EN ESTA PÁGINA
Ejemplo: configurar registro de seguridad para sistemas lógicos
Configuración de archivos de registro de seguridad binarios integrados para el sistema lógico
Configuración de archivos de registro de seguridad binarios externos para el sistema lógico
Descripción de la depuración de rutas de datos para sistemas lógicos
Realización del seguimiento para sistemas lógicos (solo para administradores principales)
Comportamiento de registros de seguridad específicos de la plataforma
Resolución de problemas de sistemas lógicos
Utilice las siguientes funciones para supervisar los sistemas lógicos y solucionar problemas de software. Para obtener más información, consulte los temas siguientes:
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Revise la sección Comportamiento de registros de seguridad específicos de la plataforma para ver notas relacionadas con su plataforma.
Descripción de registros de seguridad y sistemas lógicos
Los registros de seguridad son mensajes de registro del sistema que incluyen eventos de seguridad. Si un dispositivo está configurado para sistemas lógicos, los registros de seguridad generados en el contexto de un sistema lógico utilizan el nombre logname_LS (por ejemplo, DPI_ATTACK_LOG_EVENT_LS). La versión del sistema lógico de un registro tiene el mismo conjunto de atributos que el registro de los dispositivos que no están configurados para sistemas lógicos. El registro del sistema lógico incluye nombre-sistemalógico como primer atributo.
En el siguiente registro de seguridad, se muestran los atributos del registro DPI_ATTACK_LOG_EVENT de un dispositivo que no está configurado para sistemas lógicos:
IDP_ATTACK_LOG_EVENT {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
El siguiente registro de seguridad muestra los atributos del registro DPI_ATTACK_LOG_EVENT_LS de un dispositivo configurado para sistemas lógicos (tenga en cuenta que logical-system-name es el primer atributo):
IDP_ATTACK_LOG_EVENT_LS {
help "IDP attack log";
description "IDP Attack log generated for attack";
type event;
args logical-system-name timestamp message-type source-address source-port destination-address destination-port protocol-name service-name application-name rule-name rulebase-name policy-name repeat-count action threat-severity attack-name nat-source-address nat-source-port nat-destination-address nat-destination-port elapsed-time inbound-bytes outbound-bytes inbound-packets outbound-packets source-zone-name source-interface-name destination-zone-name destination-interface-name packet-log-id message;
severity LOG_INFO;
flag auditable;
edit "2010/10/01 mvr created";
}
Si un dispositivo está configurado para sistemas lógicos, es posible que sea necesario modificar las secuencias de comandos de análisis de registros, ya que el nombre de registro incluye el sufijo _LS y se puede usar el atributo logical-system-name para separar los registros por sistema lógico.
Si un dispositivo no está configurado para sistemas lógicos, los registros de seguridad permanecen sin cambios y los scripts creados para analizar registros no necesitan ninguna modificación.
Solo el administrador principal puede configurar el registro en el nivel de jerarquía [edit security log]. Los administradores de sistemas lógicos de usuario no pueden configurar el registro para sus sistemas lógicos.
Se admite la configuración por sistema lógico para el registro externo y los registros se manejan en función de estas configuraciones. Anteriormente, los registros del sistema lógico del usuario se generaban a partir del sistema lógico raíz. Para el registro externo, los registros del sistema lógico solo se pueden generar desde la interfaz del sistema lógico.
Configuración de informes integrados para sistemas lógicos
Los firewalls de la serie SRX admiten distintos tipos de informes para usuarios del sistema lógico.
Los informes se almacenan localmente en el firewall de la serie SRX y no se requieren dispositivos o herramientas independientes para el almacenamiento de registros e informes. Los informes en caja proporcionan una interfaz simple y fácil de usar para ver los registros de seguridad.
Antes de empezar:
Comprende cómo configurar el registro de seguridad para sistemas lógicos. Consulte Ejemplo: Configurar registro de seguridad para sistemas lógicos
Para configurar informes integrados para el sistema lógico:
De forma predeterminada, la report opción está deshabilitada. El set logical-systems LSYS1 security log mode stream comando está habilitado de forma predeterminada.
Ejemplo: configurar registro de seguridad para sistemas lógicos
En este ejemplo, se muestra cómo configurar los registros de seguridad para un sistema lógico.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX.
Junos OS versión 18.3R1 y versiones posteriores.
Antes de empezar:
Comprende cómo configurar un sistema lógico.
Comprende cómo crear perfiles de seguridad para el sistema lógico principal. Consulte Descripción de perfiles de seguridad de sistemas lógicos (solo administradores principales).
Descripción general
Los firewalls de la serie SRX tienen dos tipos de registro: registros del sistema y registros de seguridad. Los registros del sistema registran eventos del plano de control, por ejemplo, el inicio de sesión del administrador en el dispositivo. Los registros de seguridad, también conocidos como registros de tráfico, registran eventos de plano de datos relacionados con un manejo de tráfico específico, por ejemplo, cuando una política de seguridad niega cierto tráfico debido a alguna infracción de la política.
Los dos tipos de registros se pueden recopilar y guardar dentro o fuera de la caja. En el siguiente procedimiento, se explica cómo configurar los registros de seguridad en formato binario para el registro externo (modo de transmisión).
En el caso del registro fuera de la caja, los registros de seguridad de un sistema lógico se envían desde una interfaz de sistema lógico. Si la interfaz del sistema lógico ya está configurada en una instancia de enrutamiento, configúrela routing-instance routing-instance-name en la edit logical-systems logical-system-name security log stream log-stream-name host jerarquía. Si la interfaz no está configurada en la instancia de enrutamiento, no se debe configurar ninguna instancia de enrutamiento en la edit logical-systems logical-system-name security log stream log-stream-name host jerarquía.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set logical-systems LSYS1 security log mode stream set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22 set logical-systems LSYS1 security log source-address 2.3.45.66 set logical-systems LSYS1 security log transport protocol tls set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3 set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile LSYS1_profile logical-system LSYS1
Procedimiento
Procedimiento paso a paso
El siguiente procedimiento especifica cómo configurar los registros de seguridad para un sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro fuera de la caja y en modo de transmisión.
[edit ] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream LSYS1_s format binary host 1.3.54.22
-
Para el registro de seguridad externo, especifique la dirección de origen, la cual identifica el firewall de la serie SRX que generó los mensajes de registro. La dirección de origen es obligatoria.
[edit ] user@host# set logical-systems LSYS1 security log source-address 2.3.45.66
Especifique la instancia de enrutamiento y defina la interfaz.
[edit ] user@host# set logical-systems LSYS1 routing-instances LSYS1_ri instance-type virtual-router user@host# set logical-systems LSYS1 routing-instances LSYS_ri interface ge-0/0/3
Defina la instancia de enrutamiento para un sistema lógico.
[edit ] user@host# set logical-systems LSYS1 security log stream LSYS1_s host routing-instance LSYS1_ri
Especifique el protocolo de transporte de registros de seguridad para el dispositivo.
[edit ] user@host# set logical-systems LSYS1 security log transport protocol tls
Procedimiento
Procedimiento paso a paso
El procedimiento siguiente especifica cómo configurar un perfil de seguridad para un sistema lógico.
Configure un perfil de seguridad y especifique el número de políticas máximas y reservadas.
[edit ] user@host# set system security-profile p1 security-log-stream-number reserved 1 user@host# set system security-profile p1 security-log-stream-number maximum 2
Asigne el perfil de seguridad configurado a TSYS1.
[edit ] user@host# set system security-profile LSYS1_profile logical-system LSYS1
Resultados
Desde el modo de configuración, ingrese los comandos , y show logical-systems LSYS1 routing-instances para confirmar la show system security-profileshow logical-systems LSYS1 security logconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show system security-profile
LSYS1_profile {
logical-system LSYS1;
}
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
}
[edit]
user@host# show logical-systems LSYS1 security log
mode stream;
source-address 2.3.45.66;
transport {
protocol tls;
}
stream LSYS1_s {
format binary;
host {
1.3.54.22;
}
}
[edit]
user@host# show logical-systems LSYS1 routing-instances
LSYS1_ri {
instance-type virtual-router;
interface ge-0/0/3.0;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar salida detallada para el registro de seguridad
Propósito
Compruebe que el resultado muestra la información de recursos de todos los sistemas lógicos.
Acción
Desde el modo operativo, introduzca el show system security-profile security-log-stream-number tenant all comando.
logical-system name security profile name usage reserved maximum
root-logical-system Default-Profile 0 0
Significado
El resultado muestra la información de recursos para los sistemas lógicos.
Configuración de archivos de registro de seguridad binarios integrados para el sistema lógico
Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.
Los dos tipos de registro se recopilan y guardan en la caja o fuera de la caja. En el siguiente procedimiento, se explica cómo configurar los registros de seguridad en formato binario para el registro en caja (modo de evento) para el sistema lógico.
En el procedimiento siguiente se especifica el formato binario para el registro de seguridad en modo de evento y se definen el nombre de archivo de registro, la ruta de acceso y las características de archivo de registro para el sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo evento en caja:
[edit] user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security log format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set logical-systems LSYS1 security log file name security-binary-log
Nota:El filename del registro de seguridad no es obligatorio. Si el nombre del archivo del registro de seguridad no está configurado, de forma predeterminada el archivo bin_messages se crea en el directorio /var/log.
Ingrese el comando para confirmar la
show logical-systems LSYS1configuración.[edit] user@host# show logical-systems LSYS1 security { log { mode event; format binary; file { name security-binary-log; } } }
En el procedimiento siguiente se especifica el formato binario para el registro de seguridad en modo de secuencia y se definen el nombre de archivo de registro y las características de archivo de registro para el sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro en modo de transmisión en caja:
[edit] user@host# set logical-systems LSYS1 security log mode stream user@host# set logical-systems LSYS1 security log stream s1 format binary
(Opcional) Especifique un nombre de archivo de registro.
[edit] user@host# set logical-systems LSYS1 security log stream s1 file name f1.bin
Ingrese el comando para confirmar la
show logical-systems LSYS1configuración.[edit] user@host# show logical-systems LSYS1 security { log { mode stream; stream s1 { format binary; file { name f1.bin; } } } }
Configuración de archivos de registro de seguridad binarios externos para el sistema lógico
Los dispositivos de la serie SRX admiten dos tipos de registro: registros del sistema y registros de seguridad.
Los dos tipos de registro se pueden recopilar y guardar dentro o fuera de la caja. En el siguiente procedimiento, se explica cómo configurar los registros de seguridad en formato binario para el registro externo (modo de transmisión).
El siguiente procedimiento especifica el formato binario para el registro de seguridad en modo de secuencia y define el modo de registro, la dirección de origen y las características de nombre de host para el sistema lógico.
Especifique el modo de registro y el formato del archivo de registro. Para el registro fuera de la caja y en modo de transmisión:
[edit] user@host# set logical-systems LSYS1 security log mode stream s1 format binary
Especifique la dirección de origen para el registro de seguridad externo.
[edit] user@host# set logical-systems LSYS1 security log source-address 100.0.0.1
Especifique el nombre de host.
[edit] user@host# set logical-systems LSYS1 security log stream s1 host 100.0.0.2
Ingrese el comando para confirmar la
show logical-systems LSYS1configuración.[edit] user@host#show logical-systems LSYS1 security { log { mode stream; source-address 100.0.0.1; stream s1 { format binary; host { 100.0.0.2; } } } }
Descripción de la depuración de rutas de datos para sistemas lógicos
La depuración de ruta de datos proporciona seguimiento y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. La depuración de rutas de datos también se puede realizar en el tráfico entre sistemas lógicos.
Solo el administrador principal puede configurar la depuración de ruta de datos para sistemas lógicos en el nivel [edit security datapath-debug]. Los administradores de sistemas lógicos de usuario no pueden configurar la depuración de rutas de datos para sus sistemas lógicos.
El seguimiento de eventos de extremo a extremo rastrea la ruta de un paquete desde que entra en el dispositivo hasta que sale de este. Cuando el administrador principal configura el seguimiento de eventos de un extremo a otro, el resultado del seguimiento contiene información del sistema lógico.
El administrador principal también puede configurar el seguimiento del tráfico entre sistemas lógicos. La salida de seguimiento muestra el tráfico que entra y sale del túnel lógico entre sistemas lógicos. Cuando se configura la opción preserve-trace-order , el mensaje de rastreo se ordena cronológicamente. Además de la acción de seguimiento, se pueden configurar otras acciones, como volcado de paquetes y resumen de paquetes, para el tráfico entre sistemas lógicos.
Ver también
Realización del seguimiento para sistemas lógicos (solo para administradores principales)
Solo el administrador principal puede configurar la depuración de ruta de datos para sistemas lógicos en el nivel raíz.
Para configurar un perfil de acción para una captura de rastreo o paquete:
Para capturar mensajes de rastreo para sistemas lógicos:
Configure el archivo de captura de rastreo.
[edit security datapath-debug] user@host# set traceoptions file e2e.trace user@host# set traceoptions file size 10m
Muestra el seguimiento capturado en modo operativo.
user@host> show log e2e.trace Jul 7 09:49:56 09:49:56.417578:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:0 PIC History: ->C0/F1/P0 NP ingress channel 0 packet Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:55.1414031:CID-00:FPC-00:PIC-00:THREAD_ID-04:FINDEX:0:IIF:75:SEQ:0:TC:1 PIC History: ->C0/F1/P0->C0/F0/P0 LBT pkt, payload: DATA Meta: Src: F1/P0 Dst: F0/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 ... (Some trace information omitted) ... .Jul 7 09:49:56 09:49:55.1415649:CID-00:FPC-00:PIC-00:THREAD_ID-05:FINDEX:0:IIF:75:SEQ:0:TC:16 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0 POT pkt, action: POT_SEND payload: DATA Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500 Jul 7 09:49:56 09:49:56.419274:CID-00:FPC-01:PIC-00:THREAD_ID-00:FINDEX:0:IIF:75:SEQ:0:TC:17 PIC History: ->C0/F1/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F0/P0->C0/F1/P0 NP egress channel 0 packet Meta: Src: F0/P0 Dst: F1/P0 IP: saddr 10.1.1.2 daddr 30.1.1.2 proto 6 len 500
Borre el registro.
user@host> clear log e2e.trace
Para realizar la captura de paquetes para sistemas lógicos:
Configure el archivo de captura de paquetes.
[edit security datapath-debug] user@host# set capture-file e2e.pcap user@host# set capture-file format pcap user@host# set capture-file size 10m user@host# set capture-file world-readable user@host# set capture-file maximum-capture-size 1500
Ingrese al modo operativo para iniciar y, luego, detener la captura de paquetes.
user@host> request security datapath-debug capture start user@host> request security datapath-debug capture stop
Nota:Los archivos de captura de paquetes se pueden abrir y analizar sin conexión con tcpdump o cualquier analizador de paquetes que reconozca el formato libpcap. También puede usar FTP o el Protocolo de control de sesión (SCP) para transferir los archivos de captura de paquetes a un dispositivo externo.
Deshabilite la captura de paquetes desde el modo de configuración.
Nota:Desactive la captura de paquetes antes de abrir el archivo para analizarlo o transferirlo a un dispositivo externo con FTP o SCP. Deshabilitar la captura de paquetes garantiza que se vacíe el búfer de archivos interno y que todos los paquetes capturados se escriban en el archivo.
[edit forwarding-options] user@host# set packet-capture disable
Muestra la captura de paquetes.
Para mostrar la captura de paquetes con la utilidad tcpdump:
user@host# tcpdump -nr /var/log/e2e.pcap 09:49:55.1413990 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414154 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415062 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415184 C0/F0/P0 event:11(lbt) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414093 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414638 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415011 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415129 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415511 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415649 C0/F0/P0 event:12(pot) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415249 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1415558 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414226 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414696 C0/F0/P0 event:18(jexec) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414828 C0/F0/P0 event:16(lt-enter) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:55.1414919 C0/F0/P0 event:15(lt-leave) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.417560 C0/F1/P0 event:1(np-ingress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0 09:49:56.419263 C0/F1/P0 event:2(np-egress) SEQ:0 IP 10.1.1.2.23451 > 30.1.1.2.12345: S 0:460(460) win 0
Para mostrar la captura de paquetes desde el modo operativo de la CLI:
user@host> show security datapath-debug capture Packet 1, len 568: (C0/F0/P0/SEQ:0:lbt) 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 66 93 15 00 04 22 38 02 38 02 00 00 00 01 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 Packet 2, len 624: (C0/F0/P0/SEQ:0:lbt) aa 35 00 00 00 00 00 00 00 00 00 00 00 03 00 00 00 0a 00 00 00 00 00 00 05 bd 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 c5 8d 0c 99 4a 00 00 0a 01 01 02 08 00 45 60 01 f4 00 00 00 00 40 06 4e 9f 0a 01 01 02 ac 7a 00 04 00 00 00 00 b3 e3 15 4e 0a 94 15 00 04 5a 70 02 70 02 00 00 00 03 00 03 0b 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08 ... (Packets 3 through 17 omitted) ... Packet 18, len 568: (C0/F1/P0/SEQ:0:np-egress) 00 00 00 04 00 00 00 00 1e 01 01 02 50 c5 8d 0c 99 4b 08 00 45 60 01 f4 00 00 00 00 3e 06 50 9f 0a 01 01 02 1e 01 01 02 5b 9b 30 39 00 00 00 00 00 00 00 00 50 02 00 00 f8 3c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ac 7a 04 00 00 00 00 00 b4 e3 15 4e bf 65 06 00 04 22 38 02 38 02 00 00 00 11 00 03 02 00 00 00 50 d0 1a 08 30 de be bf e4 f3 19 08
user@host> show security datapath-debug counters Datapath debug counters Packet Filter 1: lt-enter Chassis 0 FPC 0 PIC 1: 0 lt-enter Chassis 0 FPC 0 PIC 0: 1 lt-leave Chassis 0 FPC 0 PIC 1: 0 lt-leave Chassis 0 FPC 0 PIC 0: 1 np-egress Chassis 0 FPC 1 PIC 3: 0 np-egress Chassis 0 FPC 1 PIC 1: 0 np-egress Chassis 0 FPC 1 PIC 2: 0 np-egress Chassis 0 FPC 1 PIC 0: 1 pot Chassis 0 FPC 0 PIC 1: 0 pot Chassis 0 FPC 0 PIC 0: 6 np-ingress Chassis 0 FPC 1 PIC 3: 0 np-ingress Chassis 0 FPC 1 PIC 1: 0 np-ingress Chassis 0 FPC 1 PIC 2: 0 np-ingress Chassis 0 FPC 1 PIC 0: 1 lbt Chassis 0 FPC 0 PIC 1: 0 lbt Chassis 0 FPC 0 PIC 0: 4 jexec Chassis 0 FPC 0 PIC 1: 0 jexec Chassis 0 FPC 0 PIC 0: 4
Ver también
Solucionar problemas de resolución de nombres DNS en políticas de seguridad del sistema lógico (solo administradores principales)
Problema
Descripción
Es posible que la dirección de un nombre de host en una entrada de la libreta de direcciones que se utiliza en una política de seguridad no se resuelva correctamente.
Causa
Normalmente, las entradas de la libreta de direcciones que contienen nombres de host dinámicos se actualizan automáticamente para los firewalls de la serie SRX. El campo TTL asociado a una entrada DNS indica el tiempo después del cual se debe actualizar la entrada en la caché de políticas. Una vez que caduca el valor TTL, el firewall de la serie SRX actualiza automáticamente la entrada DNS de una entrada de la libreta de direcciones.
Sin embargo, si el firewall de la serie SRX no puede obtener una respuesta del servidor DNS (por ejemplo, la solicitud DNS o el paquete de respuesta se pierden en la red o el servidor DNS no puede enviar una respuesta), es posible que la dirección de un nombre de host en una entrada de la libreta de direcciones no se resuelva correctamente. Esto puede hacer que el tráfico se interrumpa, ya que no se encuentra ninguna coincidencia de política de seguridad o sesión.
Solución
El administrador principal puede usar el show security dns-cache comando para mostrar la información de la caché de DNS en el firewall de la serie SRX. Si es necesario actualizar la información de caché de DNS, el administrador principal puede usar el clear security dns-cache comando.
Estos comandos solo están disponibles para el administrador principal en dispositivos configurados para sistemas lógicos. Este comando no está disponible en sistemas lógicos de usuario ni en dispositivos que no estén configurados para sistemas lógicos.
Ver también
Comportamiento de registros de seguridad específicos de la plataforma
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Utilice la siguiente tabla para revisar los comportamientos específicos de la plataforma para su plataforma:
| Plataforma |
Diferencia |
|---|---|
| serie SRX |
|