- play_arrow Visão geral
- play_arrow Sessões baseadas em fluxo
- Sessões baseadas em fluxo
- Sessões de TCP
- Encaminhamento baseado em fluxo de ECMP
- Desempenho baseado em fluxo
- Distribuição de fluxo e pedidos de pacotes
- PowerMode
- Suporte a políticas unificadas para o fluxo
- Modo TAP para sessões de fluxo
- Gerenciamento de fluxo em dispositivos da Série SRX usando instância de roteamento VRF
- play_arrow Processamento baseado em fluxo para IPv6
- play_arrow Encaminhamento baseado em pacotes
- play_arrow Declarações de configuração e comandos operacionais
NESTA PÁGINA
Visão geral do monitoramento das sessões de fluxo de segurança
Entenda como obter informações de sessão para firewalls da Série SRX
Exibindo parâmetros de sessão globais para todos os gateways de serviços da Série SRX
Exibindo um resumo das sessões para gateways de serviços da Série SRX
Exibição de informações de sessão e fluxo sobre sessões para gateways de serviços da Série SRX
Usando filtros para exibir informações de sessão e fluxo para gateways de serviços da Série SRX
Informações fornecidas em entradas de registro de sessão para gateways de serviços da Série SRX
Monitoramento das sessões de fluxo de segurança
Este tópico abrange informações para monitoramento, exibição e verificação de sessões de fluxo usando comandos de modo operacional. Assim, você pode depurar sem precisar comprometer ou modificar sua configuração em execução.
Visão geral do monitoramento das sessões de fluxo de segurança
O Junos OS permite que você configure e inicie o monitoramento de sessões de fluxo usando comandos de modo operacional. Assim, você pode depurar sem precisar comprometer ou modificar sua configuração em execução. Essa abordagem pode ser especialmente útil quando você não deseja mudar o estado do seu dispositivo, comprometendo a configuração a ativar opções de rastreamento.
Para configurar o monitoramento da sessão de fluxo, você deve definir filtros de fluxo, especificar o arquivo de saída e começar o monitoramento. O monitoramento da sessão de fluxo não começa a menos que um filtro (pelo menos um) e um arquivo de saída sejam especificados. Além disso, definir os próprios filtros não desencadeia o monitoramento. Você precisa usar explicitamente os comandos e monitor security flow stop
os monitor security flow start
comandos para ativar e desabilitar o monitoramento, respectivamente.
Definir filtros de fluxo — Definir as sessões de fluxo que você deseja monitorar usando combinações de critérios de correspondência, como endereço de origem, endereço de destino, porta de origem, porta de destino, número de protocolo IP, nome da interface de entrada ou saída, e o nome lógico do sistema. Você pode excluir filtros usando o
clear monitor security flow filter
comando.Nota:Ao contrário dos filtros definidos no modo de configuração, os filtros definidos usando comandos de modo operacional são liberados quando você reinicializa seu sistema.
Especifique o arquivo de saída — Crie um arquivo de saída no qual as informações de monitoramento do fluxo de segurança devem ser salvas. Este arquivo é salvo no
/var/log/
diretório. Você pode visualizar o conteúdo deste arquivo usando oshow log filename
comando. Use omonitor security flow file
comando para especificar as características do arquivo de saída, como seu tamanho máximo, número máximo e tipo.Inicie o monitoramento — Use o
monitor security flow start
comando para começar o monitoramento. Assim que o monitoramento começa, qualquer tráfego que corresponda aos filtros é salvo no arquivo de saída especificado no/var/log/
diretório. A bandeira de datapath básica é a bandeira padrão e ativada conforme o monitoramento começa.Use o comando para interromper o
monitor security flow stop
monitoramento. Assim que o monitoramento parar, a bandeira de datapath básica é liberada.Exibir informações de fluxo de monitoramento — Use o
show monitoring security flow
comando para exibir detalhes sobre a operação de monitoramento.
Você pode configurar o monitoramento e a depuração da sessão de fluxo usando os comandos de modo operacional de monitoramento e declarações de configuração de traceoptions de fluxo. Essas duas operações não podem ser executadas em paralelo. Quando você ativa o monitoramento do fluxo de segurança, a sessão de traceoption de fluxo é bloqueada e, quando a sessão de traceoption de fluxo está sendo executada, o monitoramento da sessão de fluxo é bloqueado.
Entenda como obter informações de sessão para firewalls da Série SRX
Você pode obter informações sobre as sessões e fluxos de pacotes ativos em seu dispositivo, incluindo informações detalhadas sobre sessões específicas. (O firewall da Série SRX também exibe informações sobre sessões com falha.) Você pode exibir essas informações para observar a atividade e para fins de depuração. Por exemplo, você pode usar o comando de sessão de fluxo de segurança do show:
Para exibir uma lista de fluxos IP de entrada e saída, incluindo serviços
Para mostrar os atributos de segurança associados a um fluxo, por exemplo, as políticas que se aplicam ao tráfego pertencentes a esse fluxo
Exibir o valor do tempo limite da sessão, quando a sessão ficou ativa, por quanto tempo está ativa e se houver tráfego ativo na sessão
Se um NAT de interface estiver configurado e as sessões forem configuradas com o NAT usando esse endereço IP da interface, sempre que o endereço IP da interface mudar, as sessões configuradas com NAT serão atualizadas e novas sessões serão configuradas com novo endereço IP. Isso você pode verificar usando o show security flow session
comando CLI.
As informações da sessão também podem ser registradas se uma configuração de política relacionada incluir a opção de registro. Para o log de sessão de fluxo em todos os firewalls da Série SRX, a configuração de políticas foi aprimorada. Informações sobre o parâmetro de interface de entrada de pacotes no log de sessão para sessão e fechamento de sessão e quando uma sessão é negada por uma política ou pelo firewall de aplicativo é fornecida para atender à conformidade dos Perfis de Proteção de Robustez Média (MRPP) dos Critérios Comuns (CC):
Configuração de política — Para configurar a política para a sessão para a qual você deseja registrar correspondências como log session-init ou session-close registrar sessões no syslog:
set security policies from-zone untrustZone to-zone trust zone policy policy13 match source-address extHost1
set security policies from-zone untrustZone to-zone trustZone policy policy13 match application junos-ping
set security policies from-zone untrustZone to-zone trustZone policy policy13 then permit
set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-init
set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-close
Example : Política de correspondência de fluxo13 registrará as seguintes informações no log:
<14>1 2010-09-30T14:55:04.323+08:00 mrpp-srx550-dut0 1 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2626.192.0.2.1.40 source-address="192.0.2.1" source-port="1" destino-endereço="198.51.100.12" destination-port="46384" service-name="icmp" nat-source-address="192.0,2,1" nat-source-port="1" nat-destination-address="198.51.100.12" nat-destination-port="46384" src-nat-rule-name="Nenhum" dst-nat-rule-name="Nenhum" protocolo-id="1" policy-name="policy1" source-zone-name="trustZone" nome da zona de destino ="untrustZone" session-id-32="41" packet-incoming-interface="ge-0/0/1.0"] sessão criada em 192.0.0.02,1/1 — >198,51,100,12/46384 icmp 192,0,2,1/1 -->198.51.100.12/46384 Nenhum nenhum 1 policy1 trustZone não confiávelZone 41 ge-0/0/1,0
<14>1 2010-09-30T14:55:07.188+08:00 mrpp-srx550-dut 1 RT_FLOW — RT_FLOW_SESSION_CLOSE [junos@2626.192.0.2.1.40 reason="response received" source-address="192.0.2.1 " porta-fonte="1" endereço de destino="198.51.100.12" destination-port="46384" service-name="icmp" nat-source-address ="192.0.2.1" nat-source-port="1" nat-destination-address="198.51.100,12" nat-destination-port="46384" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name="untrustZone" session-id-32="Pacotes de 41" de cliente="1" bytes-from-client="84" packets-from-server="1" bytes-from-server="84" elapsed-time="0" packet-incoming-interface="ge-0/0/1,0"] resposta a sessão fechada recebida: 192,0,2,1/1 -- >198,51,100,12/46384 icmp 192.2.2.1/1 -->198.51.100.12/46384 Nenhum nenhum 1 policy1 trustZone não confiávelZone 41 1(84) 1(84) 0 ge-0/0/1,0
Exibindo parâmetros de sessão globais para todos os gateways de serviços da Série SRX
Propósito
Obtenha informações sobre parâmetros configurados que se aplicam a todos os fluxos ou sessões.
Ação
Para visualizar as informações da sessão na CLI, insira o seguinte comando:
user@host# show security flow
Significado
O show security flow
comando de configuração exibe as seguintes informações:
allow-dns-reply
— identifica se pacotes de resposta de DNS (Domain Name System, Sistema de nomes de domínio) de entrada incomparáveis são permitidos.route-change-timeout
— Se habilitado, exibe o valor do tempo de sessão a ser usado em uma mudança de rota para uma rota inexistente.tcp-mss
— mostra a configuração atual para o TCP de valor máximo de tamanho do segmento a ser usado para todos os pacotes TCP para tráfego de rede.tcp-session
— exibe todos os parâmetros configurados que controlam parâmetros de sessão.syn-flood-protection-mode
— exibe o modo Proxy SYN.
Exibindo um resumo das sessões para gateways de serviços da Série SRX
Propósito
Determine os tipos de sessões em seu dispositivo, quantas de cada tipo existem — por exemplo, o número de sessões unicast e sessões multicast — o número de sessões com falha, o número de sessões que estão sendo usadas atualmente e o número máximo de sessões que o dispositivo suporta. Este comando também exibe os detalhes das sessões que estão sendo usadas no momento. Por exemplo, sessões válidas, sessões pendentes, sessões e sessões invalidadas em outros estados.
Ação
Para ver as informações do resumo da sessão na CLI, insira o seguinte comando CLI:
user@host> show security flow session summary
Exibição de informações de sessão e fluxo sobre sessões para gateways de serviços da Série SRX
Propósito
Exibir informações sobre todas as sessões em seu dispositivo, incluindo o ID da sessão, o sistema virtual do qual a sessão pertence, o pool de origem da tradução de endereços de rede (NAT) (se o NAT de origem for usado), o valor de tempo limite configurado para a sessão e seu tempo limite padrão, e o tempo de início da sessão e quanto tempo a sessão está ativa. O display também mostra todas as informações de fluxo padrão, incluindo a direção do fluxo, o endereço e a porta de origem, o endereço e a porta de destino, o protocolo IP e a interface usada para a sessão.
Ação
Para visualizar as informações de fluxo de sessão na CLI, insira o seguinte comando:
user@host> show security flow session
Exibição de informações de sessão e fluxo sobre uma sessão específica para gateways de serviços da Série SRX
Propósito
Quando você conhece o identificador de sessão, você pode exibir todas as informações de sessão e fluxo para uma sessão específica e não para todas as sessões.
Ação
Para visualizar informações sobre uma sessão específica na CLI, insira o seguinte comando:
user@host> show security flow session session-identifier 40000381
Usando filtros para exibir informações de sessão e fluxo para gateways de serviços da Série SRX
Propósito
Você pode exibir informações de fluxo e sessão sobre uma ou mais sessões especificando um filtro como argumento para o show security flow session
comando. Você pode usar os seguintes filtros: aplicativo, porta de destino, prefixo de destino, família, idp, interface, nat, protocolo, gerenciador de recursos, identificador de sessão, porta de origem, prefixo de origem e túnel. O dispositivo exibe as informações para cada sessão seguida de uma linha especificando o número de sessões relatadas. Aqui está um exemplo do comando usando o filtro de prefixo de origem.
Ação
Para visualizar informações sobre sessões selecionadas usando filtros na CLI, insira o seguinte comando:
user@host> show security flow session source-prefix 10/8
Informações fornecidas em entradas de registro de sessão para gateways de serviços da Série SRX
As entradas de log de sessão estão vinculadas à configuração da política. Cada evento de sessão principal — criar, fechar e negar — criará uma entrada de log se a política de controle permitir o registro.
Diferentes campos estão logados para eventos de criação de sessão, encerramento de sessão e sessão de negação, conforme mostrado na Tabela 1, Tabela 2 e Tabela 3. O mesmo nome de campo em cada tipo indica que as mesmas informações estão registradas, mas cada tabela é uma lista completa de todos os dados registrados para esse tipo de log de sessão.
A tabela a seguir define os campos exibidos em entradas de log de sessão.
Field | Description |
---|---|
| Endereço IP de origem do pacote que criou a sessão. |
| Porta de origem do pacote que criou a sessão. |
| Endereço IP de destino do pacote que criou a sessão. |
| Porta de destino do pacote que criou a sessão. |
| Aplicativo que o pacote passou (por exemplo, "junos-telnet" para tráfego Telnet durante a sessão permitido por uma política que permite a Telnet nativa). |
| O endereço de origem nat traduzido se o NAT foi aplicado; caso contrário, o endereço de origem conforme acima. |
| A porta de origem NAT traduzida se o NAT for aplicado; caso contrário, a porta de origem como acima. |
| O endereço de destino NAT traduzido se o NAT for aplicado; caso contrário, o endereço de destino como acima. |
| A porta de destino NAT traduzida se o NAT for aplicado; caso contrário, a porta de destino como acima. |
| A regra nat de origem que foi aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço fonte ocorrer, este campo mostrará o nome de regra nat estático.* |
| A regra de NAT de destino que foi aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço de destino ocorrer, este campo mostrará o nome de regra nat estático.* |
| A ID de protocolo do pacote que criou a sessão. |
| O nome da política que permitiu a criação da sessão. |
| A ID da sessão de 32 bits. |
* Observe que algumas sessões podem ter o NAT de destino e de origem aplicados e as informações registradas. |
Começando pelo Junos OS Release 12.1X47-D20 e Junos OS Release 17.3R1, o log do sistema inclui informações sobre o tipo de regra nat. Dois novos protocolos do tipo src-nat-rule e dst-nat-rule-type são introduzidos na sessão de regras do NAT.
Field | Description |
---|---|
| O motivo da sessão ter sido fechada. |
| Endereço IP de origem do pacote que criou a sessão. |
| Porta de origem do pacote que criou a sessão. |
| Endereço IP de destino do pacote que criou a sessão. |
| Porta de destino do pacote que criou a sessão. |
| Aplicativo que o pacote passou (por exemplo, "junos-telnet" para tráfego Telnet durante a sessão permitido por uma política que permite a Telnet nativa). |
| O endereço de origem nat traduzido se o NAT foi aplicado; caso contrário, o endereço de origem conforme acima. |
| A porta de origem NAT traduzida se o NAT for aplicado; caso contrário, a porta de origem como acima. |
| O endereço de destino NAT traduzido se o NAT for aplicado; caso contrário, o endereço de destino como acima. |
| A porta de destino NAT traduzida se o NAT for aplicado; caso contrário, a porta de destino como acima. |
| A regra nat de origem que foi aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço fonte ocorrer, este campo mostrará o nome de regra nat estático.* |
| A regra de NAT de destino que foi aplicada à sessão (se houver). Se o NAT estático também estiver configurado e aplicado à sessão e se a tradução do endereço de destino ocorrer, este campo mostrará o nome de regra nat estático.* |
| A ID de protocolo do pacote que criou a sessão. |
| O nome da política que permitiu a criação da sessão. |
| A ID da sessão de 32 bits. |
| O número de pacotes enviados pelo cliente relacionados a esta sessão. |
| O número de bytes de dados enviados pelo cliente relacionados a esta sessão. |
| O número de pacotes enviados pelo servidor relacionados a esta sessão. |
| O número de bytes de dados enviados pelo servidor relacionados a esta sessão. |
| A sessão total passou do tempo da permissão para o fechamento, dado em segundos. |
| Durante a criação da sessão, você pode definir a razão da sessão como A sessão encerra com o motivo |
| A sessão foi fechada por um pacote de reset de TCP enviado ao cliente. |
| A sessão foi fechada por um pacote de reset de TCP enviado a ele a partir do servidor. |
| A FIN recebeu de ambos os lados. |
| Resposta recebida para uma solicitação de pacote (por exemplo, req-reply do ICMP). |
| Erro de ICMP recebido. |
| A sessão envelhecida foi alcançada. |
| Os erros de ALG encerraram a sessão (por exemplo, o limite máximo de acesso remoto (RAS) alcançado. |
| A mensagem de HA encerrou a sessão. |
| Não havia tráfego para a sessão antes do tempo de saída de idade configurado ser alcançado. |
| A autenticação falhou. |
| O IDP fechou a sessão por causa de um erro interno no módulo de segurança (SM). |
| A falha no proxy SYN encerrou a sessão. |
| Motivo para falha na alocação de sessão menor, precisa liberar a sessão original. |
| Sessão dos pais fechada. |
| Sessão liberada por uma CLI. |
| Resposta de CP NACK recebida. |
| A exclusão da CP ACK encerrou a sessão. |
| Política correspondente marcada para exclusão. |
| Sessão fechada por causa da exclusão da sessão de encaminhamento. |
| Sessão fechada porque a rota multicast mudou. |
| O primeiro caminho é redirecionado e a sessão é recriada. |
| A SPU recebeu uma mensagem ACK do ponto central, mas não recebeu o recurso DIP. Portanto, este pacote é descartado e a sessão está fechada. |
| Sessão fechada por todos os outros motivos (por exemplo, o pim reg tun precisava ser renovado). |
| Erros de criação de modelos de passagem do IKE. |
| A sessão é excluída porque a sessão de modelo de aprovação do IKE não tem filhos. |
| A sessão pendente foi fechada porque o temporizador de saída chegou ao estado pendente. |
| Sessão fechada por motivos desconhecidos. |
* Observe que algumas sessões podem ter o NAT de destino e de origem aplicados e as informações registradas. |
Field | Description |
---|---|
| Endereço IP de origem do pacote que tentou criar a sessão. |
| Porta de origem do pacote que tentou criar a sessão. |
| Endereço IP de destino do pacote que tentou criar a sessão. |
| Porta de destino do pacote que tentou criar a sessão. |
| Aplicativo que o pacote tentou atravessar. |
| A ID de protocolo do pacote que tentou criar a sessão. |
| O tipo de ICMP se o pacote negado tiver sido configurado pelo ICMP; caso contrário, este campo será 0. |
| O nome da política que negou a criação da sessão. |
Extensões de manuseio de erros
Entendendo a detecção de falhas do gerente de chassiS FPC e aprimoramentos no manuseio de erros
O Junos OS Routing Engine e o recurso de detecção e gerenciamento de erros de microkernel nos dispositivos de SRX5400, SRX5600 e SRX5800 permitem que o Mecanismo de Roteamento e o ukernel acumulem e armazenem o histórico de todas as atividades de erro e contadores relatados para vários níveis de gravidade. Você pode configurar como os erros são tratados e especificar os níveis de gravidade e as ações a serem executadas quando um erro é detectado e um limiar é atingido. Você pode gerar e exibir relatórios para erros encontrados com base em informações armazenadas.
Começando pelo Junos OS Release 15.1X49-D30 e Junos OS Release 17.3R1, aprimoramentos na detecção de erros são fornecidos para detectar erros adicionais em IOCs e SPCs e fornecer gerenciamento aprimorado de erros. Essa implementação estende a detecção e o gerenciamento de erros abordados no show chassis fpc error
tópico.
Este recurso não é compatível com o Routing Engine versão 1.
- Manuseio de erros em IOCs e SPCs
- Detecção e gerenciamento de erros
- Processos de detecção de erros
- Integração com cluster de chassi
- Detecção, relatórios e gerenciamento de cunhas
Manuseio de erros em IOCs e SPCs
Começando com o Junos OS Release 15.1-X49-D50 e o Junos OS Release 17.3R1, os aprimoramentos de gerenciamento de erros são suportados em placas de E/S (IOCs) e IOC3 e placas de processamento de serviços (SPCs) do SPC2. Algumas funções de aprimoramento são particulares para o IOC2 e o IOC3 ou os FPCs SPC2, e as diferenças são chamadas neste tópico.
Detecção e gerenciamento de erros
O gerenciamento de erros implica:
Detectando um erro.
O Junos OS monitora o estado do componente do chassi para detectar um conjunto de condições de erro. Um erro detectado pode pertencer a um dos níveis de gravidade de erro pré-configurados:
Fatal
Principal
Menor
Identificar a ação a tomar.
Quando ocorre um erro, o sistema identifica a ação a ser tomada com base no nível de gravidade do erro e nos limites definidos e cumpridos.
Um FPC mantém um conjunto de contadores de erros para cada nível de gravidade de erro. Um contra-conjunto de erros consiste em um contador cumulativo em todos os erros e contadores para erros e tipos individuais. São essas informações armazenadas no Mecanismo de Roteamento. Cada contador de ocorrências está associado a um limiar de ocorrência de erro. Existem dois níveis de limiar: um baseado no tipo e outro em gravidade.
Executando a ação.
Para esses aprimoramentos, as ações pré-configuradas que você pode direcionar o dispositivo a ser tomada quando a contagem de ocorrências de erro do Mecanismo de Roteamento para um determinado nível de segurança atingir o limiar configurado são:
Repor
Offline
Alarme
Estado de get
Tora
Tome cuidado ao definir as ações de manuseio de falhas para placas SPC2 na linha SRX5000 de dispositivos. Considere que se você definir a ação de manuseio de falhas em uma placa SPC2 para offline ou redefinir, quando a placa for retirada offline ou a reinicialização ocorrer, o daemon do chassi (chassi) reiniciará todas as suas placas FPC, tanto SPCs quanto IOCs — ou seja, todo o chassi será reiniciado.
Processos de detecção de erros
Com esses aprimoramentos, os seguintes processos de detecção de erros são habilitados e suportados:
Gerenciamento de erros no mecanismo de roteamento versão 2.
Gerenciamento de erros em módulos ukernel em placas SPC2.
Gerenciamento de erros nas placas IOC2 e IOC3.
Verificações de driver para detecção de erro de caminho de dados de condições de cunha.
Nota:A detecção de condição de cunha para o driver Trinity Offload Engine é suportada apenas em placas SPC2. Ou seja, não é suportado nas placas IOC2 e IOC3.
Detecção de cunha para loopback de host.
Nota:A detecção de condição de cunha para loopback de host é suportada apenas em placas SPC2. Ou seja, não é suportado nas placas IOC2 e IOC3.
Detecção de erro de malha do Gerente de Chassis.
Controle detecções de erros de caminho nas placas IOC2 e IOC3.
Integração com cluster de chassi
Em um ambiente de cluster de chassi, quando um alarme é levantado pela primeira vez devido a um erro grave ou fatal, um switchover do Grupo de Redundância 1 (RG1) é acionado. Este é o comportamento padrão dos firewalls da Série SRX, e permanece inalterado. No entanto, com esses aprimoramentos, o alarme é adicionado à lista de ação de manuseio de falhas padrão para um erro fatal. Adicionar um alarme à lista padrão de manuseio de falhas permite que o alarme do chassi acione o switchover RG1 assim que o erro fatal for detectado.
Detecção, relatórios e gerenciamento de cunhas
Uma condição de cunha é causada por um erro que bloqueia o tráfego de rede.
Esse recurso detecta vários tipos de condições de cunha. Ela:
Determina se a cunha é transitória ou irreversível.
Registra as condições de cunha em estatísticas e syslogs.
Alerta os administradores de rede para cunhas irreversíveis, levantando um alarme de chassi no Mecanismo de Roteamento.
Verifica se as seguintes detecções de erro de datapath estão habilitadas para as placas IOC2, IOC3 e SPC2:
Detecção de cunha para driver XM
Detecção de cunhas para o driver LU
Detecção de cunhas para o driver XL
Detecção de cunha para driver TOE (apenas SPC2)
Detecção de cunha para loopback de host (apenas SPC2)
Todas as condições de cunha de datapath são detectadas e relatadas em 5 segundos. Cada erro na detecção de registros de módulos e relata o estado e o histórico de suas condições de cunha identificáveis.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.