使用NSM时,我一直在处理Juniper SRX IDP错误很多次。这些错误通常是由于签名数据库损坏或SRX本身的存储空间不足而引起的。这是我遇到的最新消息。

病征
从太空,如果我对防火墙策略进行了新的更改并将其推送到网关,则会收到以下错误。

它说“没有为活动策略配置规则库”,这是您第一次看到此消息时的误导。 IDP政策通常在这里很好。

[Error] Configuration update failed. 

Severity : error            At : [edit security idp] Message : 没有为活动策略配置规则库 
  Details : idp-policy Space-IPS-Policy Severity : error Message : configuration check-out failed 



To view the full error message,Click here
<commit-results>
<rpc-error>
<error-type>protocol</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<source-daemon> idpd </source-daemon>
<error-path> [edit security idp] </error-path> <error-info>
<bad-element> idp-policy Space-IPS-Policy </bad-element> </error-info>
<error-message> 没有为活动策略配置规则库 </error-message> </rpc-error>
<rpc-error>
<error-type>protocol</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity>
<error-message> configuration check-out failed </error-message>
</rpc-error>
</commit-results>

从命令行:

{primary:node1}[edit]
[email protected]# 

{primary:node1}[edit]
[email protected]# commit 
[edit security idp]
  'idp-policy Space-IPS-Policy'
    没有为活动策略配置规则库
error: configuration check-out failed

{primary:node1}[edit]
[email protected]# 

基于kb26964,它是IDP错误消息,与IDP签名数据库有关。

在这种情况下,由于某种原因,两个节点都没有相同的攻击数据库版本。

[email protected]> show security idp security-package-version 
node0:
--------------------------------------------------------------------------

  Attack database version:3005(Tue Nov 14 12:07:35 2017 UTC)
  Detector version :12.6.160170603
  Policy template version :N/A

node1:
--------------------------------------------------------------------------

  Attack database version:3004(Thu Nov  9 12:12:06 2017 UTC)
  Detector version :12.6.160170603
  Policy template version :N/A

{secondary:node0}

解决方案

1.禁用IDP并安装策略。 
它可以从命令行运行,但不是我们想要的理想解决方案。如果您有有限的时间来实施更改,则将有所帮助。 

[email protected]# deactivate security idp 

{primary:node1}[edit]
[email protected]# commit check 
node1: 
configuration check succeeds
node0: 
configuration check succeeds

2.重新安装攻击数据库
2.1从Internet直接安装
如果您的设备可以访问互联网,则只需从SRX删除攻击数据库并重新安装即可。

[edit]
root# run start shell user root
##Type the root password and delele the files:
root% rm -rf /var/db/idpd/sec-download/*
##Install either a previous version of the attack DB or the latest version:
root> request security idp security-package download version 2232 full-update

root> request security idp security-package install
##Set the active policy as Recommended and then commit the configuration; it should be successful this time. 
root# set security idp active-policy Recommended
root# commit
##Check the policy commit status:
root # run show security idp policy-commit-status

2.2从JunOS Space安装
删除所有数据库文件,然后再次从Space推送最新的Attack DB。

2.3从另一个节点复制
在我的情况下,由于节点0具有最新的IDP攻击数据库,只需将其从节点0复制到节点1,以确保它们都具有相同版本的攻击数据库,就可以解决此问题。

[email protected]> show security idp security-package-version 
node0:
--------------------------------------------------------------------------

  Attack database version:3005(Tue Nov 14 12:07:35 2017 UTC)
  Detector version :12.6.160170603
  Policy template version :N/A

node1:
--------------------------------------------------------------------------

  Attack database version:3004(Thu Nov  9 12:12:06 2017 UTC)
  Detector version :12.6.160170603
  Policy template version :N/A

[email protected]% rcp -r -T /var/db/idpd/* node1:/var/db/idpd/


[email protected]%
[email protected]%
[email protected]% cli
{secondary:node0}
[email protected]> show security idp security-package-version 
node0:
--------------------------------------------------------------------------

  Attack database version:3005(Tue Nov 14 12:07:35 2017 UTC)
  Detector version :12.6.160170603
  Policy template version :N/A

node1:
--------------------------------------------------------------------------

  Attack database version:3005(Tue Nov 14 12:07:35 2017 UTC)
  Detector version :12.6.160170603
  Policy template version :N/A

如果您的一个集群成员具有正确的版本,则此方法可以解决大多数IDP攻击数据库问题。

通过 约翰

发表评论