IDP 传感器配置
通过 IDP 传感器配置,管理员可以配置用于优化安全设备上的 IDP 性能的设置。它解释了如何限制内存和会话使用,在超出资源时控制流量丢弃,以及配置 IDP 智能旁路以管理高 CPU 利用率。它还介绍了故障转移期间的处理条件。
您无法使用 IDP 签名数据库创建应用程序签名。但是,可以配置传感器设置来限制应用程序标识 (AppID) 的会话和内存使用情况。
IDP 传感器配置概述
传感器配置选项用于:
在接近 IDP 会话容量和内存限制时记录运行条件。
当超出限制时,分析 IDP 和应用识别丢弃的流量。
您可以配置可用于保存一个 TCP 或 UDP 会话的应用程序识别数据包的最大内存字节量。您还可以为应用程序识别配置全局内存使用限制。在系统达到会话的指定内存限制后,会话将禁用 AppID。但是,IDP 会继续匹配模式。匹配的应用程序将保存到缓存中,以便下一个会话可以使用它。这可以保护系统免受攻击者试图通过故意发送大型客户端到服务器数据包来绕过 AppID。
虽然无法使用 IDP 签名数据库创建应用程序签名,但可以配置以下传感器设置来限制运行应用程序识别的会话数,并限制应用程序识别的内存使用情况:
max-tcp-session-packet-memory—要为 IDP AppID 服务配置内存和会话限制,请运行 set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 命令。
memory-limit-percent- 要为系统中可用于 IDP 分配的数据平面设置内存限制百分比,请运行命令 set security idp sensor-configuration global memory-limit-percent 。支持的百分比值为 10 到 90。
drop-if-no-policy-loaded— 如果尚未加载 IDP 策略,则在启动时,IDP 默认忽略流量。该
drop-if-no-policy-loaded选项会更改此行为,以便在加载 IDP 策略之前丢弃所有会话。命令输出的
show security idp counters flow以下计数器用于分析由于该drop-if-no-policy-loaded选项而丢弃的流量:Sessions dropped due to no policy 0
drop-on-failover- 默认情况下,IDP 会忽略机箱群集部署中的故障切换会话。该
drop-on-failover选项会更改此行为,并在发生到辅助节点的故障切换时自动删除主节点上正在检查的会话。命令输出的
show security idp counters flow以下计数器用于分析由于该drop-on-failover选项而丢弃的故障切换流量:Fail-over sessions dropped 0
drop-on-limit- 默认情况下,如果超过 IDP 会话限制或资源限制,则不会丢弃会话。在这种情况下,只有当设备的会话容量或资源耗尽时,才会丢弃 IDP 和其他会话。该
drop-on-limit选项会更改此行为,并在超过资源限制时丢弃会话。命令输出的
show security idp counters flow以下计数器会分析由于该drop-on-limit选项而丢弃的 IDP 流量:SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 SM Sessions dropped 0 Both directions flows ignored 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0
命令输出的
show security idp counters application-identification以下计数器会分析由于该drop-on-limit选项而丢弃的 AppID 流量:AI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0
以下选项用于触发有关当前运行条件的信息日志消息。设置后,无论是否设置该
drop-on-limit选项,都会触发日志消息。max-sessions-offset- 该
max-sessions-offset选项设置最大 IDP 会话限制的偏移量。当 IDP 会话数超过最大会话限制时,将记录一条警告,说明存在可能丢弃 IDP 会话的情况。当 IDP 会话数低于最大 IDP 会话限制减去偏移量值时,将记录一条消息,表明情况已恢复正常。Jul 19 04:38:13 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233893, FPC 4 PIC 1 IDP total sessions pass through high mark 100000. IDP may drop new sessions. Total sessions dropped 0. Jul 19 04:38:21 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374233901, FPC 4 PIC 1 IDP total sessions drop below low mark 99000. IDP working in normal mode. Total sessions dropped 24373.
min-objcache-limit-lt- 该
min-objcache-limit-lt选项为可用高速缓存设置较低的阈值。阈值表示为可用 IDP 高速缓存的百分比。如果可用缓存内存降至较低阈值级别以下,则会记录一条消息,指出存在由于内存分配失败而可能丢弃 IDP 会话的情况。例如,以下消息显示 IDP 缓存内存已降至下限阈值以下,并且已丢弃多个会话:Jul 19 04:07:33 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232053, FPC 4 PIC 1 IDP total available objcache(used 4253368304, limit 7247757312) drops below low mark 3986266515. IDP may drop new sessions. Total sessions dropped 1002593.
min-objcache-limit-ut- 该
min-objcache-limit-ut选项设置可用高速缓存的上限阈值。阈值表示为可用 IDP 高速缓存的百分比。如果可用 IDP 缓存内存返回到上限阈值级别,则会记录一条消息,指出可用缓存内存已恢复正常。例如,以下消息显示可用的 IDP 缓存已增加到上限阈值以上,并且运行正常:Jul 19 04:13:47 4.0.0.254 RT_IDP: IDP_SESSION_LOG_EVENT: IDP: at 1374232428, FPC 4 PIC 1 IDP total available objcache(used 2782950560, limit 7247757312) increases above high mark 4348654380. IDP working in normal mode. Total sessions dropped 13424632.
仅当可用内存低于下限阈值,然后高于上限阈值时,才会触发该消息。内存波动超过下限阈值不会触发此消息。
在 IDP 智能绕过默认配置中,无论 CPU 利用率如何,IDP 都会尝试检查新的会话和现有会话。这可能会导致在 CPU 使用率过高的事件期间导致数据包丢失、延迟以及整个系统不稳定。为了克服不可预测的 IDP 数据包处理行为,您可以启用 IDP 智能绕过功能。此功能使您可以灵活地绕过 IDP 或在系统 CPU 利用率达到高级别时丢弃数据包,也称为“失败打开”(允许数据包)或“失败关闭”(丢弃数据包)。默认情况下,未启用 IDP 智能绕过功能。以下选项用于配置 IDP 智能绕路功能。
idp-bypass-cpu-usage-overload— 默认情况下,IDP 可能会占用 100% 的可用 CPU,并且可能会无意中开始丢弃所有会话的数据包。要处理系统CPU使用率达到高阈值时的IDP数据包处理行为,可以开启IDP智能绕路功能。要启用 IDP 智能旁路功能,请发出
set security idp sensor-configuration flow idp-bypass-cpu-overload命令。默认情况下,未启用 IDP 智能绕过功能。idp-bypass-cpu-threshold— 当 CPU 利用率达到定义的阈值时,IDP 停止检查新会话。默认阈值 CPU 利用率值为 85%。当 CPU 利用率达到阈值时,IDP 会继续绕过新会话,直到 CPU 利用率低于下限阈值。或者,如果设置
drop-on-limit,则 IDP 将丢弃新会话,直到 CPU 利用率低于下限阈值。要配置阈值,请发出set security idp sensor-configuration flow idp-bypass-cpu-threshold命令。您可以在 0 到 99 的范围内设置阈值。此阈值以百分比表示。idp-bypass-cpu-tolerance- 要配置容差值,请发出命令
set security idp sensor-configuration flow idp-bypass-cpu-tolerance。可以在 1 到 99 的范围内设置公差值。默认公差值为 5。此公差值以百分比表示。
您可以使用以下公式计算 CPU 的上限和下限阈值:
CPU 上限阈值 = CPU 阈值 + CPU 容差值。
CPU 下限阈值 = CPU 阈值 - CPU 容差值。
期间的 IDP 数据包处理行为
当系统CPU利用率超过阈值时,IDP将停止检测新会话,但仍会继续检测现有会话。在此状态下,如果设置,则 drop-on-limit IDP 开始丢弃新会话。将触发日志消息以指示新会话已丢弃。例如,以下消息指出 IDP CPU 利用率已超过阈值,并且 IDP 可能会丢弃新会话:
FPC 0 PIC 1 IDP CPU usage 86 crossed threshold value 85. IDP may drop new sessions. Total sessions dropped 2
当系统CPU利用率超过上限阈值时,IDP将停止检查现有会话和新会话的数据包。在此状态下,任何数据包都无法通过 IDP 检测。如果 drop-on-limit 设置,IDP 将丢弃所有会话。将触发日志消息以指示所有会话均已丢弃。例如,以下消息指出 IDP CPU 利用率已超过上限阈值,并且 IDP 停止检查现有会话和新会话的数据包:
FPC 0 PIC 1 IDP CPU usage 92 crossed upper threshold value 90. IDP may drop packets of existing sessions as well as new sessions. Total sessions dropped 21
当系统CPU利用率低于下限阈值时,IDP开始检查新会话并返回正常模式。IDP 不会检查现有的已丢弃会话。系统会触发日志消息,指示 IDP 开始检查新会话并返回正常模式。例如,以下消息指出 IDP CPU 利用率低于下限阈值,并且 IDP 将返回正常模式:
FPC 0 PIC 1 IDP CPU usage 75 dropped below lower threshold value 80. IDP working in normal mode. Total sessions dropped 25
IDP 保护模式
IDP 保护模式通过调整检测参数,高效检测设备中的流量。要启用 IDP 保护模式,请在层次结构级别发出[edit security idp sensor-configuration]命令security-configuration protection-mode mode。
user@host#set security-configuration protection-mode mode
有四种 IDP 保护模式:
所有 IDP 保护模式都会检查 CTS(客户端到服务器)流量。
模式 |
描述 |
|---|---|
周长-满 |
检查所有 STC(服务器到客户端)流量。 处理不进行任何优化的 TCP 错误。 这是默认模式。 |
外围 |
检查所有 STC 流量。 优化处理 TCP 错误。对于 TCP 数据包,如果在窗口中接收到 SYN 并设置了 TCP 错误标志,则处理 TCP 错误并采取适当的措施。丢弃当前数据包并忽略对整个会话的检测。 |
数据中心已满 |
禁用所有 STC 流量检测。 处理不进行任何优化的 TCP 错误。 Datacenter-Full 可用于安全设备仅负责保护响应流量不值得分析的服务器的情况。在安全设备负责保护客户端的情况下,不应使用 Datacenter-Full。 |
数据中心 |
禁用所有 STC 流量检测。 优化处理 TCP 错误。对于 TCP 数据包,如果在窗口中接收到 SYN 并设置了 TCP 错误标志,则处理 TCP 错误并采取适当的措施。丢弃当前数据包并忽略对整个会话的检测。 数据中心配置经过优化,可提供平衡的保护和性能。 |
也可以看看
示例:使用 IDP 传感器配置选项改进日志记录和流量分析
此示例说明了如何通过配置 IDP 传感器配置选项来改进日志记录和流量分析。此外,您可以使用这些选项在接近 IDP 会话容量和内存限制时记录运行条件,并在超过这些限制时分析 IDP 和应用程序标识丢弃的流量。
要求
开始之前:
配置网络接口。
下载签名数据库。请参阅 手动更新 IDP 签名数据库。应用签名是瞻博网络提供的安全包的一部分。您可以下载预定义的应用程序签名以及安全包更新。
概述
IDP 传感器监控网络,并根据 IDP 规则库中定义的特定规则检测可疑和异常网络流量。它根据协议或应用将攻击对象应用于流量。应用程序签名使传感器能够识别在非标准端口上运行的已知和未知应用程序,并应用正确的攻击对象。
IDP 的默认行为是在以下情况下忽略会话:
设备中未配置 IDP 策略
已达到资源限制(内存或活动会话)
如果是机箱群集,用于故障切换会话
如果流量可用性被认为比安全性更重要,那么建议继续使用上述 IDP 的默认行为。但是,如果安全性被认为比可用性更重要,则建议使用此示例中提供的配置更改默认行为。
配置
过程
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 set security idp sensor-configuration flow drop-if-no-policy-loaded set security idp sensor-configuration flow drop-on-failover set security idp sensor-configuration flow drop-on-limit set security idp sensor-configuration flow max-sessions-offset 5 set security idp sensor-configuration flow min-objcache-limit-lt 21 set security idp sensor-configuration flow min-objcache-limit-ut 56
分步程序
下面的示例要求您在各个配置层级中进行导航。有关如何执行此操作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要设置 IDP 传感器配置选项:
指定应用程序识别的内存限制。
[edit security idp sensor-configuration] user@host# set application-identification max-tcp-session-packet-memory 5000
指定在加载 IDP 策略之前丢弃流量。
[edit security idp sensor-configuration flow] user@host# set drop-if-no-policy-loaded
指定丢弃机箱群集部署中的故障切换会话。
[edit security idp sensor-configuration flow] user@host# set drop-on-failover
指定在超过资源限制时丢弃会话。
[edit security idp sensor-configuration flow] user@host# set drop-on-limit
运行命令
delete drop-on-limit以防止在超过资源限制时丢弃会话。为最大 IDP 会话限制配置偏移量值。
[edit ssecurity idp sensor-configuration flow] user@host# set max-sessions-offset 5
为可用缓存设置较低的阈值。
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-lt 21
设置可用缓存的上限阈值。
[edit security idp sensor-configuration flow] user@host# set min-objcache-limit-ut 56
结果
在配置模式下,输入 show security idp 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security idp
sensor-configuration {
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
如果完成设备配置,请从配置模式进入。commit
验证
验证 IDP 传感器配置设置
目的
验证 IDP 传感器配置设置。
行动
在操作模式下,输入命令 show security idp sensor-configuration 。
user@host> show security idp sensor-configuration
application-identification {
max-tcp-session-packet-memory 5000;
}
flow {
drop-on-limit;
drop-on-failover;
drop-if-no-policy-loaded;
max-sessions-offset 5;
min-objcache-limit-lt 21;
min-objcache-limit-ut 56;
}
}
意义
该 show security idp sensor-configuration 命令显示使用特定值设置的所有传感器配置选项。
验证 IDP 计数器
目的
验证 IDP 计数器。
行动
在操作模式下,输入命令 show security idp counters flow 。
示例输出
IDP counters: IDP counter type Value Fast-path packets 0 Slow-path packets 0 Session construction failed 0 Session limit reached 0 Session inspection depth reached 0 Memory limit reached 0 Not a new session 0 Invalid index at ageout 0 Packet logging 0 Policy cache hits 0 Policy cache misses 0 Policy cache entries 0 Maximum flow hash collisions 0 Flow hash collisions 0 Gates added 0 Gate matches 0 Sessions deleted 0 Sessions aged-out 0 Sessions in-use while aged-out 0 TCP flows marked dead on RST/FIN 0 Policy init failed 0 Number of times Sessions exceed high mark 0 Number of times Sessions drop below low mark 0 Memory of Sessions exceeds high mark 0 Memory of Sessions drops below low mark 0 SM Sessions encountered memory failures 0 SM Packets on sessions with memory failures 0 IDP session gate creation requests 0 IDP session gate creation acknowledgements 0 IDP session gate hits 0 IDP session gate timeouts 0 Number of times Sessions crossed the CPU threshold value that is set 0 Number of times Sessions crossed the CPU upper threshold 0 Sessions constructed 0 SM Sessions ignored 0 SM Sessions dropped 0 SM Sessions interested 0 SM Sessions not interested 749 SM Sessions interest error 0 Sessions destructed 0 SM Session Create 0 SM Packet Process 0 SM ftp data session ignored by idp 0 SM Session close 0 SM Client-to-server packets 0 SM Server-to-client packets 0 SM Client-to-server L7 bytes 0 SM Server-to-client L7 bytes 0 Client-to-server flows ignored 0 Server-to-client flows ignored 0 Both directions flows ignored 0 Fail-over sessions dropped 0 Sessions dropped due to no policy 0 IDP Stream Sessions dropped due to memory failure 0 IDP Stream Sessions ignored due to memory failure 0 IDP Stream Sessions closed due to memory failure 0 IDP Stream Sessions accepted 0 IDP Stream Sessions constructed 0 IDP Stream Sessions destructed 0 IDP Stream Move Data 0 IDP Stream Sessions ignored on JSF SSL Event 0 IDP Stream Sessions not processed for no matching rules 0 IDP Stream stbuf dropped 0 IDP Stream stbuf reinjected 0 Busy pkts from stream plugin 0 Busy pkts from pkt plugin 0 bad kpp 0 Lsys policy id lookup failed sessions 0 Busy packets 0 Busy packet Errors 0 Dropped queued packets (async mode) 0 Dropped queued packets failed(async mode) 0 Reinjected packets (async mode) 0 Reinjected packets failed(async mode) 0 AI saved processed packet 0 AI-session dropped due to malloc failure before session create 0 AI-Sessions dropped due to malloc failure after create 0 AI-Packets received on sessions marked for drop due to malloc failure 0 busy packet count incremented 0 busy packet count decremented 0 session destructed in pme 0 session destruct set in pme 0 kq op hold 0 kq op drop 0 kq op route 0 kq op continue 0 kq op error 0 kq op stop 0 PME wait not set 0 PME wait set 0 PME KQ run not called 0
意义
该 show security idp counters flow 命令显示用于分析丢弃的故障切换流量、丢弃的 IDP 流量和丢弃的应用程序识别流量的所有计数器。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。