ips
構文
ips { content-decompression-max-memory-kb content-decompression-max-memory-kb; content-decompression-max-ratio content-decompression-max-ratio; (detect-shellcode | no-detect-shellcode); fifo-max-size fifo-max-size; (ignore-regular-expressionignore-regular-expression | no-ignore-regular-expression); log-supercede-min log-supercede-min; (process-ignore-s2c | no-process-ignore-s2c); (process-override | no-process-override); process-port process-port; session-pkt-depth session-pkt-depth; }
階層レベル
[edit security idp sensor-configuration]
形容
IPS セキュリティ ポリシー センサーの設定を行います。IPSセンサーには、フィルター、シグネチャ エントリー、またはその両方が含まれています。これらは、IPSセンサーに含まれるシグネチャを指定します。特定のシグニチャまたはフィルターを選択する前に、IPSセンサーを作成する必要があります。シグネチャは、保存する前に新しいセンサーに追加できます。ただし、センサーとそれに含まれるフィルターは別物であり、別々に作成されていることに留意することをお勧めします。個々のシグネチャをセンサーに追加できますが、フィルターを使用すると、追加するシグネチャの特性を指定することで、複数のシグネチャをセンサーに追加できます。
オプション
content-decompression-max-memory-kb | コンテンツ解凍の最大メモリ割り当てをキロバイト単位で設定します。 デフォルトのメモリ割り当てでは、同時に圧縮解除が必要なセッションの平均数に対して、セッションあたり 33 KB が提供されます。この値が環境と一致しているかどうかを判断するには、圧縮解除関連のカウンターからの値と、デバイスを通過する IDP セッションの総数を分析します。同時に圧縮解除が必要なセッションの数を見積もります。これらの各セッションが圧縮解除に 33 KB のメモリを必要とすると仮定して、推定ニーズをデフォルト値と比較します。
手記:
コンテンツの圧縮解除には大量のメモリ割り当てが必要なため、圧縮解除用の最大メモリ割り当てを増やすと、システムのパフォーマンスが影響を受けます。
|
content-decompression-max-ratio | 圧縮解除データのサイズの最大解凍率を、圧縮データのサイズに設定します。 一部の攻撃は、圧縮されたコンテンツを介して導入されます。コンテンツが解凍されると、非常に大きなサイズに膨張し、貴重なシステムリソースを占有し、サービス拒否を引き起こす可能性があります。このタイプの攻撃は、圧縮されたデータのサイズと圧縮されたデータのサイズの比率によって認識できます。ただし、比率が高いほど、この種の攻撃が検出される可能性は低くなることに注意してください。
|
detect-shellcode | シェルコードを検出し、バッファオーバーフロー攻撃を防止します。既定では、この設定は有効になっています。 |
fifo-max-size | IPS FIFO の最大サイズを設定します。
|
ignore-regular-expression | 侵入の試みを検出するには、
|
log-supercede-min | IPSセンサーのログに優先する時間を指定します。
|
no-detect-shellcode | シェルコードを検出しない |
no-ignore-regular-expression | 正規表現を無視しない |
no-process-ignore-s2c | 無視 s2c を処理しない |
no-process-override | 上書きを処理しない |
process-ignore-s2c | コマンドを設定して、サーバーからクライアントへのインスペクションを無効にします。 |
process-override | 一致するポリシーがない場合でも、IDSインスペクションモジュールを強制的に実行するコマンドを設定します。 |
process-port | コマンドを特定のポートに設定して、一致するポリシーがない場合でも、そのTCP/UDPポートでIDSインスペクションモジュールを強制的に実行します。
|
session-pkt-depth | コマンドを設定し、セッションパケットのスキャンの深さを指定します。
|
必要な権限レベル
security—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OS リリース 9.2 で導入されたステートメント