Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

flow (Security IDP)

语法

层次结构级别

描述

配置 IDP 引擎以管理数据包流。

选项

allow-nonsyn-connection

允许 TCP 非同步连接。

drop-if-no-policy-loaded

丢弃所有流量,直到加载 IDP 策略。

drop-on-failover

丢弃 HA 故障切换会话上的流量。

drop-on-limit

超出资源限制时丢弃连接。

fifo-max-size

最大先进先出大小。

设置最大 FIFO 大小(范围:1 到 65535)。

  • 范围: 1 到 65535

hash-table-size

流哈希表大小。设置数据包流哈希表大小。

  • 范围: 1024 到 1000000

idp-bypass-cpu-threshold

IDP 绕过的 CPU 使用率百分比。

  • 默认值: 85

  • 范围: 0 到 99

idp-bypass-cpu-tolerance

IDP 绕过的 CPU 使用率百分比。

  • 默认值: 5

  • 范围: 1 到 99

idp-bypass-cpu-usg-overload

在 CPU 使用率过载时启用会话或数据包的 IDP 绕过。

intel-inspect-cpu-usg-threshold

用于智能检查的 CPU 使用率阈值百分比。

  • 默认值: 80

  • 范围: 0 到 99

intel-inspect-cpu-usg-tolerance

用于智能检查的 CPU 使用率容限百分比。

  • 默认值: 5

  • 范围: 1 到 99

intel-inspect-disable-content-decompress

禁用有效负载内容解压缩。

intel-inspect-enable

最大限度地减少系统过载期间的 IDP 处理。

intel-inspect-free-mem-threshold

用于智能检查的可用内存阈值百分比。

  • 默认值: 15

  • 范围: 1 到 100

intel-inspect-mem-tolerance

用于智能检测的内存容差百分比。

  • 默认值: 5

  • 范围: 1 到 100

intel-inspect-protocols

在智能检测模式下处理的协议。

intel-inspect-session-bytes-depth

会话字节扫描深度。

  • 默认值: 0

  • 范围: 0 到 1000000

intel-inspect-signature-severity

IDP 处理时要考虑的特征码严重性。

  • 值:

    • 关键

    • 主要

log-errors

启用错误日志以生成有关流的成功或失败的结果。与流相关的错误是 IDP 收到不适合预期流的数据包。默认情况下,错误日志处于启用状态。

max-sessions-offset

最大会话偏移限制百分比。

为最大 IDP 会话限制设置偏移量(百分比)。该 max-sessions-offset 选项为最大 IDP 会话限制设置偏移量。当 IDP 会话数超过最大会话限制时,将记录一条警告,指出存在可能丢弃 IDP 会话的条件。当 IDP 会话数降至最大 IDP 会话限制减去偏移值以下时,将记录一条消息,指出条件已恢复正常。

  • 范围: 0 到 99

max-timers-poll-ticks

指定计时器定期滴答的时间。

  • 语法: value- 计时器计时的最长时间。

  • 范围: 0 到 1000 个刻度

  • 默认值: 1000 个刻度

min-objcache-limit-lt

内存下限限制百分比。

  • 语法: value— 内存下限限制百分比。

  • 范围: 1 到 100

min-objcache-limit-ut

内存上限限制百分比。

  • 语法: value— 内存上限限制百分比。

  • 范围: 1 到 100

no-log-errors

不流日志错误。

reject-timeout

指定必须接收响应的时间量(以秒为单位)。

当 IPS 对 TCP 流执行断开连接操作时,此超时将应用于流。

  • 语法: value- 最长时间量(以秒为单位)。

  • 范围: 1 到 65535

  • 默认值: 300 秒

reset-on-policy

IDP 在表中跟踪连接。如果启用,则每次加载或卸载安全策略时,安全模块都会重置流表。如果禁用此设置,则安全模块将继续保留以前的安全策略,直到引用该安全策略的所有流都消失。瞻博网络建议您启用此设置以保留内存。

加载新的 IDP 策略时,将使用新加载的策略检查现有会话,并且不会忽略现有会话以进行 IDP 处理。该 reset-on-policy 命令用于决定是否使用新加载的 IDP 策略继续 IDP 检查。默认情况下,此命令处于禁用状态,并且将继续使用新加载的 IDP 策略检查所有现有会话。

注意:

在 Junos OS 18.2R1-S1 版和 Junos OS 18.3R1 版中,配备 SRX5K-SPC3 SRX5000系列设备均不支持该 no-reset-on-policy 选项。

session-steering

会话预测的会话引导。

udp-anticipated-timeout

设置最大 UDP 预期超时值。

  • 范围: 1 到 65535

其余语句将单独解释。请参阅 CLI 资源管理器

所需权限级别

安全性 - 在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

Junos OS 9.2 版中引入的语句。

Junos OS 19.2R1 版中添加的选项 intel-inspect-cpu-usg-threshold、intel-inspect-cpu-usg-tolerance、intel-inspect-disable-content-decompress、intel-inspect-enabled、intel-inspect-free-mem-threshold、intel-inspect-mem-tolerance、Intel-inspect-protocol、intel-inspect-session-bytes-depth 和 Intel-inspect-signature-severity 选项。

从 Junos OS 18.4R1 版开始,将 reset-on-policy 弃用该命令(而不是立即删除),以提供向后兼容性,并有机会使您的配置符合新配置。