全局选项
你在这里: 安全性策略和对象 > 安全性策略。
要添加全局选项:
表 1 介绍了“全局选项”页面上的字段。
字段 |
行动 |
|---|---|
| 前 ID 默认策略 | |
会话超时 |
|
ICMP |
输入 ICMP 会话的超时值,范围为 4 到 86400 秒。 |
ICMP6 |
输入 ICMP6 会话的超时值,范围为 4 到 86400 秒。 |
OSPF |
输入 OSPF 会话的超时值,范围为 4 到 86400 秒。 |
TCP |
输入 TCP 会话的超时值,范围为 4 到 86400 秒。 |
UDP |
输入 UDP 会话的超时值,范围为 4 到 86400 秒。 |
其他 |
输入其他会话的超时值,范围为 4 到 86400 秒。 |
| 日志 | |
会话发起 |
启用此选项可在会话开始时开始记录。
警告:
为 pre-id-default-policy 配置 session-init 日志记录可能会生成大量日志。 |
会议结束 |
启用此选项可在会话关闭时开始记录。
注意:
配置会话关闭日志记录可确保在流量无法离开 pre-id-default-policy 时,SRX 系列防火墙生成安全日志。 |
| 流 | |
| 积极的会话老化
注意:
逻辑系统和租户不支持此选项。 |
|
过早老化 |
输入一个从 1 到 65,535 秒的值。默认值为 20 秒。 指定设备从其会话表中主动淘汰会话之前的时间长度。 |
低水位线 |
输入一个从 0% 到 100% 的值。默认值为 100%。 指定主动老化流程结束的会话表容量百分比。 |
高水位线 |
输入一个从 0% 到 100% 的值。默认值为 100%。 指定主动老化流程开始的会话表容量百分比。 |
| SYN 泛滥保护 | |
SYN 泛滥保护 |
启用此选项以防御 SYN 攻击。 |
模式 |
选择以下选项之一:
|
| TCP MSS | |
所有 TCP 数据包 |
输入 64 到 65,535 之间的最大分段大小值,以覆盖网络流量的所有 TCP 数据包。 |
数据包进入 IPsec 隧道 |
输入 64 到 65,535 字节之间的最大分段大小值,以覆盖进入 IPsec 隧道的所有数据包。默认值为 1320 字节。 |
GRE 数据包进入 IPsec 隧道 |
输入 64 到 65,535 字节之间的最大分段大小值,以覆盖进入 IPsec 隧道的所有通用路由封装数据包。默认值为 1320 字节。 |
GRE 数据包流出 IPsec 隧道 |
输入 64 到 65,535 字节之间的最大分段大小值,以覆盖退出 IPsec 隧道的所有通用路由封装数据包。默认值为 1320 字节。 |
| TCP 会话 | |
序列号检查 |
默认情况下,启用此选项是为了在状态检测期间检查 TCP 分段中的序列号。设备监控 TCP 分段中的序列号。 |
SYN 标志检查 |
默认情况下,启用此选项是为了在创建会话之前检查 TCP SYN 位。设备检查是否在会话的第一个数据包中设置了 SYN 位。如果未设置,设备将丢弃数据包。 |