Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 정책 모니터링 및 문제 해결

모니터링 기능은 네트워크의 액세스 활동 상태를 나타내는 의미 있는 데이터를 실시간으로 제공합니다. 이러한 인사이트를 통해 운영 조건을 쉽게 해석하고 영향을 미치게 됩니다. 문제 해결은 네트워크 액세스 문제를 해결하기 위한 상황적 지침을 제공합니다. 그런 다음 사용자 문제를 해결하고 시기적소에 해결책을 제공할 수 있습니다.

보안 경보 이해

정책 위반으로 인하여 패킷이 드롭되면 알람이 트리거됩니다. 정책 위반은 패킷이 거부 또는 거부 정책과 일치할 때 발생합니다. 시스템에서 다음과 같은 감사된 이벤트를 모니터링할 때 정책 위반 경보가 생성됩니다.

  • 특정 기간 내에 소스 네트워크 식별자를 통해 정책 위반 횟수

  • 지정된 기간 내에 대상 네트워크 식별자에 대한 정책 위반 횟수

  • 특정 기간 내에 애플리케이션에 대한 정책 위반 횟수

  • 정책 규칙 또는 지정된 기간 내에 규칙 위반 그룹

이들 4개 이벤트에 해당하는 4가지 유형의 경보가 있습니다. 경보는 소스 IP, 대상 IP, 애플리케이션 및 정책을 기반으로 합니다.

패킷이 거부 또는 거부 정책에 발생하면 모든 활성화된 유형의 알람에 대한 정책 위반 카운터가 증가합니다. 카운터가 지정된 기간 내에 지정된 임계값에 도달하면 경보가 생성됩니다. 지정된 기간이 지난 후 정책 위반 카운터가 리셋되어 다시 사용되어 또 다른 카운트 사이클을 시작하게 됩니다.

알람 정보를 보시다가 명령을 실행 show security alarms 합니다. 위반 횟수와 경보는 시스템 재부팅 전반에서 계속 유지되지 않습니다. 재부팅하면 위반 횟수가 0으로 리셋되어 경보 큐에서 경보가 지워지며,

적절한 조치를 취한 후 알람을 지우면 됩니다. 이를 지우거나 디바이스를 재부팅할 때까지 대기열에 알람이 남아 있습니다. 경보를 지우기 위해 명령을 실행 clear security alarms 합니다. 경보를 지우면 후속 플로우 정책 위반으로 인해 새로운 경보가 발생할 수 있습니다.

예: 정책 위반에 대응하여 보안 경보 생성

이 예에서는 정책 위반이 발생할 때 시스템 경보를 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 정책 위반이 발생하면 알람이 제기되지 않습니다.

요구 사항

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

다음 예제에서 다음과 같은 경우 발생하도록 경보를 구성합니다.

  • 애플리케이션 크기는 10240개입니다.

  • 소스 IP 위반은 20초 이내에 1000을 초과합니다.

  • 대상 IP 위반은 10초 내에 1000건을 초과합니다.

  • 정책 일치 위반은 100개 유닛 크기로 100을 초과합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, [edit] commit 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 입력합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 해당 방법에 대한 지침은 사용자 가이드의 Configuration Mode에서 CLI 편집자 CLI 참조하십시오.

정책 위반 알람 구성:

  1. 보안 알람을 활성화합니다.

  2. 애플리케이션 위반이 발생하면 경보가 발생해야 한다고 지정합니다.

  3. Source IP 위반이 발생하면 경보가 발생해야 한다고 지정합니다.

  4. 대상 IP 위반이 발생하면 경보가 발생해야 한다고 지정합니다.

  5. 정책 일치 위반이 발생하면 경보가 발생해야 한다고 지정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인 show security alarms 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 commit 모드에서 입력합니다.

확인

작동 모드에서 구성이 올바르게 작동하고 있는지 확인하려면 명령을 입력 show security alarms 합니다.

매칭 보안 정책

show security match-policies 명령을 사용하면 소스 포트, 대상 포트, 소스 IP 주소, 대상 IP 주소 및 프로토콜과 같은 일치 기준을 사용하여 트래픽 문제를 해결할 수 있습니다. 예를 들어 적절한 정책이 구성되지 않거나 일치 조건이 부정확하기 때문에 트래픽이 통과하지 않는 경우 이 show security match-policies 명령어를 사용하여 오프라인으로 작동하고 문제가 실제로 존재하는 위치를 식별할 수 있습니다. 검색 엔진을 사용하여 문제를 식별하고 트래픽에 적합한 일치 정책을 사용할 수 있습니다.

result-count 옵션은 표시할 정책 수를 지정합니다. 목록에서 최초로 활성화된 정책은 모든 일치 트래픽에 적용되는 정책입니다. 그 아래의 다른 정책은 1차적으로 "쉐도우"며, 트래픽 매칭에 의해 발생되지 않습니다.

참고:

show security match-policies 명령은 보안 정책에만 적용됩니다. 침입 탐지 및 방지(IDP) 정책은 지원되지 않습니다.

예 1: 보안 일치 정책 표시

예제 2: 결과 카운트 옵션 사용

기본적으로 출력 목록에는 지정된 특성을 포함하는 트래픽에 적용되는 정책이 포함되어 있습니다. 기준에 일치하는 하나 이상의 정책을 나열하기 위해 이 옵션을 result-count 사용합니다. 나열된 첫 번째 정책은 항상 일치하는 트래픽에 적용되는 정책입니다. result-count 값이 2에서 16인 경우 출력에는 지정된 에 해당 기준과 일치하는 모든 정책이 포함됩니다 result-count. 첫 번째 정책 이후 나열된 모든 정책은 첫 번째 정책에 따라 "쉐도우"며, 일치하는 트래픽에는 적용되지 않습니다.

이 옵션을 사용하여 새 정책의 포지션을 테스트하거나 특정 트래픽에 예상대로 적용되지 않는 정책을 해결합니다.

다음 예제에서 트래픽 기준은 2개의 정책과 일치합니다. 나열된 첫 번째 정책은 p1트래픽에 적용되는 작업을 포함합니다. 정책 p15 은 첫 번째 정책에 따라 쉐도우가 드리우며, 그 조치는 일치하는 트래픽에 적용되지 않습니다.

정책 히트 카운트 추적

명령어 show security policies hit-count 를 사용하여 수신 히트 수에 따라 보안 정책 유틸리티 비율을 표시합니다. 이 기능을 사용하면 디바이스에서 어떤 정책이 사용되고 있으며 얼마나 자주 사용되는지 판단할 수 있습니다. 선택한 명령 옵션에 따라, 순서 없이 또는 오르는 순서로 정렬하거나 나열할 수 있으며, 특정 카운트 이상 또는 범위 내에서 히트 수로 제한될 수 있습니다. 데이터는 정책 또는 지정 존과 관련된 모든 존에 대해 표시됩니다.

SRX 시리즈 디바이스의 메모리 사용 확인

정책 구성 이전 및 이후 메모리 값을 비교하여 메모리 문제를 격리할 수 있습니다.

SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 및 SRX5800 디바이스(설치의 Junos OS 릴리스에 따라 다름)의 플로우 엔티티에 대한 메모리가 동적으로 할당됩니다. 그러나 특정 관행은 장비의 현재 메모리 사용량을 모니터링하고 특히 정책 구현 중에 시스템 구성의 크기를 개선하기 위해 매개 변수를 최적화하는 데 도움이 될 수 있습니다.

메모리 사용량을 검사하는 경우:

  • 명령어를 show chassis routing-engine 사용하여 전체적인 RE(라우팅 엔진) 메모리 사용량을 검사합니다. 이 명령의 다음 출력은 메모리 활용률이 39%로 나타났습니다.

  • 명령어 show system processes extensive 를 사용하여 명령어에서 실행되는 프로세스에 대한 라우팅 엔진.

    명령어 find nsd show system processes extensive 의 옵션을 사용하여 총 메모리를 사용하는 NSD(Network Security Daemon)의 직접 사용을 10메가바이트로, CPU 사용량은 0%입니다.

  • 구성 파일 크기를 체크합니다. 네트워크로 나가기 전에 고유한 이름으로 구성 파일을 CLI. 그런 다음, ls -1 filename UNIX 레벨 쉘의 쉘 프롬프트에서 셸 프롬프트를 입력하여 다음 샘플 출력에 표시된 파일 크기를 검사합니다.

보안 정책 통계 모니터링

목적

이전에 구성된 정책을 기반으로 허용 또는 Junos OS 트래픽을 모니터링하고 기록합니다.

작업

트래픽을 모니터링하려면 카운트 및 로그 옵션을 활성화합니다.

카운트— 개별 정책으로 구성 가능. 카운트가 설정되면 해당 정책에 대해 디바이스를 입력하는 세션과 해당 정책에 대해 양방향으로 디바이스를 통과하는 패킷 및 bytes 수에 대한 통계가 수집됩니다. 카운트(패킷 및 bytes에 한해)는 트래픽이 지정된 임계값을 초과할 때 발생되는 경보를 지정할 수 있습니다. 카 운트(보안 정책)를 참조합니다.

로그— 로깅 기능은 세션 초기화(세션 초기화) 또는 세션 종료(세션 종료) 단계 동안 보안 정책을 통해 활성화될 수 있습니다. 로그 (보안 정책)를 참조합니다.

  • 거부된 연결에서 로그를 확인하려면 세션 인it에 로그를 활성화합니다.

  • 결론/말단 종료 이후 세션을 로그하려면 세션 종료 시 로그를 활성화합니다.

참고:

세션 로그는 사용자 성능에 영향을 미치는 플로우 코드에서 실시간으로 활성화됩니다. 세션 마감(session-close ) 및 세션 인시트( session-init )를 모두 사용할 수 있는 경우, 세션 기반 전용 설정에 비해 성능이 더욱 저하 됩니다.

세션 로그에 대해 수집되는 정보에 대한 자세한 내용은 SRX 시리즈 서비스 게이트웨이의 세션 로그 엔트리에서 제공하는 정보를 참조하십시오.

쉐도우 정책 검증

모든 쉐도우 정책 검증

목적

하나 이상의 정책을 쉐도우로 적용하는 모든 정책을 검증합니다.

작업

작동 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우 명령을 입력 show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name 합니다.

  • 글로벌 정책의 경우 명령어를 입력 show security shadow-policies logical-system lsys-name global 합니다.

의미

출력은 다른 정책을 쉐도우하는 모든 정책 목록을 표시합니다. 이 예에서는 P1 정책이 P3 및 P4 정책과 P2 정책의 쉐도우(shadow) P5 정책을 쉐도우(shadow)합니다.

하나 이상의 정책 쉐도우 정책 검증

목적

해당 정책이 하나 이상의 정책에 쉐도우를 적용하는지 검증합니다.

작업

작동 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우 명령을 입력 show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name 합니다.

  • 글로벌 정책의 경우 명령어를 입력 show security shadow-policies logical-system lsys-name global policy policy-name 합니다.

의미

출력은 해당 정책에 따라 쉐도우를 표시하는 모든 정책을 표시합니다. 이 예에서는 P1 정책이 P3 및 P4 정책을 쉐도우로 숨기게 합니다.

하나 이상의 정책에 의해 정책이 쉐도우 사용 쉐도우 사용 확인

목적

해당 정책이 하나 이상의 포지션에 의해 쉐도우를 숨기고 있는지 검증합니다.

작업

작동 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우 명령을 입력 show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reverse 합니다.

  • 글로벌 정책의 경우 명령어를 입력 show security shadow-policies logical-system lsys-name global policy policy-name reverse 합니다.

의미

출력은 하나 이상의 정책에 의해 쉐도우를 표시하는 주어진 정책을 표시합니다. 이 예에서 P4 정책은 P1 정책에 따라 쉐도우를 숨기고 있습니다.

보안 정책 문제 해결

정책 간의 라우팅 엔진 패킷 전달 엔진

문제

설명

보안 정책은 라우팅 엔진과 패킷 포우링 엔진에 저장됩니다. 보안 정책은 구성을 커밋할 때 라우팅 엔진 패킷 전달 엔진 정책으로 푸시됩니다. 에지의 보안 정책이 라우팅 엔진 동기화되지 패킷 전달 엔진 구성 커밋에 실패합니다. 커밋이 반복되는 경우 코어 덤프 파일을 생성할 수 있습니다. 동기화가 유출될 수 있습니다.

  • 전송 중 라우팅 엔진 패킷 전달 엔진 메시지는 손실됩니다.

  • REUSED 정책 UID와 같은 라우팅 엔진 오류

환경

구성을 커밋하려면 라우팅 엔진 패킷 전달 엔진 정책이 동기화되어야 합니다. 그러나 특정 상황에서 라우팅 엔진 정책과 패킷 전달 엔진 동기화되지 않을 수 있으며, 이로 인해 커밋이 실패할 수 있습니다.

증상

정책 구성이 수정되어 정책이 동기화되지면 다음 오류 메시지가 표시됩니다. error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

솔루션

명령어 show security policies checksum 를 사용하여 보안 정책 checksum request security policies resync 값을 표시하고 이 명령을 사용하여 보안 정책이 동기화되지 라우팅 엔진 패킷 전달 엔진 보안 정책 구성을 동기화합니다.

보안 정책 커밋 실패 확인

문제

설명

대부분의 정책 구성 장애는 커밋 또는 런타임 중에 발생합니다.

커밋 장애는 구성 모드에서 CLI 명령 커밋 -체크 인을 실행할 때 CLI 보고됩니다. 이러한 오류는 구성 오류일 수 있으며 이러한 오류를 수정하지 않고는 구성을 커밋할 수 없습니다.

솔루션

이러한 오류를 해결하기 위해 다음을 합니다.

  1. 구성 데이터를 검토합니다.

  2. 파일/var/log/nsd_chk_only. 커밋 검사를 수행할 때마다 이 파일에 덮어 사용하며 상세한 장애 정보가 포함되어 있습니다.

보안 정책 커밋 검증

문제

설명

정책 구성 커밋을 수행한 후 시스템 동작이 올바르지 않다고 확인된 경우 다음 단계를 사용하여 이 문제를 해결합니다.

솔루션

  1. Operational show Commands—보안 정책을 위해 운영 명령을 실행하고 출력에 표시된 정보가 예상한 정보와 일치하는지 검증합니다. 그렇지 않은 경우 구성을 적절하게 변경해야 합니다.

  2. 추적 기능—정책 구성 traceoptions 에서 명령을 설정합니다. 이 계층의 플래그는 명령 출력의 사용자 분석에 따라 선택할 show 수 있습니다. 어떤 플래그를 사용할지 판단할 수 없는 경우 플래그 all 옵션을 사용하여 모든 추적 로그를 포착할 수 있습니다.

또한 로그를 포착하기 위해 파일명 선택을 구성할 수도 있습니다.

추적 옵션에 파일 이름을 지정한 경우 /var/log/<filename를 확인하여 > 오류가 파일에 보고된 경우 로그 파일을 확인 할 수 있습니다. (파일 이름을 지정하지 않은 경우 기본 파일명은 이벤트됩니다.) 오류 메시지는 장애의 장소와 적절한 이유를 나타냅니다.

trace 옵션을 구성한 후 잘못된 시스템 동작을 유발하는 구성 변경을 다시 커밋해야 합니다.

디버깅 정책 룩업

문제

설명

올바른 구성이 있지만 일부 트래픽이 잘못 삭제되거나 허용된 경우 보안 lookup 정책 추적(traceoptions)에 플래그를 활성화할 수 있습니다. 플래그 lookup 는 추적 파일에서 룩업 관련 트레이스를 기록합니다.

솔루션

주소 이름 고가용성(HA)(고가용성) 캐시 동기화

NSD(Network Security Process)는 시스템이 재부팅하거나, 고가용성(HA), 프로세스가 충돌하는 경우 재시작됩니다. 이 기간 동안 보안 관리 장치에 구성된 많은 도메인 이름 주소가 있는 경우 SRX 시리즈 디바이스가 DNS 서버로 요청을 전송하여 모든 해결된 IP 주소를 얻습니다. 많은 수의 DNS 쿼리 및 응답이 교환될 때 많은 양의 시스템 리소스가 사용됩니다. 따라서 SRX 시리즈 디바이스는 DNS 서버의 응답을 얻을 수 없습니다. 주소록 엔트리의 호스트 이름 주소가 올바르게 해결되지 않을 수 있습니다. 이로 인해 보안 정책이나 세션 일치가 발견되지아 트래픽이 드롭될 수 있습니다. SRX 시리즈 디바이스에서 새로운 기능 향상은 DNS 쿼리 결과를 로컬 DNS 캐시 파일로 캐싱하고 DNS 캐시 파일을 기본 노드에서 고가용성(HA) 백업 노드로 주기적으로 동기화하여 이러한 고가용성(HA) 해결합니다. DNS 캐시 파일에는 IP 주소, 도메인 이름 및 TTL 값이 저장됩니다. 장애 복원이 고가용성(HA) 후 이전 백업 노드가 기본 노드가 됩니다. 모든 DNS 캐시 결과는 새로운 기본 노드에서 지원하기 때문에 정책 규칙에 따라 보안 정책 처리가 계속되고 통과(pass-through) 트래픽이 허용됩니다.

Junos OS Release 19.3R1 시작되는 정책 DNS 캐시 메모리는 고가용성(HA) 활성 노드의 하나의 로컬 DNS 캐시 파일로 동기화되어 고가용성(HA) 백업 노드에 복사되어 NSD 재시작 동안 DNS 쿼리 또는 응답을 억제합니다.

동기화를 위해 다음 단계가 수행됩니다.

  1. 정책 DNS 캐시 메모리는 이 기간 동안 정책 DNS 캐시 메모리 컨텐트가 변경된 경우 30초 마다 /var/db/ policy_dns_cache 경로에 위치한 하나의 로컬 정책 DNS 캐시 파일로 동기화됩니다.

  2. 로컬 DNS 캐시 파일이 1단계에서 로컬 DNS 캐시 고가용성(HA) 즉시 고가용성(HA) 백업 노드로 동기화됩니다.

동기화에는 다음 내용이 포함됩니다.

  • 도메인 이름

  • IPv4 주소 목록 및 TTL(사용 시간)

  • IPv6 주소 목록 및 TTL

NSD가 재시작하면 로컬 DNS 캐시 파일을 읽고 구문 분석하고 모든 캐시 엔트리를 메모리로 가져오습니다. 동기화는 NSD 재시작 중에 DNS 쿼리가 억제되도록 보장합니다. 정책 구성을 읽을 때 도메인 고가용성(HA) 대한 해결된 IP 주소가 DNS 캐시 메모리에 존재하기 때문에, NSD는 고가용성(HA) 동안 새로운 기본 노드에서 재시작됩니다. 따라서, 도메인 네임에 대한 모든 해결된 IP 주소는 새 기본 노드의 네트워크 고가용성(HA) 보안 정책 상에 정책 내부에 존재하기 때문에 페일오버 이후 보안 정책에 따라 새로운 통과 트래픽이 라우팅 엔진 패킷 전달 엔진.