SUR CETTE PAGE
Comprendre les journaux de sécurité et les systèmes logiques
Configuration du reporting intégré pour les systèmes logiques
Exemple : configurer le journal de sécurité pour les systèmes logiques
Configuration des fichiers journaux de sécurité binaires intégrés pour le système logique
Configuration des fichiers journaux de sécurité binaires hors boîte pour le système logique
Comprendre le débogage des chemins de données pour les systèmes logiques
Exécution du suivi pour les systèmes logiques (administrateurs principaux uniquement)
Dépannage des systèmes logiques
Utilisez les fonctionnalités suivantes pour surveiller les systèmes logiques et résoudre les problèmes logiciels. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre les journaux de sécurité et les systèmes logiques
Les journaux de sécurité sont des messages de journal système qui incluent des événements de sécurité. Si un équipement est configuré pour des systèmes logiques, les journaux de sécurité générés dans le contexte d’un système logique utilisent le nom logname_LS (par exemple, IDP_ATTACK_LOG_EVENT_LS). La version système logique d’un journal possède le même ensemble d’attributs que le journal pour les périphériques qui ne sont pas configurés pour les systèmes logiques. Le journal système logique inclut nom_système logique comme premier attribut.
Le journal de sécurité suivant affiche les attributs du journal de IDP_ATTACK_LOG_EVENT pour un périphérique qui n’est pas configuré pour les systèmes logiques :
IDP_ATTACK_LOG_EVENT {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Le journal de sécurité suivant indique les attributs du journal de IDP_ATTACK_LOG_EVENT_LS d’un périphérique configuré pour des systèmes logiques (notez que nom_systèmelogique est le premier attribut) :
IDP_ATTACK_LOG_EVENT_LS {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Si un périphérique est configuré pour des systèmes logiques, il peut être nécessaire de modifier les scripts d’analyse des journaux car le nom du journal inclut le suffixe _LS et l’attribut nom-système logique peut être utilisé pour séparer les journaux par système logique.
Si un périphérique n’est pas configuré pour des systèmes logiques, les journaux de sécurité restent inchangés et les scripts créés pour analyser les journaux n’ont pas besoin d’être modifiés.
Seul l’administrateur principal peut configurer la journalisation au niveau de la hiérarchie [edit security log]. Les administrateurs système logique utilisateur ne peuvent pas configurer la journalisation pour leurs systèmes logiques.
Le mode Streaming est un ensemble de services de journalisation comprenant :
Journalisation hors boîte (SRX Series)
Journalisation et génération de rapports intégrés (SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 et SRX4600 Series)
Par configuration de système logique est prise en charge pour la journalisation hors boîte et les journaux sont gérés en fonction de ces configurations. Auparavant, les journaux du système logique de l’utilisateur étaient générés à partir du système logique racine. Pour la journalisation hors boîte, les journaux système logiques ne peuvent être générés qu’à partir de l’interface système logique.
Limitations
Chaque SPU ne peut prendre en charge qu’un maximum de 1 000 connexions pour les équipements autonomes et de 500 connexions pour les clusters sur les équipements SRX5400, SRX5600 et SRX5800 de la version 18.2R1 de Junos OS. Si toutes les connexions sont épuisées, certaines connexions pour les systèmes logiques utilisateur peuvent ne pas être établies.
Le message d’erreur sera capturé dans l’explorateur de journaux système.
Configuration du reporting intégré pour les systèmes logiques
Les pare-feu SRX Series prennent en charge différents types de rapports pour les utilisateurs de systèmes logiques.
Les rapports sont stockés localement sur le pare-feu SRX Series et il n’est pas nécessaire d’utiliser des périphériques ou des outils distincts pour stocker les journaux et les rapports. Les rapports intégrés fournissent une interface simple et facile à utiliser pour afficher les journaux de sécurité.
Avant de commencer :
Comprendre comment configurer le journal de sécurité pour les systèmes logiques. Voir Exemple : Configurer le journal de sécurité pour les systèmes logiques
Pour configurer la création de rapports intégrée pour le système logique :
Par défaut, l’option report est désactivée. La set logical-systems LSYS1 security log mode stream commande est activée par défaut.
Exemple : configurer le journal de sécurité pour les systèmes logiques
Cet exemple montre comment configurer les journaux de sécurité pour un système logique.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series.
Junos OS version 18.3R1 et ultérieures.
Avant de commencer :
Comprendre comment configurer un système logique.
Découvrez comment créer des profils de sécurité pour le système logique principal. Voir Présentation des profils de sécurité des systèmes logiques (administrateurs principaux uniquement).
Aperçu
Les pare-feu SRX Series ont deux types de journaux : les journaux système et les journaux de sécurité. Les journaux système enregistrent les événements du plan de contrôle, par exemple, la connexion administrateur à l’appareil. Les journaux de sécurité, également appelés journaux de trafic, enregistrent les événements du plan de données concernant la gestion d’un trafic spécifique, par exemple lorsqu’une stratégie de sécurité refuse un certain trafic en raison d’une violation de la stratégie.
Les deux types de journaux peuvent être collectés et enregistrés sur place ou hors boîte. La procédure ci-dessous explique comment configurer les journaux de sécurité au format binaire pour la journalisation hors boîte (mode flux).
Pour la journalisation hors boîte, les journaux de sécurité d’un système logique sont envoyés à partir d’une interface système logique. Si l’interface système logique est déjà configurée dans une instance de routage, configurez routing-instance routing-instance-name au niveau de edit logical-systems logical-system-name security log stream log-stream-name host la hiérarchie. Si l’interface n’est pas configurée dans l’instance de routage, aucune instance de routage ne doit être configurée au niveau de edit logical-systems logical-system-name security log stream log-stream-name host la hiérarchie.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit du mode de configuration.
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
Procédure
Procédure étape par étape
La procédure suivante spécifie comment configurer les journaux de sécurité pour un système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation hors boîte en mode flux.
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
Pour la journalisation de sécurité hors boîte, spécifiez l’adresse source, qui identifie le pare-feu SRX Series qui a généré les messages du journal. L’adresse source est requise.
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
Spécifiez l’instance de routage et définissez l’interface.
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
Définir une instance de routage pour un système logique.
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
Spécifiez le protocole de transport du journal de sécurité pour l’appareil.
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
Procédure
Procédure étape par étape
La procédure suivante spécifie comment configurer un profil de sécurité pour un système logique.
Configurez un profil de sécurité et spécifiez le nombre de stratégies maximales et réservées.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Attribuez le profil de sécurité configuré à TSYS1.
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show system security-profilecommandes , show logical-systems LSYS1 security loget show logical-systems LSYS1 routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show system security-profile
LSYS1_profile {
logical-system LSYS1;
}
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
}
[edit]
user@host# show logical-systems LSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream LSYS1_s {
format binary;
host {
1.3.54.22;
}
}
[edit]
user@host# show logical-systems LSYS1 routing-instances
LSYS1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
Vérification
Vérification de la sortie détaillée du journal de sécurité
But
Vérifiez que la sortie affiche les informations de ressource pour tous les systèmes logiques.
Action
En mode opérationnel, saisissez la show system security-profile security-log-stream-number tenant all commande.
logical-system name security profile name usage reserved maximum
root-logical-system Default-Profile 0 0
Sens
La sortie affiche les informations sur les ressources pour les systèmes logiques.
Configuration des fichiers journaux de sécurité binaires intégrés pour le système logique
Les équipements SRX Series prennent en charge deux types de journaux : les journaux système et les journaux de sécurité.
Les deux types de journaux sont collectés et enregistrés sur place ou hors boîte. La procédure suivante explique comment configurer les journaux de sécurité au format binaire pour la journalisation intégrée (en mode événement) pour le système logique.
La procédure suivante spécifie le format binaire pour la journalisation de sécurité en mode événement et définit le nom du fichier journal, le chemin d’accès et les caractéristiques du fichier journal pour le système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation intégrée en mode événement :
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(Facultatif) Spécifiez un nom de fichier journal.
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
Note:Le nom du fichier journal de sécurité n’est pas obligatoire. Si le nom du journal de sécurité n’est pas configuré, le bin_messages de fichiers est créé par défaut dans le répertoire /var/log.
Confirmez votre configuration en entrant la
show logical-systems LSYS1commande.[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
La procédure suivante spécifie le format binaire pour la journalisation de sécurité en mode flux et définit le nom du fichier journal et les caractéristiques du fichier journal pour le système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation intégrée en mode flux :
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(Facultatif) Spécifiez un nom de fichier journal.
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
Confirmez votre configuration en entrant la
show logical-systems LSYS1commande.[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Configuration des fichiers journaux de sécurité binaires hors boîte pour le système logique
Les équipements SRX Series prennent en charge deux types de journaux : les journaux système et les journaux de sécurité.
Les deux types de journaux peuvent être collectés et enregistrés sur place ou hors boîte. La procédure ci-dessous explique comment configurer les journaux de sécurité au format binaire pour la journalisation hors boîte (mode flux).
La procédure suivante spécifie le format binaire pour la journalisation de sécurité en mode flux et définit les caractéristiques du mode de journalisation, de l’adresse source et du nom d’hôte pour le système logique.
Spécifiez le mode de journalisation et le format du fichier journal. Pour la journalisation hors boîte en mode flux :
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
Spécifiez l’adresse source pour la journalisation de sécurité hors boîte.
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
Spécifiez le nom d’hôte.
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
Confirmez votre configuration en entrant la
show logical-systems LSYS1commande.[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
Comprendre le débogage des chemins de données pour les systèmes logiques
Le débogage de chemin de données assure le suivi et le débogage au niveau de plusieurs unités de traitement le long du chemin de traitement des paquets. Le débogage des chemins de données peut également être effectué sur le trafic entre les systèmes logiques.
Seul l’administrateur principal peut configurer le débogage des chemins de données pour les systèmes logiques au niveau [edit security datapath-debug]. Les administrateurs système logique utilisateur ne peuvent pas configurer le débogage des chemins de données pour leurs systèmes logiques.
Le suivi des événements de bout en bout suit le chemin d’un paquet depuis son entrée dans l’appareil jusqu’à sa sortie. Lorsque l’administrateur principal configure le suivi des événements de bout en bout, la sortie de suivi contient des informations système logiques.
L’administrateur principal peut également configurer le suivi du trafic entre les systèmes logiques. La sortie de suivi montre le trafic entrant et sortant du tunnel logique entre les systèmes logiques. Lorsque l’option preserve-trace-order est configurée, le message de trace est trié chronologiquement. Outre l’action de traçage, d’autres actions, telles que packet-dump et packet-summary, peuvent être configurées pour le trafic entre systèmes logiques.
Le débogage des chemins de données est pris en charge sur les SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800.
Voir aussi
Exécution du suivi pour les systèmes logiques (administrateurs principaux uniquement)
Seul l’administrateur principal peut configurer le débogage des chemins de données pour les systèmes logiques au niveau racine.
Pour configurer un profil d’action pour une trace ou une capture de paquets :
Pour capturer les messages de suivi pour les systèmes logiques :
Configurez le fichier de capture de trace.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
Affichez la trace capturée en mode opérationnel.
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
Effacez le journal.
user@host> clear log e2e.trace
Pour effectuer la capture de paquets pour les systèmes logiques :
Configurez le fichier de capture de paquets.
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
Entrez en mode opérationnel pour démarrer puis arrêter la capture de paquets.
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
Note:Les fichiers de capture de paquets peuvent être ouverts et analysés hors ligne avec tcpdump ou tout analyseur de paquets qui reconnaît le format libpcap. Vous pouvez également utiliser FTP ou le protocole SCP (Session Control Protocol) pour transférer les fichiers de capture de paquets vers un périphérique externe.
Désactivez la capture de paquets à partir du mode de configuration.
Note:Désactivez la capture de paquets avant d’ouvrir le fichier pour analyse ou de transférer le fichier vers un périphérique externe avec FTP ou SCP. La désactivation de la capture de paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.
[edit forwarding-options] user@host# set packet-capture disable
Affichez la capture de paquets.
Pour afficher la capture de paquets à l’aide de l’utilitaire tcpdump :
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
Pour afficher la capture de paquets à partir du mode opérationnel CLI :
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
Voir aussi
Résolution de noms DNS dans les stratégies de sécurité des systèmes logiques (administrateurs principaux uniquement)
Problème
Description
L’adresse d’un nom d’hôte dans une entrée de carnet d’adresses utilisée dans une stratégie de sécurité peut ne pas se résoudre correctement.
Causes
Normalement, les entrées du carnet d’adresses qui contiennent des noms d’hôte dynamiques sont automatiquement actualisées pour les pare-feu SRX Series. Le champ TTL associé à une entrée DNS indique l’heure après laquelle l’entrée doit être actualisée dans le cache de stratégie. Une fois la durée de vie expirée, le pare-feu SRX Series actualise automatiquement l’entrée DNS pour une entrée de carnet d’adresses.
Toutefois, si le pare-feu SRX Series ne parvient pas à obtenir une réponse du serveur DNS (par exemple, la requête DNS ou le paquet de réponse est perdu dans le réseau ou le serveur DNS ne peut pas envoyer de réponse), l’adresse d’un nom d’hôte dans une entrée de carnet d’adresses peut ne pas résoudre correctement. Cela peut entraîner une baisse du trafic car aucune correspondance de stratégie de sécurité ou de session n’est trouvée.
Solution
L’administrateur principal peut utiliser la commande pour afficher les show security dns-cache informations du cache DNS sur le pare-feu SRX Series. Si les informations du cache DNS doivent être actualisées, l’administrateur principal peut utiliser la clear security dns-cache commande.
Ces commandes ne sont disponibles pour l’administrateur principal que sur les appareils configurés pour des systèmes logiques. Cette commande n’est pas disponible dans les systèmes logiques utilisateur ou sur les périphériques qui ne sont pas configurés pour les systèmes logiques.