項目一覧
セキュリティ フロー セッションの監視
このトピックでは、動作モード コマンドを使用したフロー セッションの監視、表示、および検証に関する情報を提供します。したがって、実行コンフィギュレーションをコミットしたり変更したりすることなく、デバッグできます。
セキュリティ フロー セッションの監視の概要
Junos OS では、動作モード コマンドを使用してフロー セッションの監視を設定し、開始できます。したがって、実行コンフィギュレーションをコミットしたり変更したりすることなく、デバッグできます。このアプローチは、トレース オプションをオンにする設定をコミットしてデバイスの状態を変更したくない場合に特に役立ちます。
フロー セッション監視を設定するには、フロー フィルターを定義し、出力ファイルを指定して、監視を開始する必要があります。フィルター(少なくとも 1 つ)と出力ファイルが指定されていない限り、フロー セッション監視は開始されません。また、フィルター自体を定義しても、監視はトリガーされません。 monitor security flow start コマンドと monitor security flow stop コマンドをそれぞれ明示的に使用して、監視を有効または無効にする必要があります。
フローフィルターの定義—送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、IPプロトコル番号、着信または発信インターフェイスの名前、論理システム名などの一致基準の組み合わせを使用して、監視するフローセッションを定義します。
clear monitor security flow filterコマンドを使用してフィルターを削除できます。手記:設定モードで定義されたフィルターとは異なり、動作モード コマンドを使用して定義されたフィルターは、システムを再起動するとクリアされます。
出力ファイルを指定—セキュリティフロー監視情報を保存する出力ファイルを作成します。このファイルは
/var/log/ディレクトリに保存されます。このファイルの内容を表示するには、show log filenameコマンドを使用します。monitor security flow fileコマンドを使用して、最大サイズ、最大数、タイプなどの出力ファイルの特性を指定します。[監視の開始(Start monitoring)]:
monitor security flow startコマンドを使用して監視を開始します。監視が開始されると、フィルターに一致するすべてのトラフィックが、/var/log/ディレクトリ内の指定された出力ファイルに保存されます。basic-datapath フラグはデフォルトのフラグで、モニターが開始されるとオンになります。監視を停止するには、
monitor security flow stopコマンドを使用します。監視が停止すると、basic-datapath フラグはクリアされます。監視フロー情報の表示—
show monitoring security flowコマンドを使用して、監視操作の詳細を表示します。
フロー セッションの監視とデバッグは、monitoring 動作モード コマンドと flow traceoptions 設定ステートメントを使用して設定できます。これら 2 つの操作を並行して実行することはできません。セキュリティ フロー監視をオンにすると、フロー トレース オプション セッションがブロックされ、フロー トレースオプション セッションが実行されると、フロー セッションの監視がブロックされます。
SRXシリーズファイアウォールのセッション情報を取得する方法について
特定のセッションに関する詳細情報など、デバイスでアクティブなセッションとパケットフローに関する情報を取得できます。(SRXシリーズファイアウォールには、失敗したセッションに関する情報も表示されます。)この情報を表示して、アクティビティを監視したり、デバッグしたりできます。たとえば、コマンドを show security flow session 使用できます。
サービスを含む受信および送信 IP フローのリストを表示するには
フローに関連付けられたセキュリティ属性(例えば、そのフローに属するトラフィックに適用されるポリシー)を表示するには
セッションのタイムアウト値を表示するには、セッションがアクティブになった日時、アクティブであった時間、およびセッションにアクティブなトラフィックがあるかどうかを表示します。
インターフェイスNATが設定され、そのインターフェイスIPアドレスを使用してNATでセッションが設定されている場合、インターフェイスIPアドレスが変更されるたびに、NATで設定されたセッションが更新され、新しいセッションが新しいIPアドレスでセットアップされます。これは、CLIコマンドを使用して確認できます show security flow session 。
関連するポリシー構成にロギングオプションが含まれている場合、セッション情報もロギングできます。すべてのSRXシリーズファイアウォールのフローセッションログ用に、ポリシー設定が拡張されました。セッションログのsession-initおよびsession-closeのパケット受信インターフェイスパラメータ、およびポリシーまたはアプリケーションファイアウォールによってセッションが拒否された場合の情報は、コモンクライテリア(CC)中堅牢性保護プロファイル(MRPP)コンプライアンスを満たすために提供されます:
ポリシー設定:一致をログ session-init または session-close として記録するセッションのポリシーを設定し、syslogにセッションを記録するには:
set security policies from-zone untrustZone to-zone trust zone policy policy13 match source-address extHost1set security policies from-zone untrustZone to-zone trustZone policy policy13 match application junos-pingset security policies from-zone untrustZone to-zone trustZone policy policy13 then permitset security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-initset security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-close
Example : フロー一致ポリシー 13 は、ログに次の情報を記録します。
<14>1 2010-09-30T14:55:04.323+08:00 mrpp-srx550-dut01 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2626.192.0.2.1.40 source-address ="192.0.2.1" source-port =" 1" destination-address =" 198.51.100.12" destination-port =" 46384" service-name =" icmp" nat-source-address =" 192.0.2.1" nat-source-port =" 198.51.100.12" nat-destination-port =" 46384"src-nat-rule-name="なし" dst-nat-rule-name="なし" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name="untrustZone" session-id-32="41" packet-incoming-interface="ge-0/0/1.0"] セッションが作成されました 192.0.2.1/1-->198.51.100.12/46384 ICMP 192.0.2.1/1-->198.51.100.12/46384 なしなし 1 policy1 trustZone untrustZone 41 ge-0/0/1.0
<14>1 2010-09-30T14:55:07.188+08:00 mrpp-srx550-dut01 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2626.192.0.2.1.40 reason="応答を受信しました" source-address =" 192.0.2.1" source-port =" 1 destination-address =" 198.51.100.12" destination-port =" 46384" service-name =" icmp nat-source-address =" 192.0.2.1" nat-source-port =" 198.51.100.12 " nat-destination-port ="46384" src-nat-rule-name="なし" dst-nat-rule-name="なし" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name="untrustZone" session-id-32="41" packets-from-client="1" bytes-from-client="84" packets-from-server="1" bytes-from-server="84" 経過時間="0" packet-incoming-interface="ge-0/0/1.0"]セッションクローズ応答受信:192.0.2.1 / 1-->198.51.100.12 / 46384 ICMP 192.0.2.1 / 1-->198.51.100.12 / 46384なしなし1ポリシー1trustZoneuntrustZone 41 1(84)1(84)0 0 ge-0/0/1.0
すべてのSRXシリーズサービスゲートウェイのグローバルセッションパラメータを表示する
目的
すべてのフローまたはセッションに適用される設定済みパラメータに関する情報を取得します。
アクション
CLIでセッション情報を表示するには、以下のコマンドを入力します。
user@host# show security flow
意味
show security flow 設定コマンドを実行すると、次の情報が表示されます。
allow-dns-reply—一致しない受信ドメイン生成アルゴリズム(DNS)応答パケットを許可するかどうかを識別します。route-change-timeout—有効にすると、存在しないルートへのルート変更に使用されるセッションタイムアウト値が表示されます。tcp-mss—ネットワーク トラフィックのすべての TCP パケットに使用される TCP 最大セグメント サイズ値の現在の設定を表示します。tcp-session—セッション パラメータを制御するすべての設定済みパラメータを表示します。syn-flood-protection-mode—SYN プロキシ モードを表示します。
SRXシリーズサービスゲートウェイのセッションの概要の表示
SRXシリーズサービスゲートウェイのセッションに関するセッションとフロー情報の表示
目的
セッションID、セッションが属する仮想システム、ネットワークアドレス変換(NAT)ソースプール(ソースNATが使用されている場合)、セッションに設定されたタイムアウト値とその標準タイムアウト、セッションの開始時刻とセッションのアクティブ時間など、デバイス上のすべてのセッションに関する情報を表示します。ディスプレイには、フローの方向、送信元アドレスとポート、宛先アドレスとポート、IPプロトコル、セッションに使用されるインターフェイスなど、すべての標準フロー情報も表示されます。
アクション
CLIでセッションフロー情報を表示するには、以下のコマンドを入力します。
user@host> show security flow session
SRXシリーズサービスゲートウェイの特定セッションに関するセッションおよびフロー情報の表示
フィルターを使用してSRXシリーズサービスゲートウェイのセッションとフロー情報を表示する
目的
show security flow session コマンドの引数としてフィルターを指定することで、1 つ以上のセッションに関するフローおよびセッション情報を表示できます。使用できるフィルターは、application、destination-port、destination-prefix、family、idp、interface、nat、protocol、resource-manager、session-identifier、source-port、source-prefix、tunnel です。デバイスには、各セッションの情報が表示され、その後に報告されたセッションの数を示す行が表示されます。次に、送信元プレフィックス フィルターを使用したコマンドの例を示します。
アクション
CLIのフィルターを使用して選択したセッションに関する情報を表示するには、以下のコマンドを入力します。
user@host> show security flow session source-prefix 10/8
SRXシリーズサービスゲートウェイのセッションログエントリーで提供される情報
セッションログのエントリーは、ポリシー構成に関連付けられています。各メインセッションイベント(作成、クローズ、拒否)は、制御ポリシーでロギングが有効になっている場合、ログエントリを作成します。
表1、表2、表3に示すように、セッション作成、セッション終了、およびセッション拒否イベントについて、異なるフィールドがログに記録されます。各タイプの同じフィールド名は、同じ情報がログに記録されていることを示しますが、各テーブルは、そのタイプのセッションログに記録されたすべてのデータの完全なリストです。
以下の表は、セッションログエントリに表示されるフィールドを定義しています。
Field |
Description |
|---|---|
|
セッションを作成したパケットの元 IPアドレス。 |
|
セッションを作成したパケットの送信元ポート。 |
|
セッションを作成したパケットの宛先 IP アドレス。 |
|
セッションを作成したパケットの宛先ポート。 |
|
パケットが通過したアプリケーション(例えば、ネイティブ Telnet を許可するポリシーで許可されるセッション中の Telnet トラフィックの場合は「junos-telnet」)。 |
|
NAT が適用された場合、変換された NAT 送信元アドレス。それ以外の場合は、上記の送信元アドレス。 |
|
NAT が適用された場合の変換された NAT 送信元ポート。それ以外の場合は、上記の送信元ポート。 |
|
NAT が適用された場合の変換された NAT 宛先アドレス。それ以外の場合は、上記の宛先アドレス。 |
|
NAT が適用された場合の変換された NAT 宛先ポート。それ以外の場合は、上記の宛先ポート。 |
|
セッションに適用された送信元 NAT ルール (存在する場合)。静的NATも設定され、セッションに適用され、送信元アドレス変換が行われる場合、このフィールドには静的NAT ルール名が表示されます。* |
|
セッションに適用された宛先 NAT ルール(存在する場合)。静的NATも設定され、セッションに適用され、宛先アドレス変換が行われる場合、このフィールドには静的NAT ルール名が表示されます。* |
|
セッションを作成したパケットのプロトコル ID。 |
|
セッションの作成を許可したポリシーの名前。 |
|
32 ビットのセッション ID。 |
* セッションによっては、宛先と送信元の両方のNATが適用され、情報が記録される場合があります。 |
|
Junos OS リリース 12.1X47-D20 および Junos OS リリース 17.3R1 以降、システム ログには NAT ルール タイプに関する情報が含まれます。NAT ルール セッションに 2 つの新しい src-nat-rule-type ファイルと dst-nat-rule-type ファイルが導入されました。
Field |
Description |
|---|---|
|
セッションが閉じられた理由。 |
|
セッションを作成したパケットの元 IPアドレス。 |
|
セッションを作成したパケットの送信元ポート。 |
|
セッションを作成したパケットの宛先 IP アドレス。 |
|
セッションを作成したパケットの宛先ポート。 |
|
パケットが通過したアプリケーション(例えば、ネイティブ Telnet を許可するポリシーで許可されるセッション中の Telnet トラフィックの場合は「junos-telnet」)。 |
|
NAT が適用された場合、変換された NAT 送信元アドレス。それ以外の場合は、上記の送信元アドレス。 |
|
NAT が適用された場合の変換された NAT 送信元ポート。それ以外の場合は、上記の送信元ポート。 |
|
NAT が適用された場合の変換された NAT 宛先アドレス。それ以外の場合は、上記の宛先アドレス。 |
|
NAT が適用された場合の変換された NAT 宛先ポート。それ以外の場合は、上記の宛先ポート。 |
|
セッションに適用された送信元 NAT ルール (存在する場合)。静的NATも設定され、セッションに適用され、送信元アドレス変換が行われる場合、このフィールドには静的NAT ルール名が表示されます。* |
|
セッションに適用された宛先 NAT ルール(存在する場合)。静的NATも設定され、セッションに適用され、宛先アドレス変換が行われる場合、このフィールドには静的NAT ルール名が表示されます。* |
|
セッションを作成したパケットのプロトコル ID。 |
|
セッションの作成を許可したポリシーの名前。 |
|
32 ビットのセッション ID。 |
|
このセッションに関連してクライアントから送信されたパケットの数。 |
|
このセッションに関連してクライアントから送信されたデータ バイト数。 |
|
このセッションに関連してサーバーから送信されたパケットの数。 |
|
このセッションに関連してサーバーから送信されたデータバイト数。 |
|
許可から終了までの合計セッション経過時間(秒単位)。 |
|
セッションの作成時に、セッション終了理由を セッションは、コントロールポイントへのセッションのインストールが成功しなかった場合の理由 |
|
クライアントから送信された TCP リセット パケットによってセッションが閉じられました。 |
|
サーバーから送信された TCP リセット パケットによってセッションが閉じられました。 |
|
どちらかの端からFINを受信しました。 |
|
パケット要求(ICMP req-reply など)に対して受信した応答。 |
|
ICMP エラーを受信しました。 |
|
期限切れのセッションに到達しました。 |
|
ALGエラーによりセッションが終了しました(例:リモートアクセスサーバー(RAS)の上限に達しました)。 |
|
HAメッセージでセッションが終了しました。 |
|
設定されたエージングアウト時間に達する前に、セッションのトラフィックはありませんでした。 |
|
認証に失敗しました。 |
|
IDP は、セキュリティ モジュール(SM)内部エラーのため、セッションを閉じました。 |
|
SYN プロキシの障害により、セッションが閉じられました。 |
|
マイナー セッションの割り当てに失敗した理由。元のセッションを解放する必要があります。 |
|
親セッションは終了しました。 |
|
CLIによってセッションがクリアされました。 |
|
CP NACK 応答を受信しました。 |
|
CP ACK の削除により、セッションが閉じられました。 |
|
削除対象としてマークされた対応するポリシー。 |
|
転送セッションが削除されたため、セッションが閉じられました。 |
|
マルチキャスト ルートが変更されたため、セッションが閉じられました。 |
|
最初のパスが再ルーティングされ、セッションが再作成されます。 |
|
SPU は中央ポイントから ACK メッセージを受信しましたが、DIP リソースの受信に失敗しました。したがって、このパケットはドロップされ、セッションは閉じられます。 |
|
他のすべての理由(たとえば、pim reg tun の更新が必要)のためにセッションが閉じられました。 |
|
IKE パススルー テンプレート作成エラー。 |
|
IKE パススルー テンプレート セッションに子がないため、セッションが削除されます。 |
|
タイムアウト タイマーが保留状態に達したため、保留中のセッションが閉じられました。 |
|
理由が不明なため、セッションは終了しました。 |
* セッションによっては、宛先と送信元の両方のNATが適用され、情報が記録される場合があります。 |
|
Field |
Description |
|---|---|
|
セッションの作成を試みたパケットの元 IPアドレス。 |
|
セッションの作成を試みたパケットの送信元ポート。 |
|
セッションの作成を試みたパケットの宛先 IP アドレス。 |
|
セッションの作成を試みたパケットの宛先ポート。 |
|
パケットが通過しようとしたアプリケーション。 |
|
セッションの作成を試みたパケットのプロトコル ID。 |
|
拒否されたパケットがICMP設定されていた場合のICMPタイプ。それ以外の場合、このフィールドは 0 になります。 |
|
セッションの作成を拒否したポリシーの名前。 |
エラー処理拡張機能
Chassis Manager FPC 障害検出とエラー処理の機能拡張について
SRX5400、SRX5600、および SRX5800 デバイス上の Junos OS ルーティングエンジン およびマイクロカーネルのエラー検出と管理機能により、ルーティングエンジンと ukernel は、報告されたすべてのエラーアクティビティの履歴とさまざまな重大度レベルのカウンターを蓄積して保存できます。エラーの処理方法を設定し、重大度レベルと、エラーが検出されてしきい値に達したときに実行するアクションを指定できます。保存されている情報に基づいて、発生したエラーのレポートを生成して表示することができます。
Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 以降、IOC と SPC の追加エラーを検出し、エラー管理を強化するエラー検出拡張機能が提供されます。この実装により、 show chassis fpc error トピックで説明したエラー検出と管理が拡張されます。
この機能は、ルーティングエンジン バージョン 1 ではサポートされていません。
IOCおよびSPCでのエラー処理
Junos OS リリース 15.1-X49-D50 および Junos OS リリース 17.3R1 以降、エラー管理の強化は、IOC2 および IOC3 I/O カード(IOC)と SPC2 サービス処理カード(SPC)でサポートされています。一部の拡張機能は、IOC2 と IOC3 または SPC2 FPC のいずれかに固有であり、このトピックでは違いについて説明します。
エラーの検出と管理
エラー管理には以下が伴います。
エラーを検出しています。
Junos OS は、シャーシ コンポーネントの状態を監視して、一連のエラー状態を検出します。検出されたエラーは、事前に設定されたエラー重大度レベルのいずれかに属します。
致死
少佐
マイナー
実行するアクションを特定する。
エラーが発生すると、システムは、エラーの重大度レベルと、設定され満たされたしきい値に基づいて、取るべきアクションを識別します。
FPCは、各エラー重大度レベルごとに一連のエラーカウンターを維持します。エラー カウンター セットは、すべてのエラーに累積されるカウンターと、個々のエラーと種類のカウンターで構成されます。ルーティングエンジンに保存されるのはこの情報です。各発生カウンターは、エラー発生しきい値に関連付けられています。しきい値レベルには 2 つあり、1 つはタイプに基づいており、もう 1 つは重大度に基づいています。
アクションを実行します。
これらの機能拡張では、特定のセキュリティ レベルに対するルーティングエンジンのエラー発生数が設定されたしきい値に達したときにデバイスに指示できる事前設定されたアクションは次のとおりです:
リセット
オフライン
警報
Get-state
丸太
SRX5000シリーズデバイス上のSPC2カードの障害処理アクションを設定する場合は、注意してください。SPC2カードの障害処理アクションをオフラインまたはリセットに設定した場合、カードがオフラインになるか再起動が発生すると、シャーシデーモン(chassisd)はSPCとIOCの両方のすべてのFPCカードを再起動します。つまり、シャーシ全体が再起動されます。
エラー検出プロセス
これらの機能拡張により、次のエラー検出プロセスが有効になり、サポートされます。
ルーティングエンジンバージョン2でのエラー管理。
SPC2 カード上の ukernel モジュールのエラー管理。
IOC2 および IOC3 カードのエラー管理。
ドライバーは、ウェッジ条件のデータパス エラー検出をチェックします。
手記:Trinity オフロード エンジン ドライバーのくさび状態検出は、SPC2 カードでのみサポートされています。つまり、IOC2 および IOC3 カードではサポートされていません。
ホストループバックのウェッジ検出
手記:ホスト ループバックのウェッジ状態検出は、SPC2 カードでのみサポートされています。つまり、IOC2 および IOC3 カードではサポートされていません。
Chassis Manager ファブリック エラー検出。
IOC2 および IOC3 カードでパス エラー検出を制御します。
シャーシクラスタとの統合
シャーシクラスタ環境では、重大または致命的なエラーが原因で初めてアラームが発生すると、冗長グループ1(RG1)スイッチオーバーがトリガーされます。これはSRXシリーズファイアウォールの標準的な動作であり、変更はありません。ただし、これらの機能拡張により、致命的なエラーに対してアラームがデフォルトの障害処理アクション リストに追加されます。デフォルトの障害処理リストにアラームを追加することで、致命的なエラーが検出されるとすぐに、シャーシアラームがRG1スイッチオーバーをトリガーできます。
ウェッジの検出、レポート、管理
ウェッジ状態は、ネットワークトラフィックをブロックするエラーによって発生します。
この機能は、いくつかのタイプのウェッジコンディションを検出します。それ:
くさびが一時的か不可逆的かを決定します。
ウェッジコンディションを統計情報と syslog に記録します。
ルーティングエンジンでシャーシアラームを発生させることで、ネットワーク管理者に不可逆的なウェッジを警告します。
IOC2、IOC3、および SPC2 カードで、以下のデータパス エラー検出が有効になっていることを確認します。
XMドライバーのくさび検出
LUドライバーのくさび検出
XLドライバーのウェッジ検出
TOEドライバーのウェッジ検出(SPC2のみ)
ホストループバックのくさび検出(SPC2のみ)
すべてのデータパスウェッジ条件は、5秒以内に検出され、報告されます。各エラー検出モジュールは、識別可能なウェッジ状態の状態と履歴を記録し、報告します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。