRX-Serie behebt dieses Problem, indem sie die Ergebnisse der DNS-Abfrage in einer lokalen DNS-Cache-Datei zwischenspeichert und die DNS-Cache-Datei regelmäßig vom primären HA-Knoten zum HA-Backup-Knoten synchronisiert. In den DNS-Cache-Dateien werden IP-Adressen, Domänennamen und TTL-Werte gespeichert. Nach dem HA-Failover wird der vorherige Backup-Knoten zum primären Knoten. Da alle DNS-Cache-Ergebnisse auf dem neuen primären Knoten verfügbar sind, wird die Verarbeitung der Sicherheitsrichtlinie fortgesetzt, und Pass-Through-Datenverkehr wird gemäß den Richtlinienregeln zugelassen.
Ab Junos OS Version 19.3R1 wird der DNS-Cache-Speicher der Richtlinie mit einer lokalen DNS-Cache-Datei auf dem aktiven HA-Knoten synchronisiert und auf den HA-Backup-Knoten kopiert, um DNS-Abfragen oder -Antworten während des NSD-Neustarts zu unterdrücken.
Die folgenden Schritte werden für die Synchronisierung ausgeführt:
Der DNS-Cache-Speicher der Richtlinie wird alle 30 Sekunden mit einer lokalen DNS-Cache-Datei synchronisiert, die sich im Pfad / var/db/policy_dns_cache befindet, wenn sich der Inhalt des DNS-Cache-Speichers der Richtlinie in diesem Zeitraum geändert hat.
Die lokale DNS-Cache-Datei wird unmittelbar nach der Aktualisierung der lokalen DNS-Cache-Datei in Schritt 1 vom primären HA-Knoten mit dem HA-Sicherungsknoten synchronisiert.
Die Synchronisierung umfasst folgende Inhalte:
-
Domänenname
-
IPv4-Adressliste und ihre TTL (Time to Live)
-
IPv6-Adressliste und deren TTL
Wenn NSD neu gestartet wird, liest und analysiert es die lokale DNS-Cache-Datei und importiert alle Cache-Einträge in den Arbeitsspeicher. Die Synchronisierung stellt sicher, dass DNS-Abfragen bei einem NSD-Neustart unterdrückt werden. NSD wird während des HA-Failovers auf einem neuen primären Knoten neu gestartet, da die aufgelösten IP-Adressen für Domänennamen beim Lesen von Richtlinienkonfigurationen bereits im DNS-Cache-Speicher vorhanden sind. Daher wird neuer Pass-Through-Datenverkehr gemäß der Sicherheitsrichtlinie nach dem HA-Failover zugelassen, da alle aufgelösten IP-Adressen für Domänennamen innerhalb von Richtlinien auf der Routing-Engine und der Packet Forwarding Engine des neuen primären Knotens vorhanden sind.
Plattformspezifisches Speichernutzungsverhalten
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um das plattformspezifische Verhalten für Ihre Plattform zu überprüfen:
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie |
|