Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

IDP 性能和容量调整

IDP 性能和容量调整主题介绍如何通过调整系统资源分配来增强 SRX 系列防火墙上的 IDP 会话容量。它涉及为防火墙和 IDP 功能配置命令和设置权重选项,以优化性能。

本主题概述了入侵检测和防御 (IDP) 会话的性能和容量调整。

有关更多信息,请参阅以下主题:

IDP 的性能和容量调整概述

本主题概述了入侵检测和防御 (IDP) 会话的性能和容量调整。

如果要部署 IDP 策略,则可以将设备配置为增加 IDP 会话容量。通过使用提供的命令更改系统分配资源的方式,您可以获得更高的 IDP 会话容量。

通过使用 maximize-idp-sessions 命令,可以增加 IDP 会话容量。在此模式下,默认情况下,设备会为防火墙函数分配更大的权重值。根据您的 IDP 策略,您可以将权重转移到 IDP 函数,以最大限度地提高 IDP 性能。通过转移权重,您可以增加容量并为给定服务分配更多的处理能力。

注意:

如果未使用 IDP 策略,则不应将设备配置为增加 IDP 会话容量。

设备附带隐式默认会话容量设置。此默认值会增加防火墙会话的权重。您可以通过将 maximize-idp-sessions 设置添加到配置中来手动覆盖默认值。执行此作时,除了 IDP 会话扩展之外,您还可以选择为防火墙和 IDP 函数分配相等、防火墙或 IDP 的权重值。通常,当您在 IDP 策略中仅包含 IDP 建议的攻击或客户端到服务器攻击时,IDP 函数消耗的 CPU 资源较少,因此,您可以选择权重防火墙以最大限度地提高设备性能。或者,如果将服务器到客户端攻击添加到 IDP 策略中,则 IDP 函数会消耗更高的 CPU 资源。因此,您可以选择权重 IDP 以最大限度地提高性能。从本质上讲,您需要根据所需的 IDP 策略和性能配置权重。为此,请使用 show security monitoring fpc number 命令检查数据包转发引擎上的 CPU 资源利用率。

另见

为 IDP 配置会话容量(CLI 过程)

本主题中的配置说明介绍如何修改 IDP 策略的会话容量。

为此,请添加 maximize-idp-sessions 命令,然后添加权重选项以指定 IDP 会话。

注意:

权重选项取决于要设置的 maximize-idp-sessions 命令。
  1. 如果您有活动的 IDP 策略,则可以输入以下命令,将设备配置为增加 IDP 会话容量:
  2. 您可以使用以下命令进一步调整防火墙和 IDP 处理功能的权重,例如在 IDP 策略较重的情况下:
  3. 提交更改。您必须重新启动设备才能使任何会话容量设置更改生效。
    注意:

    如果设备为 IDP 启用 了 maximize-idp-sessions 权重,并且您未配置 IDP 策略,则在您提交配置时将出现警告消息。如果看到此警告,则应删除已配置的设置。

要关闭 maximize-idp-sessions 设置,请移除 maximize-idp-sessions 配置。

注意:

必须重新启动设备才能使任何 maximize-idp-sessions 设置更改生效。

另见