Options globales
Vous êtes ici : Stratégies et objets de sécurité > Stratégies de sécurité.
Pour ajouter des options globales :
Le tableau 1 décrit les champs de la page Options globales.
Champ |
Action |
|---|---|
| Politique par défaut antérieure à l’identification | |
Délai d’expiration de la session |
|
ICMP |
Entrez la valeur du délai d’expiration pour les sessions ICMP comprises entre 4 et 86400 secondes. |
ICMP6 |
Entrez la valeur du délai d’expiration pour les sessions ICMP6 comprise entre 4 et 86400 secondes. |
OSPF |
Entrez la valeur du délai d’expiration pour les sessions OSPF comprises entre 4 et 86400 secondes. |
TCP |
Entrez la valeur du délai d’expiration pour les sessions TCP comprise entre 4 et 86400 secondes. |
UDP |
Entrez la valeur du délai d’expiration pour les sessions UDP comprises entre 4 et 86400 secondes. |
Autres |
Entrez la valeur du délai d’expiration pour les autres sessions comprises entre 4 et 86400 secondes. |
| Enregistrement | |
Lancement de session |
Activez cette option pour démarrer la journalisation au début d’une session.
Avertissement:
La configuration de la journalisation session-init pour la stratégie pre-id-default-policy peut générer un grand nombre de journaux. |
Fermeture de session |
Activez cette option pour démarrer la journalisation à la fermeture d’une session.
Note:
La configuration de la journalisation de fermeture de session garantit que le pare-feu SRX Series génère les journaux de sécurité si un flux ne peut pas quitter la stratégie pre-id-default. |
| Flux | |
| Vieillissement agressif de la session
Note:
Cette option n’est pas prise en charge pour les systèmes logiques et les locataires. |
|
Vieillissement précoce |
Entrez une valeur comprise entre 1 et 65 535 secondes. La valeur par défaut est de 20 secondes. Spécifie le temps écoulé avant que l’appareil n’affine agressivement une session à partir de sa table de session. |
Filigrane basse |
Entrez une valeur comprise entre 0 et 100 %. La valeur par défaut est 100 pour cent. Spécifie le pourcentage de la capacité de la table de session à partir duquel le processus d’altération agressif se termine. |
Filigrane haute |
Entrez une valeur comprise entre 0 et 100 %. La valeur par défaut est 100 pour cent. Spécifie le pourcentage de la capacité de la table de session à partir duquel le processus d’altération agressif commence. |
| Protection contre les inondations SYN | |
Protection contre les inondations SYN |
Activez cette option pour vous défendre contre les attaques SYN. |
Mode |
Sélectionnez l’une des options suivantes :
|
| TCP MSS | |
Tous les paquets TCP |
Entrez une valeur de taille de segment maximale comprise entre 64 et 65 535 pour remplacer tous les paquets TCP pour le trafic réseau. |
Paquets entrant dans le tunnel IPsec |
Entrez une valeur de taille de segment maximale comprise entre 64 et 65 535 octets pour remplacer tous les paquets entrant dans un tunnel IPsec. La valeur par défaut est de 1320 octets. |
Paquets GRE entrant dans un tunnel IPsec |
Entrez une valeur de taille de segment maximale comprise entre 64 et 65 535 octets pour remplacer tous les paquets d’encapsulation de routage générique entrant dans un tunnel IPsec. La valeur par défaut est de 1320 octets. |
Paquets GRE sortant d’un tunnel IPsec |
Entrez une valeur de taille de segment maximale comprise entre 64 et 65 535 octets pour remplacer tous les paquets d’encapsulation de routage génériques sortant d’un tunnel IPsec. La valeur par défaut est de 1320 octets. |
| TCP Session | |
Vérification du numéro de séquence |
Par défaut, cette option est activée pour vérifier les numéros de séquence dans les segments TCP lors des inspections dynamiques. L’appareil surveille les numéros de séquence dans les segments TCP. |
Vérification de l’indicateur SYN |
Par défaut, cette option est activée pour vérifier le bit TCP SYN avant de créer une session. L’appareil vérifie que le bit SYN est défini dans le premier paquet d’une session. S’il n’est pas défini, l’appareil abandonne le paquet. |