Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

监控安全功能

 

本部分包含以下主题:

监控策略

用途

显示、排序和查看设备上配置的每个激活策略的策略活动。策略按区域上下文(信息流的 "从" 和 "到" 区域)分组,以控制一次显示的数据量。从策略列表中选择一个策略,以显示统计数据和当前网络活动。

操作

要查看策略活动:

  1. Monitor>Security>Policy>Activities在 J-Web 用户界面中。将出现 "安全策略监控" 页面,其中列出了第一个区域上下文中的策略。有关表 1字段说明,请参阅。

  2. Zone Context选择要监控的策略,然后单击Filter。区域上下文中的所有策略都以匹配顺序出现。

  3. 选择策略,然后单击 Clear Statistics将选定策略的所有计数器都设置为零。

表 1: 安全策略监控输出字段

字段

其他信息

区域上下文(Total #)

显示已配置策略的所有从和到区域的组合的列表。每个上下文的活动策略总数在 Total # 字段中指定。默认情况下,第一个区域上下文中的策略将显示出来。

要显示不同上下文的策略,请选择一个区域上下文并单击Filter。每个上下文都显示非活动和活动策略。但是,上下文的 Total # 字段仅指定活动策略的数量。

默认策略操作

指定与上下文中的任何策略都不匹配的流量应采取的操作:

  • 允许-全部—允许与策略不匹配的所有流量。

  • 拒绝-全部—拒绝与策略不匹配的所有流量。

从区域

显示用作策略匹配标准的源区域。

到区域

显示用作策略匹配标准的目标区域。

名称

显示策略的名称。

源地址

显示用作策略匹配标准的源地址。地址集解析为各自的名称。(在这种情况下,仅给定名称,而不是 IP 地址)。

目标地址

显示用作策略匹配标准的目标地址(或地址集)。地址按目标区域’s 通讯簿中的指定输入。

源标识

显示为策略设置的源标识的名称。

要显示源标识的值,请将鼠标悬停在此字段上。还会显示未知源标识。

应用

显示要用作策略匹配标准的预定义或自定义应用程序签名的名称。

动态应用

如果为策略配置了应用程序防火墙规则集,则显示要用作匹配条件的动态应用程序签名。

对于网络防火墙,未定义动态应用程序。

规则集显示为两行。第一行显示规则集中配置的动态应用程序签名。第二行显示默认动态应用程序签名。

如果为规则集指定了两个以上的动态应用程序签名,则将鼠标指针悬停在输出字段上方,以在工具提示中显示完整列表。

操作

如果为策略配置了应用程序防火墙规则集,则显示该规则集的操作部分。

  • 许可—允许访问由策略控制的网络服务。绿色背景表示权限。

  • deny—拒绝访问由策略控制的网络服务。红色背景表示 "拒绝"。

规则集的操作部分出现在两行中。第一行标识当信息流与动态应用程序签名匹配时要采取的措施。当信息流与动态应用程序签名不匹配时,第二行显示默认操作。

NW 服务

如果配置了应用程序防火墙规则集,则显示该策略允许或拒绝的网络服务。网络服务包括:

  • gprs-gtp-配置—文件指定 GPRS 隧道协议配置文件名称。

  • idp—执行入侵检测和防御。

  • wx—Set wx 重定向。

  • 反向重定向-wx—Set wx 反向重定向。

  • uac-策略—支持策略的统一访问控制实施。

策略计数器图形

为指定计数器的时间段提供值的表示形式。如果策略计数器指示无数据,则图形为空。随着选定计数器累计数据,图形将在每次刷新间隔时更新。

要打开和关闭图形,请单击图形下面的计数器名称。

策略计数器

列出了所选策略的统计计数器(如果启用了 Count)。以下计数器可用于每个策略:

  • input 字节

  • 输入字节速率

  • 输出字节

  • 输出字节速率

  • 输入数据包

  • 输入数据包速率

  • 输出数据包

  • 输出数据包速率

  • 会话创建

  • 会话创建速率

  • 活动-会话

要图形或从策略计数器图中移除计数器,请切换计数器名称。已启用计数器的名称显示在图形下方。

检查策略

用途

输入匹配标准并执行策略搜索。搜索结果包括与流量标准匹配的所有策略(将在此顺序中出现)。

由于策略匹配在出现的顺序中列出,因此您可以确定特定策略是否正确应用。列表中的第一个策略将应用于所有匹配的信息流。在此之后列出的策略将“保留在”第一个策略的影子中,并且永远不会遇到此信息流。

通过操作信息流标准和策略顺序,您可以调整策略应用程序以满足您的需求。在策略开发过程中,您可以使用此功能建立相应的策略顺序,以实现最佳流量匹配。进行故障排除时,请使用此功能确定特定流量是否遇到适当的策略。

操作

  1. Monitor>Security>Policy>Shadow Policies在 J-Web 用户界面中。将显示检查策略页面。表 2介绍了此页面的内容。
  2. 在顶部窗格中,输入从区域和到区域以提供搜索的上下文。
  3. 输入流量的匹配标准,包括源地址和端口、目标地址和端口以及流量的协议。
  4. 输入要显示的匹配策略数。
  5. 单击Search 此处可查找符合您条件的策略。下部窗格显示与条件匹配的所有策略,直到达到您指定的策略数量。
    • 第一个策略将应用于具有此匹配标准的所有流量。

    • 具有此匹配标准的任何流量都不会遇到剩余策略。

  6. 要操作策略的位置和激活,请选择策略并单击相应的按钮:
    • Move—向上或向下移动选定策略,以在搜索序列中更合适的位置上定位。

    • Move to—通过允许您将选定策略拖放到同一页面上的不同位置,从而移动所选政策。

表 2: 检查策略输出

字段

功能

检查策略搜索输入窗格

从区域

源区域的名称或 ID。如果源区域由名称指定,名称将在内部被转换为其 ID。

到区域

目标区域的名称或 ID。如果 a 到区域是按名称指定的,则该名称将在内部被转换为其 ID。

源地址

IP 表示法中的来源地址。

源端口

源的端口号。

目标地址

IP 表示法中的目的地地址。

目标端口

目标的端口号。

源标识

源标识的名称。

Protocol

要匹配的协议的名称或同等值。

a h51
egp8
那样50
gre47
icmp1
igmp2
igp9
ipip94
ipv641
ospf89
pgm113
pim103
rdp27
答复46
sctp132
tcp6
udp17
vrrp112

结果计数

必要显示的策略数量。默认值为1。最大值为16。

检查策略列表

从区域

源区域的名称。

到区域

目标区域的名称。

总策略

检索的策略数。

默认策略操作

不发生匹配时将采取的措施。

名称

策略名称

源地址

策略的源地址(不是 IP 地址)的名称。地址集解析为各自的名称。

目标地址

目标地址或地址集的名称。数据包’的目标地址必须与此值匹配才能应用于该策略。

源标识

策略的源标识名称。

应用

策略匹配的预配置或自定义应用程序的名称。

操作

在策略中指定的匹配发生时,采取的措施。

命中次数

此策略的匹配项数。此值与策略统计报告中的策略查找相同。

活动会话

与此策略匹配的活动会话数量。

或者,要使用 CLI 列出匹配策略,请输入show security match-policies命令并包括您的匹配标准和要显示的匹配策略数。

监控屏幕计数器

用途

查看指定安全区域的屏幕统计信息。

操作

Monitor>Security>Screen Counters在 J-Web 用户界面中,或输入以下 CLI 命令:

show security screen statistics zone zone-name

表 3汇总了屏幕计数器显示的主要输出字段。

表 3: 关键屏幕计数器的摘要输出字段

字段

其他信息

区域  

ICMP 洪水攻击

互联网控制消息协议(ICMP)淹没计数器。

ICMP 洪水攻击通常在 ICMP echo 请求使用所有资源响应时出现,这样就无法再处理有效的网络流量。

UDP 洪水

用户数据报协议(UDP)淹没计数器。

当攻击者发送包含 UDP 数据报的 IP 数据包并降低资源的速度时,就会发生 UDP 泛滥,这样就无法再处理有效连接。

TCP Winnuke

传输控制协议(TCP) WinNuke 攻击的数量。

WinNuke 是一种拒绝服务(DoS)攻击,针对运行 Windows 的 Internet 上的任何计算机。

TCP 端口扫描

TCP 端口扫描数。

此攻击的目的是扫描可用的服务,确保至少一个端口将响应,从而确定要瞄准的服务。

ICMP 地址扫描

ICMP 地址扫描数。

在触发来自活动主机的响应时,可以进行 IP 地址扫描。

IP 撕丢弃

泪珠形攻击数量。

泪珠形攻击利用分段 IP 数据包的重组。

TCP SYN 攻击

TCP SYN 攻击数。

IP 欺骗

IP 假冒数量。

在数据包标头中插入无效的源地址以使数据包看上去来自可靠来源时,IP 欺骗发生。

ICMP Ping 死亡

ICMP ping 死亡死机计数器。

如果发送的 IP 数据包超过最大合法长度(65535字节),则会发生死亡 Ping 命令。

IP 源路由

IP 源路由攻击数。

TCP 陆地攻击

土地攻击数量。

当攻击者将包含受害者 IP 地址的虚假 SYN 数据包发送为目标和源 IP 地址时,就会发生陆地攻击。

TCP SYN 分段

TCP SYN 碎片数。

TCP 无标志

不带标志集的 TCP 标头数量。

正常 TCP 段标头至少设置了一个控制标志。

IP 未知协议

未知互联网协议数。

IP 坏选件

无效选项数。

IP 记录路由选项

启用了 IP 记录路由选项的数据包数量。

此选项记录 IP 数据包传输的路径中的网络设备的 IP 地址。

IP 时间戳选项

IP 时间戳选项攻击数。

此选项记录了每个网络设备在从原点到达目的地的过程中接收数据包的时间(通用时间)。

IP 安全选项

IP 安全选项攻击数。

IP 松散路由选项

IP 松散路由选项攻击数。

此选项指定数据包在从源到目标的旅程上所用的部分路由列表。

IP 严格源路由选项

IP 严格源路由选项攻击数。

此选项指定数据包在从源到目标的旅程上所执行的完整路由列表。

IP 流选项

流选项攻击数量。

此选项提供了一种通过不支持流的网络传输16位 SATNET 流标识符的方法。

ICMP 分段

ICMP 分段数。

由于 ICMP 数据包包含很短的消息,因此 ICMP 数据包无法分段。如果 ICMP 数据包太大,必须将其分段,则有些 amiss。

ICMP 大数据包

大型 ICMP 数据包数。

TCP SYN FIN 数据包

TCP SYN FIN 数据包数。

无 ACK 的 TCP FIN

没有确认(ACK)标志的 TCP FIN 标志数。

TCP SYN ACK-ACK 代理

启用了 SYN ACK 的 TCP 标记数。

要防止对 SYN ack ACK 会话的泛滥,您可以启用 SYN ack-ACK 代理防护屏幕选项。当来自相同 IP 地址的连接数达到 SYN ACK-ACK 代理阈值后,Junos OS 将拒绝来自该 IP 地址的进一步连接请求。

IP 阻止片段

IP 块碎片数。

监控 IDP 状态

用途

查看有关 IDP 状态、内存、计数器、策略库统计数据和攻击表统计数据的详细信息。

操作

要查看入侵检测和防御(IDP)表信息,请执行以下操作之一:

  • 如果您使用 SRX5400、SRX5600 或 SRX5800 平台,请选择 Monitor>Security>IDP>Status在 J-Web 用户界面中,或输入以下 CLI 命令:

    • show security idp status

    • show security idp memory

  • Monitor>Security>IPS>Status在 J-Web 用户界面中。

表 4汇总了 IDP 显示中的主要输出字段。

表 4: IDP 状态输出字段汇总

字段

其他信息

IDP 状态  

IDP 状态

显示当前 IDP 策略的状态。

显示从 IDP 策略首次开始在系统上运行的时间。

数据包/秒

显示每秒接收和返回的数据包数量。

显示每秒接收的数据包的最大数量以及达到最大值的时间。

Kbits/Second

显示系统的聚合吞吐量(每秒千位)。

峰值 Kbits

显示最大千位/秒和达到最大值的时间。

延迟(微秒)

显示由节点接收和返回的数据包的延迟(以微秒计)。

当前策略

显示当前安装的 IDP 策略的名称。

IDP 内存状态  

IDP 内存统计数据

显示所有 IDP 数据平面内存的状态。

PIC 名称

显示 PIC 的名称。

总 IDP 数据平面内存(MB)

显示为 IDP 数据平面分配的总内存空间(以 mb 为单位)。

使用(MB)

显示数据平面的已用内存空间(以 mb 为单位)。

可用(MB)

显示数据平面的可用内存空间(以 mb 为单位)。

监控流门信息

用途

查看有关临时入口的信息,称为安全防火墙中的 pinholes 或关口。

操作

Monitor>Security>Flow Gate J-Web 用户界面中选择,或输入show security flow gate命令。

表 5汇总了流门显示中的主要输出字段。

表 5: 关键信息流门输出字段汇总

字段

其他信息

流门信息

Pinhole 允许的信息流范围。

目标语言

元组,如果与 pinhole 匹配,则用于创建会话:

  • 源地址和端口

  • 目标地址和端口

Protocol

应用协议,例如 UDP 或 TCP。

应用

应用程序的名称。

老化

Pinhole 的空闲超时。

标记

Pinhole 的内部调试标志。

区段

传入区域。

引用计数

对 pinhole 的资源管理器引用数。

人力资源

有关 pinhole 的资源管理器信息。

监控防火墙身份验证表

用途

查看有关认证表的信息,该表将防火墙身份验证用户信息划分为多个部分。

操作

Monitor>Security>Firewall Authentication>Authentication Table J-Web 用户界面中选择。要查看有关具有特定标识符的用户的详细信息,请在认证表页面上选择 ID。要查看有关特定来源 IP 地址的用户的详细信息,请在认证表页面上选择来源 IP。

或者,输入以下 CLI show命令:

  • show security firewall-authentication users

  • show security firewall-authentication users address ip-address

  • show security firewall-authentication users identifier identifier

表 6汇总防火墙认证表显示中的主要输出字段。

表 6: 关键防火墙身份验证表输出字段摘要

字段

其他信息

防火墙认证用户

表中的用户总数

认证表中的用户数。

认证表

ID

身份验证识别号。

来源 Ip

身份验证源的 IP 地址。

老化

用户的空闲超时。

Status

身份验证的状态successfailure或)。

用户

用户的名称。

每个所选 ID 的详细报告: ID

源区域

源区域的名称。

目标区域

目标区域的名称。

配置文件

配置文件的名称。

用户信息。

身份验证方法

选择进行身份验证的路径。

策略 Id

策略标识符。

接口名称

接口名称。

此用户发送的字节

此用户发送的字节数的数据包数量。

此用户接收的字节

此用户接收的字节数。

客户端组

客户端组的名称。

每个所选源 Ip 的详细报告

来源 IP 条目

身份验证源的 IP 地址。

源区域

源区域的名称。

目标区域

目标区域的名称。

配置文件

配置文件的名称。

老化

用户的空闲超时。

Status

身份验证的状态successfailure或)。

用户

用户的名称。

身份验证方法

选择进行身份验证的路径。

策略 Id

策略标识符。

接口名称

接口名称。

此用户发送的字节

此用户发送的字节数的数据包数量。

此用户接收的字节

此用户接收的字节数。

客户端组

客户端组的名称。

监控防火墙身份验证历史记录

用途

查看有关划分为多个部分的认证历史的信息。

操作

Monitor>Security>Firewall Authentication>Authentication History J-Web 用户界面中选择。要查看具有此标识符的身份验证的详细历史记录,请在防火墙认证历史记录页面上选择 ID。要查看此来源 IP 地址的详细身份验证历史记录,请在防火墙认证历史记录页面上选择来源 IP。

或者,输入以下 CLI show命令:

  • show security firewall-authentication history

  • show security firewall-authentication history address ip-address

  • show security firewall-authentication history identifier identifier

表 7汇总防火墙认证历史显示中的主要输出字段。

表 7: 关键防火墙身份验证历史记录输出字段摘要

字段

其他信息

防火墙身份验证数据历史记录

身份验证总计

身份验证数量。

历史记录表

ID

标识号。

来源 Ip

身份验证源的 IP 地址。

开始日期

认证日期。

开始时间

身份验证时间。

期间

身份验证持续时间。

Status

身份验证的状态success failure或)。

用户

用户的名称。

所选 Id 的详细信息历史记录: ID

身份验证方法

选择进行身份验证的路径。

策略 Id

安全策略标识符。

源区域

源区域的名称。

目标区域

目标区域的名称。

接口名称

接口名称。

此用户发送的字节

此用户发送的字节数的数据包数量。

此用户接收的字节

此用户接收的字节数。

客户端组

客户端组的名称。

所选来源 Ip 的详细信息历史:来源 Ip

用户

用户的名称。

开始日期

认证日期。

开始时间

身份验证时间。

期间

身份验证持续时间。

Status

身份验证的状态success failure或)。

概况

配置文件的名称。

身份验证方法

选择进行身份验证的路径。

策略 Id

安全策略标识符。

源区域

源区域的名称。

目标区域

目标区域的名称。

接口名称

接口名称。

此用户发送的字节

此用户发送的字节数的数据包数量。

此用户接收的字节

此用户接收的字节数。

客户端组

客户端组的名称。

监控 802.1 x

用途

查看有关 802.1 X 属性的信息。

操作

Monitor>Security>802.1x J-Web 用户界面中选择,或输入以下 CLI 命令:

  • show dot1x interfaces interface-name

  • show dot1x authentication-failed-users

表 8汇总了 Dot1X 的输出字段。

表 8: Dot1X 输出字段汇总

字段

其他信息

选择端口

用于选择的端口列表。

连接的主机数

连接到端口的主机总数。

跳过的身份验证主机数

关于端口的身份验证绕过主机总数。

经过身份验证的用户汇总

MAC 地址

连接的主机的 MAC 地址。

用户名

用户的名称。

Status

有关主机连接状态的信息。

认证到期

有关主机身份验证的信息。

认证失败的用户汇总

MAC 地址

身份验证失败主机的 MAC 地址。

用户名

认证失败用户的名称。