ids-option
構文
ids-option screen-name {
alarm-without-drop;
description text;
icmp {
flood {
threshold number;
}
fragment;
icmpv6-malformed;
ip-sweep {
threshold number;
}
large;
ping-death;
}
ip {
bad-option;
block-frag {
white-list name;
}
ipv6-extension-header {
AH-header;
ESP-header;
HIP-header;
}
destination-header {
ILNP-nonce-option;
home-address-option;
line-identification-option;
tunnel-encapsulation-limit-option;
user-defined-option-type <type-low> to <type-high>;
}
fragment-header;
hop-by-hop-header {
CALIPSO-option;
RPL-option;
SFM-DPD-option;
jumbo-payload-option;
quick-start-option;
router-alert-option;
user-defined-option-type <type-low> to <type-high>;
}
mobility-header;
no-next-header;
routing-header;
shim6-header
user-defined-option-type <type-low> to <type-high>;
}
ipv6-extension-header-limit limit;
ipv6-malformed-header;
loose-source-route-option;
record-route-option;
security-option;
source-route-option;
spoofing;
stream-option;
strict-source-route-option;
tear-drop;
timestamp-option;
unknown-protocol;
tunnel {
gre {
gre-4in4;
gre-4in6;
gre-6in4;
gre-6in6;
}
ip-in-udp {
teredo;
}
ipip {
ipip-4in4;
ipip-4in6;
ipip-6in4;
ipip-6in6;
ipip-6over4;
ipip-6to4relay;
isatap;
dslite;
}
bad-inner-header;
}
}
limit-session {
destination-ip-based number;
source-ip-based number;
}
tcp {
fin-no-ack;
land;
port-scan {
threshold number;
}
syn-ack-ack-proxy {
threshold number;
}
syn-fin;
syn-flood {
alarm-threshold number;
attack-threshold number;
destination-threshold number;
source-threshold number;
timeout seconds;
white-list name {
destination-address destination-address;
source-address source-address;
}
}
syn-frag;
tcp-no-flag;
tcp-sweep {
threshold threshold number;
}
winnuke;
}
udp {
flood {
threshold number;
}
port-scan {
threshold number;
}
udp-sweep {
threshold threshold number;
}
}
}
}
階層レベル
[edit security screen] [edit tenant tenant-name security screen]
説明
侵入検出サービス (IDS) の画面を定義します。は ids-option 、SRXシリーズファイアウォールで画面保護を有効にするために使用できます。1 つ ids-option を複数のゾーンに関連付けることができます。ただし、各ゾーンは 1 つの ids-option.
オプション
description text- 画面に関する説明テキスト。
alarm-without-drop- 攻撃を検出したときにアラームを生成するが、攻撃をブロックしないようにデバイスに指示します。
icmp- ICMP ID オプションを設定します。
ip- IP レイヤー ID オプションを設定します。
limit-session- デバイスが単一の送信元IPアドレスから開始できる同時セッションの数、またはデバイスが単一の宛先IPアドレスに送信できるセッションの数を制限します。
tcp- TCP レイヤー ID オプションを設定します。
udp- UDP レイヤー ID オプションを設定します。
loose-source-route-option—デバイスは、IP オプションが 3(ルーズ ソース ルーティング)のパケットを検出し、イングレス インターフェイスのスクリーン カウンター リストにイベントを記録します。このオプションは、パケットが送信元から送信先に移動するための部分的なルート リストを指定します。パケットは指定されたアドレスの順序で進む必要がありますが、指定されたアドレスの間にある他のデバイスを通過することは許可されています。
source-route-option- ルーズ ルートまたはストリクト ソース ルート オプションを使用するすべての IP トラフィックをブロックするには、このオプションを有効にします。送信元ルートオプションにより、攻撃者が偽のIPアドレスでネットワークに侵入する可能性があります。
strict-source-route-option—デバイスは、IPオプションが9(厳密なソースルーティング)のパケットを検出し、イングレスインターフェイスのスクリーンカウンターリストにイベントを記録します。このオプションは、パケットが送信元から宛先に移動するための完全なルート リストを指定します。リストの最後のアドレスが、宛先フィールドのアドレスを置き換えます。現在、この画面オプションは IPv4 にのみ適用されます。
ルーズ ソース ルート オプションとストリクト ソース ルート オプションはアラームのみで、トラフィックのオーバーフロー時にドロップされません。IP ソース オプションのみが構成されている場合、攻撃されたパケットは破棄されます。
残りのステートメントについては、個別に説明します。 CLIエクスプローラを参照してください。
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で導入されたステートメント。
Junos OSリリース12.1で追加された オプションのサポート description 。
UDP は、Junos OS リリース 12.1X47-D10 以降の オプションをサポートしています port-scan 。
このオプションは tenant 、Junos OSリリース18.3R1で導入されました。