Optimisation des performances et de la capacité IDP
La rubrique Optimisation des performances et de la capacité IDP explique comment améliorer la capacité de session IDP sur les pare-feu SRX Series en ajustant l’allocation des ressources système. Il s’agit de configurer une commande et de définir des options de pondération pour les fonctions de pare-feu et d’IDP afin d’optimiser les performances.
Cette rubrique donne un aperçu du réglage des performances et de la capacité d’une session de détection et de prévention d’intrusion (IDP).
Pour plus d’informations, consultez les rubriques suivantes :
Présentation de l’optimisation des performances et de la capacité pour IDP
Cette rubrique donne un aperçu du réglage des performances et de la capacité d’une session de détection et de prévention d’intrusion (IDP).
Si vous déployez des stratégies IDP, vous pouvez configurer l’appareil pour augmenter la capacité de session IDP. En utilisant les commandes fournies pour modifier la façon dont le système alloue les ressources, vous pouvez obtenir une capacité de session IDP plus élevée.
À l’aide de la commande maximize-idp-sessions , vous pouvez augmenter la capacité de la session IDP. Dans ce mode, par défaut, l’appareil attribue une valeur de poids plus élevée aux fonctions de pare-feu. En fonction de votre stratégie IDP, vous pouvez transférer la pondération sur les fonctions IDP afin d’optimiser les performances IDP. En déplaçant le poids, vous augmentez la capacité et allouez plus de puissance de traitement pour le service donné.
Vous ne devez pas configurer l’appareil pour augmenter la capacité de session IDP si vous n’utilisez pas de stratégie IDP.
L’équipement est livré avec un paramètre implicite de capacité de session par défaut. Cette valeur par défaut ajoute du poids aux sessions de pare-feu. Vous pouvez remplacer manuellement la valeur par défaut en ajoutant le paramètre maximize-idp-sessions à votre configuration. Dans ce cas, en plus de la mise à l’échelle de session IDP, vous pouvez choisir d’affecter des valeurs de pondération égales, pare-feu ou IDP aux fonctions pare-feu et IDP. En règle générale, lorsque vous incluez uniquement les attaques recommandées par IDP ou les attaques client-serveur dans votre stratégie IDP, les fonctions IDP consomment moins de ressources CPU. C’est pourquoi vous devez sélectionner le pare-feu pondéré pour maximiser les performances de l’appareil. Par ailleurs, si vous ajoutez des attaques serveur-client à votre stratégie IDP, les fonctions IDP consomment davantage de ressources processeur. Pour cette raison, vous devez sélectionner l’IDP de poids pour maximiser les performances. Essentiellement, vous devrez configurer la pondération en fonction de la stratégie et des performances IDP souhaitées. Pour ce faire, examinez l’utilisation des ressources CPU sur le moteur de transfert de paquets à l’aide de la commande fpc numbershow security monitoring.
Voir aussi
Configuration de la capacité de session pour IDP (procédure CLI)
Les instructions de configuration de cette rubrique décrivent comment modifier la capacité de session pour les stratégies IDP.
Pour ce faire, ajoutez la commande maximize-idp-sessions , puis ajoutez l’option weight pour spécifier les sessions IDP.
L’option de pondération dépend de la commande maximize-idp-sessions définie.
Pour désactiver les paramètres maximize-idp-sessions , supprimez la configuration maximize-idp-sessions .
Vous devez redémarrer l’appareil pour que les modifications apportées au paramètre maximize-idp-sessions prennent effet.