监视安全流会话
本主题介绍使用操作模式命令监视、显示和验证流会话的信息。因此,您可以进行调试,而无需提交或修改正在运行的配置。
监视安全流会话概述
Junos OS 允许您使用操作模式命令配置和启动流会话监控。因此,您可以进行调试,而无需提交或修改正在运行的配置。当您不想通过提交配置以打开跟踪选项来更改设备状态时,此方法特别有用。
要配置流会话监控,您必须定义流过滤器,指定输出文件,然后开始监控。除非指定过滤器(至少一个)和输出文件,否则流会话监控不会启动。此外,定义筛选器本身不会触发监视。您必须显式使用 monitor security flow start 和 monitor security flow stop 命令分别启用和禁用监视。
定义流过滤器 — 使用匹配标准的组合(例如源地址、目标地址、源端口、目标端口、IP 协议号、传入或传出接口的名称以及逻辑系统名称)定义要监控的流会话。您可以使用命令
clear monitor security flow filter删除筛选器。注意:与配置模式中定义的过滤器不同,使用操作模式命令定义的过滤器在重新启动系统时将被清除。
指定输出文件 - 创建要在其中保存安全流监控信息的输出文件。此文件保存在
/var/log/目录中。您可以使用命令show log filename查看此文件的内容。使用该monitor security flow file命令指定输出文件特征,例如其最大大小、最大数量和类型。开始监控 - 使用
monitor security flow start命令开始监控。监控开始后,与过滤器匹配的任何流量都将保存在目录中的指定输出文件中/var/log/。基本数据路径标志是默认标志,并在监视开始时打开。使用
monitor security flow stop命令停止监视。监视停止后,将清除基本数据路径标志。显示监控流信息 - 使用
show monitoring security flow命令显示有关监控操作的详细信息。
您可以使用监视操作模式命令和流跟踪选项配置语句来配置流会话监视和调试。这两个操作不能并行运行。打开安全流监控时,流跟踪选项会话将被阻止;当流跟踪选项会话正在运行时,流会话的监视将被阻止。
了解如何获取 SRX 系列防火墙的会话信息
您可以获取有关设备上活动的会话和数据包流的信息,包括有关特定会话的详细信息。(SRX 系列防火墙还显示有关失败会话的信息。)可以显示此信息以观察活动和进行调试。例如,您可以使用 show security flow session 命令:
显示传入和传出 IP 流(包括服务)的列表
显示与流关联的安全属性,例如,应用于属于该流的流量的策略
显示会话超时值、会话变为活动状态的时间、处于活动状态的时间以及会话上是否有活动流量
如果配置了接口 NAT,并且使用该接口 IP 地址通过 NAT 设置会话,则每当接口 IP 地址发生变化时,使用 NAT 设置的会话都会刷新,并且将使用新的 IP 地址设置新会话。您可以使用 CLI 命令验证 show security flow session 这一点。
如果相关策略配置包含日志记录选项,则还可以记录会话信息。对于所有 SRX 系列防火墙上的流会话日志,策略配置已得到增强。提供会话日志中数据包传入接口参数的信息,用于会话初始化和会话关闭,以及会话被策略或应用程序防火墙拒绝会话时,以满足通用标准 (CC) 中等稳健性保护配置文件 (MRPP) 合规性:
策略配置 — 要为要将匹配项记录为日志 session-init 或在 session-close syslog 中记录会话的会话配置策略:
set security policies from-zone untrustZone to-zone trust zone policy policy13 match source-address extHost1set security policies from-zone untrustZone to-zone trustZone policy policy13 match application junos-pingset security policies from-zone untrustZone to-zone trustZone policy policy13 then permitset security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-initset security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-close
Example :流匹配策略 13 将在日志中记录以下信息:
<14>1 2010-09-30T14:55:04.323+08:00 MRPP-SRX550-DUT01 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2626.192.0.2.1.40 源地址=“192.0.2.1” 源端口=“1” 目标地址=“198.51.100.12” 目标端口=“46384” 服务名称=“ICMP” NAT 源地址=“192.0.2.1” nat-source-port=“1” nat-destination-address=“198.51.100.12” nat-destination-port=“46384”src-nat-rule-name=“None” dst-nat-rule-name=“None” protocol-id=“1” policy-name=“policy1” source-zone-name=“trustZone” 目标区域名称=“untrustZone” session-id-32=“41” packet-incoming-interface=“ge-0/0/1.0”] 会话创建于 192.0.2.1/1-->198.51.100.12/46384 ICMP 192.0.2.1/1-->198.51.100.12/46384 无 无 无 1 策略1 信任区域 不信任区域 41 ge-0/0/1.0
<14>1 2010-09-30T14:55:07.188+08:00 MRPP-SRX550-DUT01 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2626.192.0.2.1.40 原因=“收到响应” 源地址=“192.0.2.1” 源端口=“1” 目标地址=“198.51.100.12” 目标端口=“46384” 服务名称=“ICMP” nat-source-address=“192.0.2.1” nat-source-port=“1” nat-destination-address=“198.51.100.12” nat-destination-port=“46384” src-nat-rule-name=“None” dst-nat-rule-name=“None” protocol-id=“1” policy-name=“policy1” source-zone-name=“trustZone” 目标区域名称=“untrustZone” session-id-32=“41” packets-from-client=“1” bytes-from-client=“84” packets-from-server=“1” bytes-from-server=“84” elapsed-time=“0” packet-incoming-interface=“ge-0/0/1.0“] 会话已关闭 收到的响应: 192.0.2.1/1-->198.51.100.12/46384 ICMP 192.0.2.1/1-->198.51.100.12/46384 无 无 无 1 策略1 信任区域 不信任区域 41 1(84) 1(84) 0 ge-0/0/1.0
显示所有 SRX 系列服务网关的全局会话参数
目的
获取有关适用于所有流或会话的已配置参数的信息。
行动
要在 CLI 中查看会话信息,请输入以下命令:
user@host# show security flow
意义
show security flow配置命令显示以下信息:
allow-dns-reply— 标识是否允许不匹配的传入域名系统 (DNS) 回复数据包。route-change-timeout- 如果启用,则显示要在将路由更改为不存在的路由时使用的会话超时值。tcp-mss— 显示要用于网络流量的所有 TCP 数据包的 TCP 最大分段大小值的当前配置。tcp-session- 显示控制会话参数的所有已配置参数。syn-flood-protection-mode— 显示 SYN 代理模式。
显示 SRX 系列服务网关的会话摘要
显示有关 SRX 系列服务网关会话的会话和流信息
显示有关 SRX 系列服务网关特定会话的会话和流信息
使用过滤器显示 SRX 系列服务网关的会话和流信息
SRX 系列服务网关的会话日志条目中提供的信息
会话日志条目与策略配置相关联。如果控制策略启用了日志记录,则每个主会话事件(创建、关闭和拒绝)都将创建一个日志条目。
为会话创建、会话关闭和会话拒绝事件记录不同的字段,如 表 1、 表 2 和 表 3 所示。每种类型下的相同字段名称表示记录相同的信息,但每个表都是为该类型的会话日志记录的所有数据的完整列表。
下表定义了会话日志条目中显示的字段。
Field |
Description |
|---|---|
|
创建会话的数据包的源 IP 地址。 |
|
创建会话的数据包的源端口。 |
|
创建会话的数据包的目标 IP 地址。 |
|
创建会话的数据包的目标端口。 |
|
数据包遍历的应用程序(例如,“junos-telnet”表示允许本地 Telnet 的策略所允许的会话期间的 Telnet 流量)。 |
|
转换后的 NAT 源地址(如果应用 NAT);否则,源地址如上。 |
|
转换后的 NAT 源端口(如果应用了 NAT);否则,源端口如上。 |
|
转换后的 NAT 目标地址(如果应用了 NAT);否则,目标地址如上。 |
|
转换后的 NAT 目标端口(如果应用了 NAT);否则,目标端口如上所述。 |
|
应用于会话的源 NAT 规则(如果有)。如果还配置了静态 NAT 并将其应用于会话,并且发生了源地址转换,则此字段将显示静态 NAT 规则名称。 |
|
应用于会话的目标 NAT 规则(如果有)。如果还配置了静态 NAT 并将其应用于会话,并且发生了目标地址转换,则此字段将显示静态 NAT 规则名称。 |
|
创建会话的数据包的协议 ID。 |
|
允许创建会话的策略的名称。 |
|
32 位会话 ID。 |
* 请注意,某些会话可能同时应用了目标和源 NAT,并记录了信息。 |
|
从 Junos OS 版本 12.1X47-D20 和 Junos OS 版本 17.3R1 开始,系统日志包含有关 NAT 规则类型的信息。NAT 规则会话中引入了两个新的 src-nat-rule-type 和 dst-nat-rule-type 文件。
Field |
Description |
|---|---|
|
会话关闭的原因。 |
|
创建会话的数据包的源 IP 地址。 |
|
创建会话的数据包的源端口。 |
|
创建会话的数据包的目标 IP 地址。 |
|
创建会话的数据包的目标端口。 |
|
数据包遍历的应用程序(例如,“junos-telnet”表示允许本地 Telnet 的策略所允许的会话期间的 Telnet 流量)。 |
|
转换后的 NAT 源地址(如果应用 NAT);否则,源地址如上。 |
|
转换后的 NAT 源端口(如果应用了 NAT);否则,源端口如上。 |
|
转换后的 NAT 目标地址(如果应用了 NAT);否则,目标地址如上。 |
|
转换后的 NAT 目标端口(如果应用了 NAT);否则,目标端口如上所述。 |
|
应用于会话的源 NAT 规则(如果有)。如果还配置了静态 NAT 并将其应用于会话,并且发生了源地址转换,则此字段将显示静态 NAT 规则名称。 |
|
应用于会话的目标 NAT 规则(如果有)。如果还配置了静态 NAT 并将其应用于会话,并且发生了目标地址转换,则此字段将显示静态 NAT 规则名称。 |
|
创建会话的数据包的协议 ID。 |
|
允许创建会话的策略的名称。 |
|
32 位会话 ID。 |
|
客户端发送的与此会话相关的数据包数。 |
|
客户端发送的与此会话相关的数据字节数。 |
|
服务器发送的与此会话相关的数据包数。 |
|
服务器发送的与此会话相关的数据字节数。 |
|
会话从允许到关闭所经过的总时间,以秒为单位。 |
|
在创建会话期间,您可以将会话关闭原因 如果控制点上的会话安装不成功,会话将关闭并说明原因 |
|
会话被客户端发送给它的 TCP 重置数据包关闭。 |
|
会话被从服务器发送到它的 TCP 重置数据包关闭。 |
|
FIN 从任一端接收。 |
|
收到的数据包请求响应(例如,ICMP 请求回复)。 |
|
收到 ICMP 错误。 |
|
会话已过期。 |
|
ALG 错误关闭了会话(例如,已达到远程访问服务器 (RAS) 的最大限制)。 |
|
HA 消息关闭了会话。 |
|
在达到配置的老化时间之前,会话没有流量。 |
|
身份验证失败。 |
|
由于安全模块 (SM) 内部错误,IDP 关闭了会话。 |
|
SYN 代理故障关闭了会话。 |
|
分配次要会话失败的原因,需要释放原始会话。 |
|
父会话已关闭。 |
|
会话已由 CLI 清除。 |
|
收到CP NACK的回复。 |
|
删除 CP ACK 已关闭会话。 |
|
标记为删除的相应策略。 |
|
由于转发会话删除,会话已关闭。 |
|
会话已关闭,因为组播路由已更改。 |
|
将重新路由第一个路径并重新创建会话。 |
|
SPU 从中央点接收到 ACK 消息,但无法接收 DIP 资源。因此,将丢弃此数据包并关闭会话。 |
|
由于所有其他原因(例如,pim reg tun 需要刷新),会话已关闭。 |
|
IKE 直通模板创建错误。 |
|
会话已删除,因为 IKE 直通模板会话没有子会话。 |
|
挂起的会话已关闭,因为超时计时器达到挂起状态。 |
|
由于未知原因,会话已关闭。 |
* 请注意,某些会话可能同时应用了目标和源 NAT,并记录了信息。 |
|
Field |
Description |
|---|---|
|
尝试创建会话的数据包的源 IP 地址。 |
|
尝试创建会话的数据包的源端口。 |
|
尝试创建会话的数据包的目标 IP 地址。 |
|
尝试创建会话的数据包的目标端口。 |
|
数据包尝试遍历的应用程序。 |
|
尝试创建会话的数据包的协议 ID。 |
|
如果拒绝数据包配置了 ICMP,则为 ICMP 类型;否则,此字段将为 0。 |
|
拒绝会话创建的策略的名称。 |
错误处理扩展
了解机箱管理器 FPC 故障检测和错误处理增强功能
SRX5400、SRX5600 和 SRX5800 设备上的 Junos OS 路由引擎和微内核错误检测和管理功能使路由引擎和 ukernel 能够累积和存储所有报告的错误活动的历史记录以及各种严重级别的计数器。您可以配置如何处理错误,并指定检测到错误并达到阈值时要执行的严重性级别和操作。您可以根据存储的信息生成和显示遇到的错误的报告。
从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,提供了错误检测增强功能,可检测 IOC 和 SPC 上的其他错误,并提供增强的错误管理。此实现扩展了本主题中 show chassis fpc error 介绍的错误检测和管理。
路由引擎版本 1 不支持此功能。
IOC 和 SPC 上的错误处理
从 Junos OS 15.1-X49-D50 版和 Junos OS 17.3R1 版开始,IOC2 和 IOC3 I/O 卡 (IOC) 以及 SPC2 服务处理卡 (SPC) 支持错误管理增强功能。某些增强功能特定于 IOC2 和 IOC3 或 SPC2 FPC,本主题中将说明差异。
错误检测和管理
错误管理需要:
检测错误。
Junos OS 监控机箱组件状态以检测一组错误情况。检测到的错误可以属于预配置的错误严重性级别之一:
致命
主要
次要
确定要执行的操作。
发生错误时,系统会根据错误的严重性级别以及设置和满足的阈值确定要采取的操作。
FPC 为每个错误严重性级别维护一组错误计数器。错误计数器集由跨所有错误累积的计数器以及单个错误和类型的计数器组成。正是此信息存储在路由引擎中。每个发生计数器都与一个错误发生阈值相关联。有两个阈值级别:一个基于类型,另一个基于严重性。
正在执行操作。
对于这些增强功能,当给定安全级别的路由引擎错误发生次数达到配置的阈值时,您可以指示设备采取的预配置操作包括:
重置
离线
报警
获取状态
日志
为SRX5000系列设备上的 SPC2 卡设置故障处理操作时要小心。考虑到如果将 SPC2 卡上的故障处理操作设置为脱机或重置,当卡脱机或重新启动时,机箱守护程序(机箱)将重新启动其所有 FPC 卡,包括 SPC 和 IOC,即整个机箱将重新启动。
错误检测流程
通过这些增强功能,将启用并支持以下错误检测过程:
路由引擎版本 2 上的错误管理。
SPC2 卡上内核模块上的错误管理。
IOC2 和 IOC3 卡上的错误管理。
驱动程序检查楔形条件的数据路径错误检测。
注意:三位一体卸载引擎驱动程序的楔形条件检测仅在 SPC2 卡上受支持。也就是说,IOC2 和 IOC3 卡不支持它。
用于主机环回的楔形检测。
注意:主机环回的楔形条件检测仅在 SPC2 卡上受支持。也就是说,IOC2 和 IOC3 卡不支持它。
机箱管理器交换矩阵错误检测。
控制 IOC2 和 IOC3 卡上的路径错误检测。
与机箱群集集成
在机箱群集环境中,当由于重大或致命错误而首次引发警报时,将触发冗余组 1 (RG1) 切换。这是 SRX 系列防火墙上的标准行为,并且保持不变。但是,通过这些增强功能,警报将添加到致命错误的默认故障处理操作列表中。将警报添加到默认故障处理列表允许机箱警报在检测到致命错误时立即触发 RG1 切换。
楔块检测、报告和管理
楔形条件是由阻止网络流量的错误引起的。
此功能可检测多种类型的楔块条件。它:
确定楔块是瞬态的还是不可逆的。
在统计信息和系统日志中记录楔形条件。
通过在路由引擎上发出机箱报警,提醒网络管理员注意不可逆的楔形情况。
验证是否为 IOC2、IOC3 和 SPC2 卡启用了以下数据路径错误检测:
XM 驱动器的楔形检测
LU 驱动器的楔形检测
XL 驱动器的楔形检测
TOE 驱动器的楔块检测(仅限 SPC2)
用于主机环回的楔块检测(仅限 SPC2)
在 5 秒内检测并报告所有数据路径楔形情况。每个错误检测模块记录并报告其可识别的楔块条件的状态和历史。
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。