알려진 동작 및 문제

알려진 동작

이 섹션에는 Juniper Security Director 릴리스 24.4.1의 알려진 동작이 나열되어 있습니다. 최신 릴리스에서 해결된 문제에 대해서는 서비스 릴리스 를 참조하십시오.

데이터베이스 복원 제한 사항 -
- Juniper Security Director CLI 명령을 사용하여 동일한 노드에서만 복원 작업을 수행할 수 있습니다service configdb restore <SCP URL>.
- 데이터베이스를 복원하기 전에 디바이스 검색, 이미지 업로드 또는 이미지 삭제와 같은 작업을 수행한 경우 이러한 작업에 대한 리소스가 복원된 데이터베이스와 동기화되지 않을 수 있습니다. 이는 이러한 작업과 관련된 리소스가 파일 시스템에 직접 저장되기 때문입니다.
Juniper Security Director로 자동 가져온 SRX 시리즈 방화벽의 경우 디바이스에서 가져온 Content Security 구성보다 Juniper Security Director의 기본 Content Security(UTM이라고도 함) 구성이 선호됩니다.

충돌을 방지하려면 다음 단계를 수행하십시오.
1. 디바이스를 자동으로 가져온 후 SRX > 보안 구독 > 콘텐츠 보안 설정으로 이동합니다.
2. Content Security 설정을 검토하고 수정합니다.
3. SRX > 보안 정책(SRX Policy) > SRX 정책(SRX Policy)으로 이동하여 전역 옵션(Global Options) > 기본 보안 설정(Default Security Settings)을 클릭합니다.
4. 시스템 기본 프로필을 사용하여 기본 보안 구성을 검토하고 수정합니다.
또는
1. Administration > Organization(관리 조직)으로 이동하여 Auto Import(자동 가져오기)를 비활성화합니다.
2. 디바이스를 수동으로 Juniper Security Director로 가져옵니다.
3. 충돌이 발생할 경우 Juniper Security Director 설정을 기본 Content Security 설정으로 덮어씁니다.
메모:
Content Security 설정은 전역 설정이며 충돌을 방지하기 위해 자동 가져오기 또는 수동 가져오기를 수행한 후 구성해야 합니다.
주니퍼 Security Director 는 레거시 애플리케이션 보안 정책을 지원하지 않습니다.
Juniper Security Director 는 전역 주소록을 지원하지만 영역 주소록은 지원하지 않습니다.
지원되지 않는 구성의 규칙이 있는 정책을 가져오면 Juniper Security Director 는 가져오기 마법사의 요약 아래에 이러한 규칙에 대한 정보를 표시합니다. 가져온 후 지원되지 않는 구성이 있는 이러한 규칙은 회색으로 표시되고 비활성화된 아이콘과 함께 표시되어 시스템이 비활성화된 규칙과 사용자가 비활성화한 규칙을 구분합니다. Rule(규칙) 설명에는 이러한 규칙을 비활성화하는 이유도 표시됩니다.

이러한 지원되지 않는 규칙에 대해서는 삭제, 편집 또는 규칙 작업을 수행할 수 없습니다.
Juniper Security Director 는 디바이스, CLI 또는 포털 이외의 다른 인터페이스에서 직접 수행된 사용자 구성을 덮어씁니다.

충돌을 피하기 위해 구성을 가져오고 기존 정책에서 디바이스를 다시 할당할 수 있습니다.
규칙에 프록시 ARP가 구성된 NAT 정책을 가져온 후에는 가져온 NAT 정책을 편집하여 프록시 ARP 관리를 사용하도록 설정한 다음 정책을 구축해야 합니다.

알려진 문제

이 섹션에는 Juniper Security Director 릴리스 24.4.1의 알려진 문제가 나열되어 있습니다. 최신 릴리스에서 해결된 문제에 대해서는 서비스 릴리스 를 참조하십시오.

디바이스의 구축 실패 - VM을 구축하고 디바이스를 Juniper Security Director에 온보딩한 후 다음과 같은 불일치가 관찰됩니다.
- Juniper Security Director UI의 SRX > 디바이스 관리 > 디바이스 페이지에서 디바이스 관리 상태가 다운으로 표시됩니다.
- 디바이스에서 SSH 클라이언트 명령 show system connections | match 7804 의 출력은 상태가 ESTABLISHED임을 나타내며, 이는 오래된 연결을 나타냅니다.
이러한 불일치로 인해 디바이스 바인딩된 구성이 작동하지 않습니다.

해결 방법:

성공적인 구축을 위해 SSH 또는 콘솔을 통해 디바이스에 로그인하고 명령을 실행합니다 restart service-deployment .
가져온 객체에 대한 연결 보기 - Shared Services > Objects > Services 및 Shared Services > Objects > Address 의 연결 보기 필드에 객체 연관이 정확하게 표시되지 않을 수 있습니다. 이 문제는 많은 수의 개체를 가져올 때 발생할 수 있으며, 이는 개체가 연결되지 않았음을 나타냅니다.
보고서 정의 복제 문제 - > 보고서 > 보고서 정의 모니터링 에서 기존 보고서 정의를 선택하고 복제하는 경우 복제된 보고서 정의에 다음 보고서 정의에 대한 올바른 보고서 유형이 표시되지 않습니다.
- 사용자별 방문 URL 보고서
- 네트워크 운영 보고서
- Top Talkers 보고서
잘못된 정의 유형은 필요한 데이터가 부족한 보고서를 생성하여 의사 결정 및 분석에 영향을 줍니다.

해결 방법:

보고서 > 보고서 > 보고서 정의 모니터링 페이지의 만들기 단추를 사용하여 기존 보고서 정의를 복제하는 대신 새 보고서 정의를 만들 수 있습니다.
VM 스냅샷 롤백 오류— 스냅샷 > TAKE > SNAPSHOT 옵션을 사용하여 스냅샷을 생성하고 REVERT를 사용하여 이전 VM 버전으로 되돌리려고 하면 스냅샷 취소가 완료되었음을 나타내는 상태가 표시될 수 있습니다. 그러나 VM의 전원을 켜면 오류가 발생하여 롤백이 실패할 수 있습니다.

해결 방법:
1. vSphere Client에 로그인합니다.
2. VM을 마우스 오른쪽 단추로 클릭하고 작업 > 전원 끄기 > 선택합니다.
3. VM을 마우스 오른쪽 단추로 클릭하고 설정 편집을 선택합니다.
4. Virtual Hardware(가상 하드웨어)에서 CD/DVD 드라이브의 Connect At Power On(전원을 켤 때 연결 ) 확인란을 선택합니다.
5. VM을 마우스 오른쪽 단추로 클릭하고 작업 > 전원 켜기> 선택합니다.
롤백 버전이 있는 VM은 문제 없이 부팅되어야 합니다.
VM 구축 중 CLI 관리자 비밀번호 검증—VM 구축 중 템플릿 사용자 지정 페이지에서 Juniper Security Director OVA 매개 변수를 구성하면 cliadmin 사용자 비밀번호 필드는 8자의 모든 비밀번호를 허용합니다. 그러나 설치 프로세스 중에 시스템은 엄격한 유효성 검사를 적용하고 지정된 요구 사항을 충족하지 않는 암호를 거부합니다. 이 불일치로 인해 설치가 실패할 수 있습니다.

해결 방법:

요구 사항을 준수하는 암호를 설정하려면 다음 단계를 수행합니다.
1. vSphere Client에서 VM을 마우스 오른쪽 버튼으로 클릭하고 전원 끄기 > 작업을 > 선택합니다.
2. Yes(예)를 클릭하여 VM을 확인하고 전원을 끕니다.
3. VM을 마우스 오른쪽 단추로 클릭하고 Configure > Properties( 속성 구성)를 선택합니다.
4. CLI_PASSWORD 선택하고 값 설정을 선택합니다.
5. 다음 요구 사항을 충족하는 암호를 입력합니다.
  - 8자 이상 32자 이하여야 합니다.
  - 사전 단어가 아니어야 합니다.
  - 다음 중 3개 이상을 포함해야 합니다.
    - 숫자(0-9)
    - 대문자(A-Z)
    - 소문자(a-z)
    - 특수 문자(~!@#$%^&*()_-+={}[];:"'<,>.? /|\)
6. 확인을 클릭합니다.
7. VM을 마우스 오른쪽 버튼으로 클릭하고 작업 > 전원 켜기> 선택합니다.
8. VM의 전원이 켜지면 Summary(요약 ) 탭으로 이동하고 LAUNCH WEB CONSOLE(웹 콘솔 시작) 을 클릭하여 소프트웨어 번들 설치 상태를 모니터링합니다.
9. 성공적으로 설치하려면 약 30분이 걸립니다. 설치가 더 오래 지속되면 웹 콘솔에 잠재적인 오류가 있는지 확인합니다. CLI 관리자 사용자를 사용하여 VM IP에 ssh하고 명령을 사용하여 show bundle install status 설치 상태를 볼 수 있습니다.
새 사용자 활성화 - Administration > Users & Roles > Users(사용자 관리 사용자 및 역할) 페이지에서 Juniper Security Director에 사용자를 추가하면 해당 사용자는 비밀번호를 설정하고 조직에 가입할 수 있는 링크가 포함된 이메일을 받게 됩니다. 이메일에 링크가 7일 동안 유효하다고 잘못 명시되어 있습니다. 비밀번호 설정의 실제 유효 기간은 24시간입니다. 사용자가 24시간 이내에 암호를 설정하지 않으면 링크가 만료되고 잘못된 요청 오류가 표시됩니다.

해결 방법:
1. Juniper Security Director UI에 로그인합니다.
2. Administration > Users & Roles > Users(관리 사용자 및 역할 Users)로 이동하여 활성화 링크를 다시 보낼 사용자를 선택합니다.
3. 자세히 > 활성화 메일 다시 보내기를 클릭하여 활성화 링크를 다시 보냅니다.
디바이스 검색 중 보안 로그 구성 시간 초과—디바이스 검색 configure-security-log 중에 작업이 오랫동안 실행된 후 시간 초과되거나 실패할 수 있습니다. 그 결과, SRX > 디바이스 관리 > 디바이스 > 보안 로그 구성 페이지에 보안 로그 상태가 구성되지 않음으로 표시됩니다.

해결 방법:

보안 로그를 수동으로 구성합니다. 자세한 내용은 보안 로그 구성을 참조하십시오.
온보딩 중 SMTP 서버 연결 오류 - 고객 온보딩을 위해 웹 GUI에 로그인할 때 유효한 SMTP 서버 세부 정보를 제공하고 SMTP 서버 인증을 활성화한 다음 SMTP 서버 테스트를 클릭한 후 오류 메시지가 표시될 수 있습니다. 이 오류는 시스템이 SMTP 서버에 연결할 수 없음을 나타낼 수 있으며 SMTP 설정을 확인하도록 제안합니다. 유효한 SMTP 설정을 제공한 경우 오류 메시지를 무시할 수 있습니다.
ICAP 프로필 서버 구축 문제 - 라우팅 인스턴스를 사용하여 ICAP(Internet Content Adaptation Protocol) 프로필 서버를 생성할 때 구축이 실패할 수 있습니다.

해결 방법:
1. 라우팅 인스턴스 없이 ICAP 프로필 서버를 생성합니다.
2. 보안 정책을 사용하여 ICAP 프로필 서버를 구축합니다.
3. 구축 후 ICAP 프로필 서버에 라우팅 인스턴스를 추가합니다.
ICAP 프로파일 서버 가져오기에서 라우팅 인스턴스 제거—라우팅 인스턴스가 있는 ICAP 프로파일 서버를 가져오면 구축 프로세스가 프로파일 서버에서 라우팅 인스턴스를 제거합니다.

해결 방법:
1. 라우팅 인스턴스 없이 ICAP 프로필 서버를 생성합니다.
2. 보안 정책을 사용하여 ICAP 프로필 서버를 구축합니다.
3. 구축 후 ICAP 프로필 서버에 라우팅 인스턴스를 추가합니다.
대역 외 연결 상태 문제 - 주니퍼® 네트웍스 SRX 시리즈 방화벽과 주니퍼 Security Director 간의 대역 외 연결이 SRX 시리즈 방화벽에서 닫히지 않습니다. 이 문제는 연결이 닫힌 후 Juniper Security Director 의 디바이스 상태가 DOWN 으로 변경되지만 SRX 시리즈 방화벽에서는 연결이 활성 상태로 유지되기 때문에 발생합니다.

해결 방법:
SRX 시리즈 방화벽에서 아웃바운드 SSH 서비스를 다시 시작하면 SRX 시리즈 방화벽 디바이스가 Juniper Security Director 와 재동기화되고 디바이스 상태가 UP으로 변경됩니다.
1. CLI를 사용하여 SRX 시리즈 방화벽에 로그인합니다.
2. 다음 명령을 실행하여 플로우 세션의 상태를 확인합니다. show security flow session destination-port 7804
3. 플로우 세션이 활성 상태이지만 Juniper Security Director 가 디바이스 상태를 DOWN 또는 OUT OF SYNC로 표시하면 명령을 실행하여 restart service-deployment SRX 시리즈 방화벽 아웃바운드 SSH 서비스를 다시 시작합니다.
SRX1600 및 SRX2300 방화벽에 대한 소프트웨어 업그레이드 제한 - 주니퍼 네트웍스® SRX1600 및 주니퍼 네트웍스® SRX2300 방화벽의 경우 Juniper Security Director 는 소프트웨어 이미지를 23.4R1.9에서 다른 버전으로 업그레이드할 수 없습니다.
Juniper Security Director에서 이미지 설치 문제 - Juniper Security Director에서 사용 가능한 이미지를 설치할 때 오류가 발생할 수 있습니다.

해결 방법:
- SRX > 디바이스 관리 > 소프트웨어 이미지 페이지의 이미지를 추가하고 디바이스에 대한 이미지를 구축합니다.
- 디바이스에서 CLI 명령을 수동으로 실행해 보십시오.
숨겨진 명령으로 인한 보안 정책 가져오기 실패 - SRX 시리즈 방화벽에 숨겨진 명령이 존재하는 경우, 버전 비호환성으로 인해 보안 정책 가져오기 및 구축이 실패할 수 있습니다. 이 문제는 콘텐츠 보안 및 보안 정책과 같은 구성에 영향을 줄 수 있습니다.

해결 방법:

SRX 시리즈 방화벽에서 숨겨져 있거나 문서화되지 않은 명령을 삭제하고 정책 구성을 Juniper Security Director로 다시 가져온 다음 보안 정책을 구축합니다.
AAMW 프로필의 SMB 프로토콜 문제 - Junos OS 21.1 이전 버전을 실행하는 디바이스는 사전 정의된 AAMW(Advanced Anti-Malware) 프로필에서 SMB(Server Message Block) 프로토콜 옵션을 사용할 때 커밋 실패를 경험합니다.

해결 방법:

기본 AAMW 프로필을 복제하고 SMB 프로토콜을 비활성화합니다. 보안 정책 또는 전역 옵션에서 복제된 프로필을 사용하여 성공적인 커밋을 보장합니다.
클럭 동기화 업그레이드 문제 - 소프트웨어 이미지를 사용하여 디바이스를 Junos OS 21.1 이상으로 업그레이드할 때 클럭 동기화(SyncE)에 대해 ISSU(in-service software upgrade)가 지원되지 않는다는 오류 메시지가 표시될 수 있습니다.

해결 방법:

https://prsearch.juniper.net/problemreport/PR1632810 에 제공된 해결 방법을 사용하여 CLI에서 클러스터를 업그레이드합니다.
SRX 시리즈 방화벽에 대한 로그 가시성 제한 - Junos OS 버전 21.4 R3-S3.4 이상을 실행하는 SRX 시리즈 방화벽용 Juniper Security Director에서 특정 로그를 볼 수 없습니다. 영향을 받는 로그는 다음과 같습니다.
- 웹 필터링 로그
- RT_FLOW 로그
- Content Security 로그
자세한 내용은 https://prsearch.juniper.net/problemreport/PR1716776 참조하십시오.
NAT 풀 다시 가져오기 충돌—사전 구성된 주소 개체로 NAT 풀을 다시 가져오고 NAT 규칙을 사용하여 배포하는 동안 주소 이름 필드에 대해 OCR(Object Conflict Resolution)이 감지됩니다.
멀티노드 고가용성의 피어 동기화 - 멀티노드 고가용성 솔루션에 대해 피어 동기화가 활성화된 경우 구축 또는 구성 변경으로 인해 여러 동기화 작업이 발생할 수 있습니다.

해결 방법:

set system commit peers-synchronize 멀티노드 고가용성(HA) 솔루션을 위한 디바이스 구성에서 명령을 삭제합니다.