Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于流和基于数据包的处理

  • 对分段(SRX4600、SRX5400、SRX5600 和 SRX5800)的快速路径支持— 从 Junos OS 23.4R1 版开始,我们支持对网络处理单元 (NPU) 中服务卸载 (SOF) 路径上的不相等最大传输单元 (MTU) 进行分段。

    有关详细信息,请参阅 快速路径概述

  • 支持丢弃流以防止安全攻击 - (SRX 系列防火墙、vSRX3.0、cSRX、NFX150、NFX250 和 NFX350)— 从 Junos OS 版本 23.4R1 开始,我们支持新的功能丢弃流以防止安全攻击。您可以控制和限制丢弃流的最大会话数。默认情况下,丢弃流中的会话有效期为 4 秒。在丢弃流期间,会话状态显示为 Drop,但在流中,状态仍为 Valid

    默认情况下,丢弃流功能处于启用状态。要禁用该功能,请使用 set security flow drop-flow max-sessions 0 命令。要仅删除滴流功能,请使用 run clear security flow session drop-flow 命令。

    要查看当前的直接流配置, show security flow drop-flow 请使用命令,查看所有可用的直接流,请使用 show security flow session drop-flow 命令。

    [请参阅 基于流的会话。]

  • 支持 TCP 增强 -(SRX 系列防火墙)— 从 Junos OS 23.4R1 版开始,我们支持 TCP 快开 (FSO) 和 TCP 选择性确认。FSO 使用第一个 TCP 连接来获取 FSO cookie,在第二个连接中,TCP FSO 使用通过第一个会话获取的 cookie 来执行快速打开。为特定 TCP 连接调用 SYN 代理时,将禁用此连接的 TCP 快速打开。

    [请参阅 TCP 会话

  • 支持主动老化 - (SRX 系列防火墙)— 从 Junos OS 23.4R1 版开始,除了现有的老化控制之外,我们还根据应用程序、协议和默认值为会话添加了更精细的提前老化控制。如果配置了所有三个截止时间选项,则应用程序截止时间优先,后跟协议,然后是默认值。

    [请参阅 了解 SRX 系列防火墙的会话特征。]

  • 所有屏幕选项(SRX 系列防火墙和 vSRX3.0)的全局 IP 允许列表支持 — 从 Junos OS 版本 23.4R1 开始,您可以在区域级别为所有 IP 屏幕选项配置允许列表。在区域级别配置允许列表时,允许来自特定源的所有地址绕过攻击检测检查。全局 IP 允许列表同时支持 IPv4 和 IPv6 地址,最多支持 32 个允许列表组。您可以配置单个地址或子网地址。

    [请参阅白名单(安全区域)、了解所有屏幕选项的允许列表以及用于攻击检测和预防的屏幕选项。]