Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

보안 정책 모니터링 및 문제 해결

모니터링은 네트워크에서의 액세스 활동 상태를 나타내는 의미 있는 데이터를 실시간으로 제공합니다. 이러한 인사이트를 통해 운영 조건을 쉽게 해석하고 효과를 줄 수 있습니다. 문제 해결은 네트워크의 액세스 문제를 해결하기 위한 상황에 맞는 지침을 제공합니다. 그런 다음 사용자 문제를 해결하고 적시에 해결책을 제공할 수 있습니다.

보안 알람 이해

정책 위반으로 인해 패킷이 드롭되면 알람이 트리거됩니다. 정책 위반은 패킷이 거부 또는 거부 정책과 일치할 때 발생합니다. 정책 위반 알람은 시스템이 다음과 같은 감사 이벤트를 모니터링할 때 생성됩니다.

  • 지정된 기간 내 소스 네트워크 식별자에 의한 정책 위반 수

  • 지정된 기간 내에 대상 네트워크 식별자에 대한 정책 위반 수

  • 지정된 기간 내 애플리케이션에 대한 정책 위반 수

  • 지정된 기간 내의 정책 규칙 또는 규칙 위반 그룹

이 네 가지 이벤트에 해당하는 네 가지 유형의 알람이 있습니다. 알람은 소스 IP, 대상 IP, 애플리케이션 및 정책을 기반으로 합니다.

패킷이 거부 또는 거부 정책을 발견하면, 활성화된 모든 유형의 알람에 대한 정책 위반 카운터가 증가합니다. 지정된 기간 내에 카운터가 지정된 임계값에 도달하면 알람이 생성됩니다. 지정된 기간이 지나면 정책 위반 카운터가 재설정되고 재사용하여 다른 계산 주기를 시작합니다.

알람 정보를 보려면 명령을 실행합니다. show security alarms 위반 횟수 및 알람은 시스템 재부팅 후에도 지속되지 않습니다. 재부팅 후 위반 횟수가 0으로 재설정되고 알람이 알람 대기열에서 지워집니다.

적절한 조치를 취한 후 알람을 지울 수 있습니다. 알람은 지울 때까지(또는 디바이스를 재부팅할 때까지) 대기열에 남아 있습니다. 알람을 지우려면 명령을 실행합니다. clear security alarms 알람을 지운 후 후속 일련의 플로우 정책 위반으로 인해 새로운 알람이 발생할 수 있습니다.

또한보십시오

예: 정책 위반에 대한 응답으로 보안 알람 생성

이 예는 정책 위반이 발생할 때 시스템 알람을 생성하도록 디바이스를 구성하는 방법을 보여줍니다. 기본적으로 정책 위반이 발생해도 알람은 발생하지 않습니다.

요구 사항

이 기능을 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 다음과 같은 경우에 발생할 알람을 구성합니다.

  • 애플리케이션 크기는 10240개입니다.

  • 소스 IP 위반이 20초 이내에 1000을 초과합니다.

  • 대상 IP 위반이 10초 이내에 1000을 초과합니다.

  • 정책 일치 위반이 100개를 초과하며 크기는 100개입니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

단계별 절차

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

정책 위반 알람을 구성하려면 다음을 수행합니다.

  1. 보안 알람을 활성화합니다.

  2. 애플리케이션 위반이 발생할 때 알람을 발생시키도록 지정합니다.

  3. 소스 IP 위반이 발생할 때 알람을 발생시키도록 지정합니다.

  4. 대상 IP 위반이 발생할 때 알람을 발생시키도록 지정합니다.

  5. 정책 일치 위반이 발생할 때 알람을 발생시키도록 지정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다. show security alarms 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

검증

구성이 제대로 작동하는지 확인하려면 운영 모드에서 명령을 입력합니다.show security alarms

일치하는 보안 정책

show security match-policies 이 명령을 사용하면 소스 포트, 대상 포트, 소스 IP 주소, 대상 IP 주소 및 프로토콜 일치 기준을 사용하여 트래픽 문제를 해결할 수 있습니다. 예를 들어, 적절한 정책이 구성되지 않았거나 일치 기준이 올바르지 않아 트래픽이 통과하지 않는 경우, show security match-policies 명령을 사용하면 오프라인으로 작업하고 문제가 실제로 존재하는 위치를 식별할 수 있습니다. 검색 엔진을 사용하여 문제를 식별하므로 트래픽에 적합한 일치 정책을 사용할 수 있습니다.

result-count 이 옵션은 표시할 정책 수를 지정합니다. 목록에서 첫 번째로 활성화된 정책은 일치하는 모든 트래픽에 적용되는 정책입니다. 그 아래의 다른 정책은 첫 번째 정책에 의해 "그림도우"되며 일치하는 트래픽에서 발생하지 않습니다.

참고:

이 명령은 show security match-policies 보안 정책에만 적용됩니다. IDP 정책은 지원되지 않습니다.

예 1: show security match-policies

예 2: result-count 옵션 사용

기본적으로 출력 목록에는 지정된 특성을 가진 트래픽에 적용될 정책이 포함됩니다. 기준과 일치하는 정책을 두 개 이상 나열하려면 옵션을 result-count 사용합니다. 나열된 첫 번째 정책은 항상 일치하는 트래픽에 적용될 정책입니다. 값이 2에서 16 사이인 경우 result-count , 출력에는 지정된 result-count. 첫 번째 정책 이후에 나열된 모든 정책은 첫 번째 정책에 의해 "섀도우"되며 일치하는 트래픽에 적용되지 않습니다.

이 옵션을 사용하여 새 정책의 위치를 테스트하거나 특정 트래픽에 대해 예상대로 적용되지 않는 정책을 해결할 수 있습니다.

다음 예에서 트래픽 기준은 두 정책과 일치합니다. 나열된 첫 번째 정책에는 p1트래픽에 적용된 작업이 포함됩니다. 정책 p15 은 첫 번째 정책에 의해 섀도우되므로 해당 작업은 일치하는 트래픽에 적용되지 않습니다.

또한보십시오

정책 히트 수 추적

이 명령을 사용하여 show security policies hit-count 보안 정책이 수신하는 적중 수에 따라 유틸리티 비율을 표시합니다. 이 기능을 사용하여 디바이스에서 사용 중인 정책과 사용 빈도를 확인할 수 있습니다. 선택한 명령 옵션에 따라 히트 수는 순서 없이 나열되거나 오름차순 또는 내림차순으로 정렬될 수 있으며, 특정 카운트 또는 범위 내에 있는 히트 수로 제한될 수 있습니다. 정책 또는 명명된 영역과 연결된 모든 영역에 대한 데이터가 표시됩니다.

메모리 사용량 확인

정책 구성 전후의 메모리 값을 비교하여 메모리 문제를 격리할 수 있습니다.

특정 관행은 디바이스의 현재 메모리 사용량을 모니터링하고 매개 변수를 최적화하여 특히 정책 구현 중에 시스템 구성 크기를 더 잘 조정하는 데 도움이 될 수 있습니다.

메모리 사용량 확인:

  • 이 명령을 사용하여 show chassis routing-engine 전체 라우팅 엔진(RE) 메모리 사용량을 확인합니다. 이 명령의 다음 출력은 39%의 메모리 사용률을 보여줍니다.

  • 이 명령을 사용하여 show system processes extensive 라우팅 엔진에서 실행되는 프로세스에 대한 정보를 획득합니다.

    명령의 show system processes extensive 옵션을 사용하여 find nsd 사용 중인 총 메모리가 10메가바이트이고 CPU 활용률이 0%인 NSD(Network 보안 데몬)의 직접 사용량을 확인합니다.

  • 구성 파일 크기를 확인합니다. CLI를 종료하기 전에 고유한 이름으로 구성 파일을 저장합니다. 그런 다음 UNIX 수준 셸의 셸 프롬프트에서 명령을 입력 ls -1 filename 하여 다음 샘플 출력과 같이 파일 크기를 확인합니다.

또한보십시오

보안 정책 통계 모니터링

목적

이전에 구성된 정책을 기반으로 Junos OS가 허용하거나 거부하는 트래픽을 모니터링하고 기록합니다.

작업

트래픽을 모니터링하려면 count 및 log 옵션을 활성화합니다.

개수—개별 정책에서 구성 가능. count가 활성화되면, 주어진 정책에 대해 디바이스로 들어오는 세션과 주어진 정책에 대해 양방향으로 디바이스를 통과하는 패킷 및 바이트 수에 대한 통계가 수집됩니다. 개수(패킷 및 바이트에만 해당)의 경우, 트래픽이 지정된 임계값을 초과할 때마다 알람이 생성되도록 지정할 수 있습니다. 개수(보안 정책)를 참조하십시오.

로그—로깅 기능은 세션 초기화(session-init) 또는 세션 닫기(session-close) 단계에서 보안 정책으로 활성화할 수 있습니다. 로그(보안 정책)를 참조하십시오.

  • 거부된 연결의 로그를 보려면 log-on session-init를 사용하도록 설정합니다.

  • 종료/삭제 후 세션을 기록하려면 세션 닫기 로그온을 사용하도록 설정합니다.

참고:

세션 로그는 사용자 성능에 영향을 미치는 플로우 코드에서 실시간으로 활성화됩니다. session-closesession-init 가 모두 활성화된 경우, session-init 만 활성화하는 것에 비해 성능이 더욱 저하됩니다.

세션 로그에 대해 수집된 정보에 대한 자세한 내용은 SRX 시리즈 서비스 게이트웨이에 대한 세션 로그 항목에서 제공되는 정보를 참조하십시오.

섀도우 정책 확인

모든 섀도우 정책 검증

목적

하나 이상의 정책을 섀도우하는 모든 정책을 확인합니다.

작업

운영 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우, 명령을 입력합니다.show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name

  • 글로벌 정책의 경우 명령을 입력합니다.show security shadow-policies logical-system lsys-name global

의미

출력에는 다른 정책을 섀도우하는 모든 정책의 목록이 표시됩니다. 이 예에서 P1 정책은 P3 및 P4 정책을 섀도우하고 P2 정책은 P5 정책을 섀도우합니다.

정책 검증 하나 이상의 정책을 섀도우

목적

지정된 정책이 그 뒤에 위치한 하나 이상의 정책을 섀도우하는지 확인합니다.

작업

운영 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우, 명령을 입력합니다.show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name

  • 글로벌 정책의 경우 명령을 입력합니다.show security shadow-policies logical-system lsys-name global policy policy-name

의미

출력에는 해당 정책에 의해 섀도우되는 모든 정책이 표시됩니다. 이 예에서 P1 정책은 P3 및 P4 정책을 섀도우합니다.

정책이 하나 이상의 정책에 의해 섀도우되는지 확인

목적

지정된 정책이 그 앞에 있는 하나 이상의 위치에 의해 쉐도우 처리되는지 확인합니다.

작업

운영 모드에서 다음 명령을 입력합니다.

  • 논리적 시스템의 경우, 명령을 입력합니다.show security shadow-policies logical-system lsys-name from-zone from-zone-name to-zone to-zone-name policy policy-name reverse

  • 글로벌 정책의 경우 명령을 입력합니다.show security shadow-policies logical-system lsys-name global policy policy-name reverse

의미

출력에는 하나 이상의 정책에 의해 섀도우된 지정된 정책이 표시됩니다. 이 예에서 P4 정책은 P1 정책에 의해 섀도우됩니다.

또한보십시오

보안 정책 문제 해결

라우팅 엔진과 패킷 포워딩 엔진 간의 정책 동기화

문제

설명

보안 정책은 라우팅 엔진 및 패킷 전달 엔진에 저장됩니다. 구성을 커밋할 때 보안 정책은 라우팅 엔진에서 패킷 포워딩 엔진으로 푸시됩니다. 라우팅 엔진의 보안 정책이 패킷 포워딩 엔진과 동기화되지 않으면 구성 커밋이 실패합니다. 커밋이 반복적으로 시도되는 경우 코어 덤프 파일이 생성될 수 있습니다. 동기화되지 않은 이유는 다음과 같습니다.

  • 라우팅 엔진에서 패킷 포워딩 엔진으로의 정책 메시지가 전송 중에 손실됩니다.

  • 재사용된 정책 UID와 같은 라우팅 엔진의 오류.

환경

구성이 커밋되려면 라우팅 엔진과 패킷 포워딩 엔진의 정책이 동기화되어야 합니다. 그러나 특정 상황에서는 라우팅 엔진과 패킷 포워딩 엔진의 정책이 동기화되지 않아 커밋이 실패할 수 있습니다.

조짐

정책 구성이 수정되고 정책이 동기화되지 않으면 다음 오류 메시지가 표시됩니다. error: Warning: policy might be out of sync between RE and PFE <SPU-name(s)> Please request security policies check/resync.

해결책

이 명령을 사용하여 show security policies checksum 보안 정책 체크섬 값을 표시하고, 보안 정책이 동기화되지 않은 경우 이 명령을 사용하여 request security policies resync 라우팅 엔진 및 패킷 포워딩 엔진에서 보안 정책 구성을 동기화합니다.

보안 정책 커밋 실패 확인

문제

설명

대부분의 정책 구성 실패는 커밋 또는 런타임 중에 발생합니다.

구성 모드에서 CLI 명령 commit-check 를 실행하면 커밋 실패가 CLI에 직접 보고됩니다. 이러한 오류는 구성 오류이며, 이러한 오류를 수정하지 않고는 구성을 커밋할 수 없습니다.

해결책

이러한 오류를 해결하려면 다음을 수행하십시오.

  1. 구성 데이터를 검토합니다.

  2. /var/log/nsd_chk_only 파일을 엽니다. 이 파일은 커밋 검사를 수행할 때마다 덮어쓰기되며 자세한 실패 정보를 포함합니다.

보안 정책 커밋 확인

문제

설명

정책 구성 커밋 시 시스템 동작이 올바르지 않은 것을 발견하면 다음 단계를 사용하여 이 문제를 해결하십시오.

해결책

  1. 운영 표시 명령 - 보안 정책에 대한 운영 명령을 실행하고 출력에 표시된 정보가 예상한 것과 일치하는지 확인합니다. 그렇지 않은 경우 구성을 적절하게 변경해야 합니다.

  2. Traceoptions - 정책 구성에서 명령을 설정합니다 traceoptions . 이 계층 아래의 플래그는 명령 출력의 사용자 분석에 따라 선택될 수 있습니다. show 사용할 플래그를 결정할 수 없는 경우 flag 옵션을 all 사용하여 모든 추적 로그를 캡처할 수 있습니다.

로그를 캡처하기 위해 선택적 파일 이름을 구성할 수도 있습니다.

추적 옵션에 파일 이름을 지정한 경우, 로그 파일에 대한 /var/log/<filename>를 확인하여 파일에 보고된 오류가 있는지 확인할 수 있습니다. (파일 이름을 지정하지 않은 경우 기본 파일 이름은 eventd입니다.) 오류 메시지는 실패 위치와 적절한 이유를 나타냅니다.

추적 옵션을 구성한 후, 잘못된 시스템 동작을 일으킨 구성 변경을 다시 커밋해야 합니다.

디버그 정책 조회

문제

설명

구성이 정확하지만 일부 트래픽이 잘못 삭제되거나 허용된 경우 보안 정책 traceoptions에서 플래그를 lookup 활성화할 수 있습니다. lookup 플래그는 추적 파일에 조회 관련 추적을 기록합니다.

해결책

주소 이름 확인 캐시의 고가용성(HA) 동기화

NSD(네트워크 보안 프로세스)는 시스템이 재부팅되거나 HA 페일오버가 발생하거나 프로세스가 충돌하면 다시 시작됩니다. 이 기간 동안 보안 정책에 많은 수의 도메인 이름 주소가 구성된 경우, SRX 방화벽은 DNS 서버에 요청을 보내 확인된 모든 IP 주소를 가져오려고 시도합니다. 많은 수의 DNS 쿼리 및 응답이 교환될 때 많은 양의 시스템 리소스가 소비됩니다. 따라서 SRX 방화벽은 DNS 서버로부터 응답을 가져올 수 없으며 주소록 항목의 호스트 이름 주소가 올바르게 확인되지 않을 수 있습니다. 이로 인해 보안 정책 또는 세션 일치 항목이 없어 트래픽이 손실될 수 있습니다. SRX 방화벽의 새로운 개선 사항은 DNS 쿼리 결과를 로컬 DNS 캐시 파일에 캐시하고 HA 기본 노드에서 HA 백업 노드로 DNS 캐시 파일을 주기적으로 동기화하여 이 문제를 해결합니다. DNS 캐시 파일은 IP 주소, 도메인 이름 및 TTL 값을 저장합니다. HA 페일오버 후에는 이전 백업 노드가 기본 노드가 됩니다. 모든 DNS 캐시 결과는 새 기본 노드에서 사용할 수 있으므로 보안 정책 처리가 계속되고 정책 규칙에 따라 통과 트래픽이 허용됩니다.

Junos OS 릴리스 19.3R1부터 정책 DNS 캐시 메모리는 HA 활성 노드의 하나의 로컬 DNS 캐시 파일로 동기화되고 HA 백업 노드에 복사되어 NSD 재시작 중에 DNS 쿼리 또는 응답을 억제합니다.

동기화를 수행하기 위해 다음 단계가 수행됩니다.

  1. 정책 DNS 캐시 메모리 콘텐츠가 이 기간 동안 변경된 경우 정책 DNS 캐시 메모리는 30초마다 /var/db/policy_dns_cache 경로에 있는 하나의 로컬 정책 DNS 캐시 파일에 동기화됩니다.

  2. 로컬 DNS 캐시 파일은 1단계에서 로컬 DNS 캐시 파일이 업데이트된 직후 HA 기본 노드에서 HA 백업 노드로 동기화됩니다.

동기화에는 다음 내용이 포함됩니다.

  • 도메인 이름

  • IPv4 주소 목록 및 TTL(Time to Live)

  • IPv6 주소 목록 및 해당 TTL

NSD가 다시 시작되면 로컬 DNS 캐시 파일을 읽고 구문 분석하고 모든 캐시 항목을 메모리로 가져옵니다. 동기화를 통해 NSD 재시작 중에 DNS 쿼리가 억제됩니다. NSD는 정책 구성을 읽을 때 도메인 이름에 대해 확인된 IP 주소가 DNS 캐시 메모리에 이미 있으므로 HA 페일오버 중에 새 기본 노드에서 다시 시작됩니다. 따라서, 도메인 이름에 대해 확인된 모든 IP 주소가 새 기본 노드의 라우팅 엔진 및 패킷 포워딩 엔진의 정책 내에 존재하기 때문에 HA 페일오버 후 보안 정책에 따라 새로운 패스스루 트래픽이 허용됩니다.

플랫폼별 메모리 사용량 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

다음 표를 사용하여 플랫폼의 플랫폼별 동작을 검토하십시오.

플랫폼

차이

SRX 시리즈

  • 주소 이름의 고가용성(HA) 동기화를 지원하는 SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 및 SRX5800 디바이스에서 정책, 영역 또는 주소와 같은 플로우 엔티티의 메모리는 설치의 Junos OS 릴리스에 따라 동적으로 할당됩니다.

관련 설명서