配置拖放流以禁用 CREATE 和 CLOSE 会话
从 Junos OS 23.4R1 版开始,我们支持新的功能丢弃流来防止安全攻击。您可以控制和限制丢弃流的最大会话数。默认情况下,丢弃流中的 12 会话有效期为 4 秒。在拖放流期间,会话状态显示为 Drop,但在流中,状态仍为 Valid。
默认情况下,放置流功能处于启用状态。要禁用该功能,请使用命令 set security flow drop-flow max-sessions 0 。要仅删除拖放流功能,请使用 run clear security flow session drop-flow 命令。
要查看当前的拖放流配置,请使用 show security flow drop-flow 命令,然后使用命令查看所有可用的拖放流 show security flow session drop-flow 。有关更多信息,请参阅 基于流的会话。
以下过程介绍处于 FIPS 模式时的丢弃流行为。
使用默认策略时,也会创建拒绝所有配置的丢弃流会话。
-默认情况下,处于启用拖放流功能状态,RT 日志将仅 RT_FLOW_SESSION_CREATE 填充已删除会话的条目,但最大会话数为 10。
-要禁用包含会话和 RT 日志的丢弃流功能,请使用以下命令:
host@srx#set security flow drop-flow max-sessions 0
-要启用丢弃流功能(包括会话日志和 RT 日志同时 RT_FLOW_SESSION_CREATE 具有和 RT_FLOW_SESSION_CLOSE 条目),请使用以下命令:
host@srx# set security flow drop-flow max-sessions Possible completions: <max-sessions> Maximum Drop-flow Sessions (default 10%) (0..30 percent) [edit] host@srx#