关于传感器页面
您的位置: 安全服务 > IPS > 传感器。
您可以配置传感器设置来限制运行应用程序识别的会话数,也可以限制用于应用程序识别的内存使用情况。
字段说明
表 1 介绍了传感器页面上的字段。
领域 |
描述 |
---|---|
基本设置 | 选择以配置基本 IPS 传感器设置。 |
IDP 保护模式 | |
保护模式 |
选择一个选项以指定检测参数,以高效检测设备中的流量。提供的选项包括:
|
智能检测 | |
IDP 通行证 |
启用或禁用 IDP 智能旁路选项。 |
IDP(通过传递 CPU 阈值) |
输入阈值。 范围:0 到 99。默认值:85。 |
IDP 传递 CPU 容限 |
输入 CPU 容差值。 范围:1 到 99。默认值:5。 |
智能检测 |
启用或禁用此选项。 如果启用此选项,请输入以下详细信息:
|
内存降低阈值 |
输入内存下限阈值百分比。 范围:1 到 100。 |
内存上限阈值 |
输入内存上限百分比。 范围:1 到 100。 |
流 | |
丢弃限制 |
启用此选项可指定超过资源限制时丢失的连接。 |
故障切换时丢弃 |
启用此选项以指定 HA 故障转移会话上丢弃的流量。 |
未加载策略时丢弃 |
启用此选项以指定所有丢弃的流量,直到加载 IDP 策略。 |
数据包日志
注意:
从 Junos OS 19.2R1 版开始,可提供数据包日志配置。 |
|
IP 地址 |
输入要发送数据包日志的目标主机的 IP 地址。 |
港口 |
输入 UDP 端口号。 范围:0 到 65535。 |
源地址 |
输入用于将数据包日志传输到主机的源 IP 地址。 |
高级设置 | |
IDP 流 | |
日志错误 |
启用此选项以指定是否必须记录流错误。 从列表中选择一个选项。 |
流 FIFO 最大大小 |
输入一个值以指定最大 FIFO 大小。 范围::1 至 65535。默认值为 1。 |
哈希表大小 |
输入一个值以指定哈希表大小。 范围:1024 到 1,000,000。默认值为 1024。 |
最大计时器轮询时间 |
输入一个值以指定计时器定期勾选的最大时间量。 范围:0 到 1000 次。默认值为 1000 次分时。 |
拒绝超时 |
输入一个值以指定必须接收响应的时间量(以毫秒为单位)。 范围:1 到 65,535 秒。默认值为 300 秒。 |
全球 | |
启用所有 Qmodule |
从列表中选择一个选项以指定已启用全局规则库 IDP 安全策略的所有 qmodule。 |
启用数据包池 |
从列表中选择一个选项,以指定在当前池耗尽时启用的数据包池。 |
策略查找缓存 |
从列表中选择一个选项以指定启用缓存以加速 IDP 策略查找。 |
内存限制百分比 |
输入一个值以指定此可用内存百分比下 IDP 内存使用情况限制。 范围:10% 到 90%。 |
HTTP X 转发 |
启用此选项后,在流量期间,IDP 会从 HTTP 流量上下文中保存源 IP 地址(IPv4 或 IPv6),并显示在攻击日志中。
注意:
从 Junos OS 20.2R1 版开始,支持 HTTP X 转发选项。 |
Ip | |
检测 Shellcode |
从列表中选择一个选项,以指定是否必须应用 shellcode 检测。 |
忽略正则表达式 |
从列表中选择一个选项,以指定传感器是否必须绕过 DFA 和 PCRE 匹配。 |
进程忽略服务器到客户端 |
从列表中选择一个选项,以指定传感器是否必须绕过服务器到客户端流的 IPS 处理。 |
进程覆盖 |
从列表中选择一个选项,以指定在没有 IDP 策略的情况下,传感器是否必须执行协议解码器。 |
进程端口 |
输入一个整数以指定传感器执行协议解码器的端口。 范围:0 到 65535。 |
IPS FIFO 最大大小 |
输入一个整数以指定 IPS FIFO 分配的最大大小。 范围:1 到 65535。 |
最小日志超级门 |
输入一个整数以指定触发签名层次结构功能的最小日志数。 范围:0 到 65535。 |
日志 | |
缓存大小 |
输入一个值,以指定每个用户的日志缓存的大小(以字节为单位)。 |
禁用抑制 |
启用此选项以指定是否必须禁用日志抑制。 |
包括目标地址 |
从列表中选择一个选项,以指定是否将事件的日志记录与匹配的源地址组合在一起。 |
运行日志数上限 |
输入一个值以指定可操作日志抑制的最大日志数。范围为 255 到 65536。 |
最大时间报告 |
输入一个值以指定时间(秒),之后将报告抑制的日志。默认情况下,IDP 报告在 5 秒后抑制了日志。 |
启动日志 |
输入一个值以指定开始抑制日志之后发生的日志次数。默认情况下,日志抑制从第一次出现开始。 范围为 1 到 128。 |
重装器 | |
忽略内存溢出 |
从列表中选择一个选项,以指定用户是否必须允许每流内存超出限制。 |
忽略重组内存溢出 |
从列表中选择一个选项,以指定用户是否必须允许按流的重装内存超出限制。 |
忽略重组溢出 |
启用此选项可指定 TCP 重组器以忽略全局重组溢出,以防止应用程序流量丢弃。 |
最大流内存 |
输入一个整数以指定 TCP 重组的每流最大内存(以 KB 为单位)。 范围:64 到 4,294,967,295 KB。 |
最大数据包内存 |
输入一个整数,以指定 TCP 重组的最大数据包内存(单位:千字节)。 范围:64 到 4,294,967,295 KB |
最大 Synacks 已排队 |
输入一个整数以指定对具有不同 SEQ 编号的 Syn/Ack 数据包进行排队的最大限制。 范围:0 到 5 |
数据包日志 | |
最大会话数 |
输入一个整数以指定一次在设备上主动执行攻击前数据包捕获的最大会话数。 范围:1% 到 100% |
总内存 |
输入一个整数以指定要分配给设备数据包捕获的最大内存量。 范围:1% 到 100% |
探测器 | 单击 + 并输入以下字段。 |
协议 |
从列表中选择协议名称以启用或禁用检测器。 |
可调名称 |
从列表中选择特定可调参数的名称,以为每个服务启用或禁用协议检测器。 |
可调值 |
输入特定可调参数的协议值,以启用或禁用每个服务的协议检测器。 范围:0 到 4294967295 |