flow (Security IDP)
语法
flow { (allow-icmp-without-flow | no-allow-icmp-without-flow); drop-if-no-policy-loaded; drop-on-failover; drop-on-limit; fifo-max-size value; hash-table-size value; idp-bypass-cpu-threshold idp-bypass-cpu-threshold; idp-bypass-cpu-tolerance idp-bypass-cpu-tolerance; idp-bypass-cpu-usg-overload; intel-inspect-cpu-usg-threshold intel-inspect-cpu-usg-threshold; intel-inspect-cpu-usg-tolerance intel-inspect-cpu-usg-tolerance; intel-inspect-disable-content-decompress; intel-inspect-enable; intel-inspect-free-mem-threshold intel-inspect-free-mem-threshold; intel-inspect-mem-tolerance intel-inspect-mem-tolerance; intel-inspect-protocols [ intel-inspect-protocols ]; intel-inspect-session-bytes-depth intel-inspect-session-bytes-depth; intel-inspect-signature-severity (critical | major | minor); (log-errors | no-log-errors); max-sessions-offset value; max-timers-poll-ticks value; min-objcache-limit-lt lower-threshold-value; min-objcache-limit-ut upper-threshold-value; reject-timeout value; (reset-on-policy | no-reset-on-policy); udp-anticipated-timeout value; }
层次结构级别
[edit security idp sensor-configuration]
描述
配置 IDP 引擎以管理数据包流。
选项
allow-nonsyn-connection | 允许 TCP 非同步连接。 |
drop-if-no-policy-loaded | 丢弃所有流量,直到加载 IDP 策略。 |
drop-on-failover | 丢弃 HA 故障切换会话上的流量。 |
drop-on-limit | 超出资源限制时丢弃连接。 |
fifo-max-size | 最大先进先出大小。 设置最大 FIFO 大小(范围:1 到 65535)。
|
hash-table-size | 流哈希表大小。设置数据包流哈希表大小。
|
idp-bypass-cpu-threshold | IDP 绕过的 CPU 使用率百分比。
|
idp-bypass-cpu-tolerance | IDP 绕过的 CPU 使用率百分比。
|
idp-bypass-cpu-usg-overload | 在 CPU 使用率过载时启用会话或数据包的 IDP 绕过。 |
intel-inspect-cpu-usg-threshold | 用于智能检查的 CPU 使用率阈值百分比。
|
intel-inspect-cpu-usg-tolerance | 用于智能检查的 CPU 使用率容限百分比。
|
intel-inspect-disable-content-decompress | 禁用有效负载内容解压缩。 |
intel-inspect-enable | 最大限度地减少系统过载期间的 IDP 处理。 |
intel-inspect-free-mem-threshold | 用于智能检查的可用内存阈值百分比。
|
intel-inspect-mem-tolerance | 用于智能检测的内存容差百分比。
|
intel-inspect-protocols | 在智能检测模式下处理的协议。 |
intel-inspect-session-bytes-depth | 会话字节扫描深度。
|
intel-inspect-signature-severity | IDP 处理时要考虑的特征码严重性。
|
log-errors | 启用错误日志以生成有关流的成功或失败的结果。与流相关的错误是 IDP 收到不适合预期流的数据包。默认情况下,错误日志处于启用状态。 |
max-sessions-offset | 最大会话偏移限制百分比。 为最大 IDP 会话限制设置偏移量(百分比)。该
|
max-timers-poll-ticks | 指定计时器定期滴答的时间。
|
min-objcache-limit-lt | 内存下限限制百分比。
|
min-objcache-limit-ut | 内存上限限制百分比。
|
no-log-errors | 不流日志错误。 |
reject-timeout | 指定必须接收响应的时间量(以秒为单位)。 当 IPS 对 TCP 流执行断开连接操作时,此超时将应用于流。
|
reset-on-policy | IDP 在表中跟踪连接。如果启用,则每次加载或卸载安全策略时,安全模块都会重置流表。如果禁用此设置,则安全模块将继续保留以前的安全策略,直到引用该安全策略的所有流都消失。瞻博网络建议您启用此设置以保留内存。 加载新的 IDP 策略时,将使用新加载的策略检查现有会话,并且不会忽略现有会话以进行 IDP 处理。该
注意:
在 Junos OS 18.2R1-S1 版和 Junos OS 18.3R1 版中,配备 SRX5K-SPC3 SRX5000系列设备均不支持该 |
session-steering | 会话预测的会话引导。 |
udp-anticipated-timeout | 设置最大 UDP 预期超时值。
|
其余语句将单独解释。请参阅 CLI 资源管理器。
所需权限级别
安全性 - 在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
Junos OS 9.2 版中引入的语句。
Junos OS 19.2R1 版中添加的选项 intel-inspect-cpu-usg-threshold、intel-inspect-cpu-usg-tolerance、intel-inspect-disable-content-decompress、intel-inspect-enabled、intel-inspect-free-mem-threshold、intel-inspect-mem-tolerance、Intel-inspect-protocol、intel-inspect-session-bytes-depth 和 Intel-inspect-signature-severity 选项。
从 Junos OS 18.4R1 版开始,将 reset-on-policy
弃用该命令(而不是立即删除),以提供向后兼容性,并有机会使您的配置符合新配置。