Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

보안 정책 모니터링 및 문제 해결

모니터링은 네트워크의 액세스 활동 상태를 나타내는 의미 있는 데이터를 실시간으로 제공합니다. 이 통찰력을 통해 작동 조건을 쉽게 해석하고 적용할 수 있습니다. 문제 해결은 네트워크의 액세스 문제를 해결하기 위한 상황별 지침을 제공합니다. 그런 다음 사용자 문제를 해결하고 적시에 해결 방법을 제공할 수 있습니다.

보안 경보 이해

정책 위반으로 인해 패킷이 삭제되면 알람이 트리거됩니다. 패킷이 거부 또는 거부 정책과 일치할 때 정책 위반이 발생합니다. 정책 위반 경보는 시스템이 다음과 같은 감사 이벤트 중 하나를 모니터링할 때 생성됩니다.

  • 지정된 기간 내 소스 네트워크 식별자에 의한 정책 위반 수

  • 지정된 기간 내 대상 네트워크 식별자에 대한 정책 위반 수

  • 지정된 기간 내 애플리케이션에 대한 정책 위반 수

  • 지정된 기간 내의 정책 규칙 또는 규칙 위반 그룹

이러한 네 가지 이벤트에 해당하는 네 가지 유형의 경보가 있습니다. 경보는 소스 IP, 대상 IP, 애플리케이션 및 정책을 기반으로 합니다.

패킷이 거부 또는 거부 정책을 만나면 활성화된 모든 유형의 경보에 대한 정책 위반 카운터가 증가합니다. 카운터가 지정된 기간 내에 지정된 임계값에 도달하면 알람이 생성됩니다. 지정된 기간이 지나면 정책 위반 카운터가 재설정되고 다시 사용되어 다른 계산 주기를 시작합니다.

경보 정보를 보려면 명령을 실행합니다 show security alarms . 위반 횟수 및 경보는 시스템 재부팅 후에도 지속되지 않습니다. 재부팅 후 위반 횟수가 0으로 재설정되고 경보가 경보 대기열에서 지워집니다.

적절한 조치를 취한 후 알람을 지울 수 있습니다. 알람은 지울 때까지(또는 디바이스를 재부팅할 때까지) 대기열에 남아 있습니다. 알람을 지우려면 명령을 실행합니다 clear security alarms . 알람을 지운 후 연속적인 플로우 정책 위반으로 인해 새 알람이 발생할 수 있습니다.

예: 정책 위반에 대한 응답으로 보안 경보 생성

이 예는 정책 위반이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 정책 위반이 발생할 때 경보가 발생하지 않습니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 다음과 같은 경우 발생할 경보를 구성합니다.

  • 응용 프로그램 크기는 10240 단위입니다.

  • 소스 IP 위반이 20초 이내에 1000을 초과합니다.

  • 대상 IP 위반이 10초 이내에 1000을 초과합니다.

  • 정책 일치 위반이 100을 초과하고 크기는 100단위입니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 다음 명령을 복사하여 텍스트 파일에 붙여 넣고, 줄 바꿈을 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 에 붙여넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

정책 위반 경보를 구성하려면 다음을 수행합니다.

  1. 보안 경보를 활성화합니다.

  2. 응용 프로그램 위반이 발생할 때 경보가 발생하도록 지정합니다.

  3. 소스 IP 위반이 발생할 때 경보가 발생하도록 지정합니다.

  4. 대상 IP 위반이 발생할 때 경보가 발생하도록 지정합니다.

  5. 정책 일치 위반이 발생할 때 경보가 발생하도록 지정합니다.

결과

구성 모드에서 명령을 입력하여 show security alarms 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 운영 모드에서 명령을 입력합니다 show security alarms .

보안 정책 일치

show security match-policies 명령을 사용하면 일치 기준(소스 포트, 대상 포트, 소스 IP 주소, 대상 IP 주소 및 프로토콜)을 사용하여 트래픽 문제를 해결할 수 있습니다. 예를 들어, 적절한 정책이 구성되지 않았거나 일치 기준이 올바르 show security match-policies 지 않아 트래픽이 전달되지 않는 경우 명령을 사용하여 오프라인으로 작업하고 문제가 실제로 존재하는 위치를 식별할 수 있습니다. 검색 엔진을 사용하여 문제를 식별하므로 트래픽에 적합한 동영상 일치 정책을 사용할 수 있습니다.

result-count 옵션은 표시할 정책 수를 지정합니다. 목록에서 활성화된 첫 번째 정책은 일치하는 모든 트래픽에 적용되는 정책입니다. 그 아래의 다른 정책은 첫 번째 정책에 의해 "섀도우"되며 일치하는 트래픽에 의해 발생하지 않습니다.

참고:

명령은 show security match-policies 보안 정책에만 적용할 수 있습니다. 침입 탐지 및 방지(IDP) 정책은 지원되지 않습니다.

예 1: 보안 일치 정책 표시

예제 2: result-count 옵션 사용

기본적으로 출력 목록에는 지정된 특성을 가진 트래픽에 적용될 정책이 포함됩니다. 기준과 일치하는 정책을 두 개 이상 나열하려면 옵션을 사용합니다 result-count . 나열된 첫 번째 정책은 항상 일치하는 트래픽에 적용되는 정책입니다. result-count 값이 2에서 16 사이인 경우, 출력에는 지정된 result-count까지 기준과 일치하는 모든 정책이 포함됩니다. 첫 번째 정책 이후에 나열된 모든 정책은 첫 번째 정책에 의해 "섀도우"되며 일치하는 트래픽에 적용되지 않습니다.

이 옵션을 사용하여 새 정책의 포지셔닝을 테스트하거나 특정 트래픽에 대해 예상대로 적용되지 않는 정책의 문제를 해결할 수 있습니다.

다음 예에서 트래픽 기준은 두 정책과 일치합니다. 나열된 p1첫 번째 정책 에는 트래픽에 적용된 작업이 포함되어 있습니다. 정책은 p15 첫 번째 정책에 의해 섀도우 처리되므로, 해당 작업은 일치하는 트래픽에 적용되지 않습니다.

추적 정책 적중 횟수

show security policies hit-count 명령을 사용하여 수신하는 히트 수에 따라 보안 정책의 유틸리티 비율을 표시합니다. 이 기능을 사용하여 디바이스에서 사용 중인 정책과 사용 빈도를 확인할 수 있습니다. 선택한 명령 옵션에 따라 적중 횟수를 순서 없이 나열하거나 오름차순 또는 내림차순으로 정렬할 수 있으며, 특정 개수 또는 범위 내에 있는 적중 횟수로 제한할 수 있습니다. 정책 또는 명명된 영역과 연결된 모든 영역에 대한 데이터가 표시됩니다.

SRX 시리즈 디바이스의 메모리 사용량 확인

정책 구성 전후의 메모리 값을 비교하여 메모리 문제를 격리할 수 있습니다.

SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 및 SRX5800 디바이스의 정책, 영역 또는 주소와 같은 플로우 엔터티에 대한 메모리(설치의 Junos OS 릴리스에 따라 다름)는 동적으로 할당됩니다. 그러나 특정 사례는 디바이스의 현재 메모리 사용량을 모니터링하고 매개 변수를 최적화하여 특히 정책 구현 중에 시스템 구성의 크기를 조정하는 데 도움이 될 수 있습니다.

메모리 사용량을 확인하려면,

  • 명령을 사용하여 전체 RE(Routing Engine) 메모리 사용량을 show chassis routing-engine 확인합니다. 이 명령의 다음 출력은 39%의 메모리 사용률을 보여 줍니다.

  • show system processes extensive 명령을 사용하여 라우팅 엔진에서 실행 중인 프로세스에 대한 정보를 획득합니다.

    find nsd 명령의 show system processes extensive 옵션을 사용하여 사용 중인 총 메모리가 10MB이고 CPU 사용률이 0%인 NSD(Network Security Daemon)에서 직접 사용량을 확인합니다.

  • 구성 파일 크기를 확인합니다. CLI를 종료하기 전에 고유한 이름으로 구성 파일을 저장합니다. 그런 다음, UNIX 수준 셸의 셸 프롬프트에서 명령을 입력하여 ls -1 filename 다음 샘플 출력에 표시된 대로 파일 크기를 확인합니다.

보안 정책 통계 모니터링

목적

Junos OS가 이전에 구성된 정책을 기반으로 허용하거나 거부하는 트래픽을 모니터링하고 기록합니다.

작업

트래픽을 모니터링하려면 count 및 log 옵션을 활성화합니다.

개수—개별 정책에서 구성할 수 있습니다. count가 활성화되면 지정된 정책에 대해 디바이스에 들어오는 세션과 지정된 정책에 대해 양방향으로 디바이스를 통과하는 패킷 및 바이트 수에 대한 통계가 수집됩니다. counts(패킷 및 바이트에만 해당)의 경우 트래픽이 지정된 임계값을 초과할 때마다 경보가 생성되도록 지정할 수 있습니다. count(보안 정책)를 참조하십시오.

로그—로깅 기능은 세션 초기화(session-init) 또는 세션 닫기(session-close) 단계 중에 보안 정책을 통해 활성화할 수 있습니다. 로그(보안 정책)를 참조하십시오.

  • 거부된 연결의 로그를 보려면 session-init에서 로그온을 활성화합니다.

  • 종료/해제 후 세션을 기록하려면 세션 닫기 로그온을 사용하도록 설정합니다.

참고:

세션 로그는 사용자 성능에 영향을 미치는 플로우 코드에서 실시간으로 활성화됩니다. session-close와 session-init를 모두 활성화하면 session-init만 활성화하는 것에 비해 성능이 더 저하됩니다.

세션 로그를 위해 수집된 정보에 대한 자세한 내용은 SRX 시리즈 서비스 게이트웨이의 세션 로그 항목에서 제공되는 정보를 참조하십시오.

섀도우 정책 확인

모든 섀도우 정책 확인

목적

하나 이상의 정책을 섀도우 처리하는 모든 정책을 확인합니다.

작업

운영 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우 명령을 입력합니다 show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name .

  • 글로벌 정책의 경우 명령을 입력합니다 show security shadow-policies logical-system lsys-name global .

의미

출력에는 다른 정책을 섀도우 처리하는 모든 정책 목록이 표시됩니다. 이 예에서 P1 정책은 P3 및 P4 정책을 섀도우 처리하고 P2 정책은 P5 정책을 섀도우 처리합니다.

정책 확인 하나 이상의 정책 섀도우

목적

지정된 정책이 그 뒤에 배치된 하나 이상의 정책을 섀도우 처리하는지 확인합니다.

작업

운영 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우 명령을 입력합니다 show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name .

  • 글로벌 정책의 경우 명령을 입력합니다 show security shadow-policies logical-system lsys-name global policy policy-name .

의미

출력에는 지정된 정책에 의해 섀도우 처리된 모든 정책이 표시됩니다. 이 예에서 P1 정책은 P3 및 P4 정책을 섀도우 처리합니다.

정책이 하나 이상의 정책에 의해 섀도우 처리되는지 확인

목적

지정된 정책이 그 앞에 배치된 하나 이상의 정책에 의해 섀도우 처리되는지 확인합니다.

작업

운영 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우 명령을 입력합니다 show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reverse .

  • 글로벌 정책의 경우 명령을 입력합니다 show security shadow-policies logical-system lsys-name global policy policy-name reverse .

의미

출력에는 하나 이상의 정책에 의해 섀도우 처리된 지정된 정책이 표시됩니다. 이 예에서 P4 정책은 P1 정책에 의해 섀도우 처리됩니다.

보안 정책 문제 해결

라우팅 엔진과 패킷 전달 엔진 간의 정책 동기화

문제

설명

보안 정책은 라우팅 엔진과 패킷 전달 엔진에 저장됩니다. 구성을 커밋할 때 보안 정책이 라우팅 엔진에서 패킷 전달 엔진으로 푸시됩니다. 라우팅 엔진의 보안 정책이 패킷 전달 엔진과 동기화되지 않으면 구성 커밋이 실패합니다. 커밋을 반복적으로 시도하면 코어 덤프 파일이 생성될 수 있습니다. 동기화되지 않은 이유는 다음과 같습니다.

  • 라우팅 엔진에서 패킷 전달 엔진으로의 정책 메시지는 전송 중에 손실됩니다.

  • 재사용된 정책 UID와 같은 라우팅 엔진에 오류가 있습니다.

환경

구성을 커밋하려면 라우팅 엔진과 패킷 전달 엔진의 정책이 동기화되어야 합니다. 그러나 특정 상황에서는 라우팅 엔진과 패킷 전달 엔진의 정책이 동기화되지 않아 커밋이 실패할 수 있습니다.

증상

정책 구성이 수정되고 정책이 동기화되지 않으면 다음 오류 메시지가 표시됩니다. error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

솔루션

show security policies checksum 명령을 사용하여 보안 정책 체크섬 값을 표시하고, 보안 정책이 동기화되지 않은 경우 명령을 사용하여 request security policies resync 라우팅 엔진 및 패킷 전달 엔진의 보안 정책 구성을 동기화합니다.

보안 정책 커밋 실패 확인

문제

설명

대부분의 정책 구성 실패는 커밋 또는 런타임 중에 발생합니다.

구성 모드에서 CLI 명령 commit-check 를 실행할 때 커밋 실패가 CLI에 직접 보고됩니다. 이러한 오류는 구성 오류이며, 이러한 오류를 수정하지 않고는 구성을 커밋할 수 없습니다.

솔루션

이러한 오류를 해결하려면 다음을 수행합니다.

  1. 구성 데이터를 검토합니다.

  2. /var/log/nsd_chk_only 파일을 엽니다. 이 파일은 커밋 검사를 수행할 때마다 덮어쓰며 자세한 실패 정보를 포함합니다.

보안 정책 커밋 확인

문제

설명

정책 구성 커밋을 수행할 때 시스템 동작이 올바르지 않은 경우 다음 단계를 사용하여 이 문제를 해결합니다.

솔루션

  1. Operational show Commands - 보안 정책에 대한 운영 명령을 실행하고 출력에 표시된 정보가 예상한 것과 일치하는지 확인합니다. 그렇지 않은 경우 구성을 적절하게 변경해야 합니다.

  2. Traceoptions - 정책 구성에서 명령을 설정합니다 traceoptions . 이 계층 아래의 플래그는 명령 출력의 사용자 분석에 따라 선택할 수 있습니다 show . 사용할 플래그를 결정할 수 없는 경우 flag 옵션을 all 사용하여 모든 추적 로그를 캡처할 수 있습니다.

로그를 캡처하기 위해 선택적 파일 이름을 구성할 수도 있습니다.

추적 옵션에서 파일 이름을 지정한 경우 /var/log/<filename>에서 로그 파일을 확인하여 파일에 오류가 보고되었는지 확인할 수 있습니다. (파일 이름을 지정하지 않은 경우 기본 파일 이름이 이벤트됩니다.) 오류 메시지는 실패 위치와 적절한 이유를 나타냅니다.

추적 옵션을 구성한 후에는 잘못된 시스템 동작을 일으킨 구성 변경을 다시 커밋해야 합니다.

디버깅 정책 조회

문제

설명

구성이 올바르지만 일부 트래픽이 잘못 삭제되거나 허용된 경우 보안 정책 traceoptions에서 플래그를 lookup 활성화할 수 있습니다. 플래그는 lookup 조회 관련 추적을 추적 파일에 기록합니다.

솔루션

주소 이름 확인 캐시의 고가용성(HA) 동기화

NSD(네트워크 보안 프로세스)는 시스템이 다시 부팅되거나, HA 페일오버가 발생하거나, 프로세스가 충돌할 때 다시 시작됩니다. 이 기간 동안 보안 정책에 많은 수의 도메인 이름 주소가 구성된 경우 SRX 시리즈 방화벽은 DNS 서버에 요청을 보내 확인된 모든 IP 주소를 가져오려고 시도합니다. 많은 수의 DNS 쿼리 및 응답이 교환될 때 많은 양의 시스템 리소스가 사용됩니다. 따라서 SRX 시리즈 방화벽은 DNS 서버로부터 응답을 얻을 수 없으며 주소록 항목의 호스트 이름 주소가 올바르게 확인되지 않을 수 있습니다. 이로 인해 보안 정책 또는 세션 일치가 발견되지 않아 트래픽이 손실될 수 있습니다. SRX 시리즈 방화벽의 새로운 개선 사항은 DNS 쿼리 결과를 로컬 DNS 캐시 파일로 캐싱하고 HA 기본 노드에서 HA 백업 노드로 DNS 캐시 파일을 주기적으로 동기화하여 이 문제를 해결합니다. DNS 캐시 파일은 IP 주소, 도메인 이름 및 TTL 값을 저장합니다. HA 페일오버 후에는 이전 백업 노드가 기본 노드가 됩니다. 모든 DNS 캐시 결과를 새 기본 노드에서 사용할 수 있으므로 보안 정책 처리가 계속되고 정책 규칙에 따라 패스스루 트래픽이 허용됩니다.

Junos OS 릴리스 19.3R1부터 정책 DNS 캐시 메모리는 HA 활성 노드에 있는 하나의 로컬 DNS 캐시 파일로 동기화되고 HA 백업 노드에 복사되어 NSD를 다시 시작하는 동안 DNS 쿼리 또는 응답을 억제합니다.

동기화를 수행하기 위해 다음 단계가 수행됩니다.

  1. 이 기간 동안 정책 DNS 캐시 메모리 컨텐츠가 변경된 경우 정책 DNS 캐시 메모리는 30초마다 /var/db/policy_dns_cache 경로에 있는 하나의 로컬 정책 DNS 캐시 파일로 동기화됩니다.

  2. 로컬 DNS 캐시 파일은 1단계에서 로컬 DNS 캐시 파일을 업데이트한 직후 HA 기본 노드에서 HA 백업 노드로 동기화됩니다.

동기화에는 다음 내용이 포함됩니다.

  • 도메인 이름

  • IPv4 주소 목록 및 TTL(Time to Live)

  • IPv6 주소 목록 및 해당 TTL

NSD가 다시 시작되면 로컬 DNS 캐시 파일을 읽고 구문 분석하고 모든 캐시 항목을 메모리로 가져옵니다. 동기화는 NSD를 다시 시작하는 동안 DNS 쿼리가 억제되도록 합니다. 정책 구성을 읽을 때 도메인 이름에 대한 확인된 IP 주소가 DNS 캐시 메모리에 이미 존재하므로 HA 페일오버 중에 NSD가 새 기본 노드에서 다시 시작됩니다. 따라서 도메인 이름에 대해 확인된 모든 IP 주소가 새 기본 노드의 라우팅 엔진 및 패킷 전달 엔진의 정책 내에 존재하기 때문에 HA 페일오버 후 보안 정책에 따라 새로운 패스스루 트래픽이 허용됩니다.