Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ips

構文

階層レベル

形容

IPS セキュリティ ポリシー センサーの設定を行います。IPSセンサーには、フィルター、シグネチャ エントリー、またはその両方が含まれています。これらは、IPSセンサーに含まれるシグネチャを指定します。特定のシグニチャまたはフィルターを選択する前に、IPSセンサーを作成する必要があります。シグネチャは、保存する前に新しいセンサーに追加できます。ただし、センサーとそれに含まれるフィルターは別物であり、別々に作成されていることに留意することをお勧めします。個々のシグネチャをセンサーに追加できますが、フィルターを使用すると、追加するシグネチャの特性を指定することで、複数のシグネチャをセンサーに追加できます。

オプション

content-decompression-max-memory-kb

コンテンツ解凍の最大メモリ割り当てをキロバイト単位で設定します。

デフォルトのメモリ割り当てでは、同時に圧縮解除が必要なセッションの平均数に対して、セッションあたり 33 KB が提供されます。この値が環境と一致しているかどうかを判断するには、圧縮解除関連のカウンターからの値と、デバイスを通過する IDP セッションの総数を分析します。同時に圧縮解除が必要なセッションの数を見積もります。これらの各セッションが圧縮解除に 33 KB のメモリを必要とすると仮定して、推定ニーズをデフォルト値と比較します。

手記:

コンテンツの圧縮解除には大量のメモリ割り当てが必要なため、圧縮解除用の最大メモリ割り当てを増やすと、システムのパフォーマンスが影響を受けます。

  • 範囲: 50 から 2,000,000 KB

content-decompression-max-ratio

圧縮解除データのサイズの最大解凍率を、圧縮データのサイズに設定します。

一部の攻撃は、圧縮されたコンテンツを介して導入されます。コンテンツが解凍されると、非常に大きなサイズに膨張し、貴重なシステムリソースを占有し、サービス拒否を引き起こす可能性があります。このタイプの攻撃は、圧縮されたデータのサイズと圧縮されたデータのサイズの比率によって認識できます。ただし、比率が高いほど、この種の攻撃が検出される可能性は低くなることに注意してください。

  • 範囲: 1 から 128

detect-shellcode

シェルコードを検出し、バッファオーバーフロー攻撃を防止します。既定では、この設定は有効になっています。

fifo-max-size

IPS FIFO の最大サイズを設定します。

  • 範囲: 1 から 65,535

ignore-regular-expression

侵入の試みを検出するには、 no-ignore-regular-expression コマンドを発行して正規表現を有効にします。デフォルトでは、 no-ignore-regular-expression コマンドは有効になっています。 ignore-regular-expression コマンドを指定すると、侵入の試みを検出したときに正規表現のパターン マッチングが無効になります。

  • デフォルト: 正規表現はデフォルトで有効になっています。

log-supercede-min

IPSセンサーのログに優先する時間を指定します。

  • 構文: minimum-value- ログを置き換える最小時間。

  • デフォルト: 1 秒

  • 範囲: 0 から 65,535

no-detect-shellcode

シェルコードを検出しない

no-ignore-regular-expression

正規表現を無視しない

no-process-ignore-s2c

無視 s2c を処理しない

no-process-override

上書きを処理しない

process-ignore-s2c

コマンドを設定して、サーバーからクライアントへのインスペクションを無効にします。

process-override

一致するポリシーがない場合でも、IDSインスペクションモジュールを強制的に実行するコマンドを設定します。

process-port

コマンドを特定のポートに設定して、一致するポリシーがない場合でも、そのTCP/UDPポートでIDSインスペクションモジュールを強制的に実行します。

  • 構文: port-number- ポート番号。

  • 範囲: 0 から 65,535

session-pkt-depth

コマンドを設定し、セッションパケットのスキャンの深さを指定します。

  • 構文: session-pkt-depth—セッション パケットの深さ。

  • 範囲: 0 から 1000000

必要な権限レベル

security—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Junos OS リリース 9.2 で導入されたステートメント