screen
構文
screen { ids-option name { aggregation { destination-prefix-mask destination-prefix-mask; destination-prefix-v6-mask destination-prefix-v6-mask; source-prefix-mask source-prefix-mask; source-prefix-v6-mask source-prefix-v6-mask; } alarm-without-drop; description (Security Screen) description; icmp (Security Screen) { flood (Security ICMP) <threshold ICMP packets per second>; fragment; icmpv6-malformed; ip-sweep <threshold microseconds in which 10 ICMP packets are detected>; large; ping-death; } ip (Security Screen) { bad-option; block-frag; ipv6-extension-header { AH-header; destination-header { home-address-option; ILNP-nonce-option; line-identification-option; tunnel-encapsulation-limit-option; user-defined-option-type name { to type-high; } } ESP-header; fragment-header; HIP-header; hop-by-hop-header { CALIPSO-option; jumbo-payload-option; quick-start-option; router-alert-option; RPL-option; SMF-DPD-option; user-defined-option-type name { to type-high; } } mobility-header; no-next-header; routing-header; shim6-header; user-defined-header-type name { to type-high; } } ipv6-extension-header-limit ipv6-extension-header-limit; ipv6-malformed-header; loose-source-route-option; record-route-option; security-option; source-route-option; spoofing; stream-option; strict-source-route-option; tear-drop; timestamp-option; tunnel (Security Screen) { bad-inner-header; gre { gre-4in4; gre-4in6; gre-6in4; gre-6in6; } ip-in-udp { teredo; } ipip { dslite; ipip-4in4; ipip-4in6; ipip-6in4; ipip-6in6; ipip-6over4; ipip-6to4relay; isatap; } } unknown-protocol; } limit-session { by-destination { by-protocol { icmp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } tcp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } udp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } } maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } by-source { by-protocol { icmp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } tcp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } udp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } } maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } destination-ip-based destination-ip-based; source-ip-based source-ip-based; } match-direction (input | input-output | output); tcp (Security Screen) { fin-no-ack; land; port-scan <threshold microseconds in which 10 attack packets are detected>; syn-ack-ack-proxy <threshold un-authenticated connections>; syn-fin; syn-flood { alarm-threshold requests per second; attack-threshold proxied requests per second; destination-threshold SYN pps; source-threshold SYN pps; timeout (Security Screen) seconds; white-list name { destination-address [ destination-address ... ]; source-address [ source-address ... ]; } } syn-frag; tcp-no-flag; tcp-sweep <threshold microseconds in which 10 TCP packets are detected>; winnuke; } udp (Security Screen) { flood (Security UDP) { threshold UDP packets per second; white-list [ white-list ... ]; } port-scan <threshold microseconds in which 10 attack packets are detected>; udp-sweep <threshold microseconds in which 10 UDP packets are detected>; } } traceoptions (Security Screen) { file <filename> <files files> <match match> <size size> <(world-readable | no-world-readable)>; flag name; no-remote-trace; } trap <interval seconds>; white-list name { address [ address ... ]; } }
階層レベル
[edit security] [edit tenant tenant-name security]
説明
セキュリティ画面のオプションを設定します。各セキュリティ ゾーンに対して、デバイスが潜在的に有害であると判断したさまざまな種類のトラフィックを検知してブロックする、事前定義された画面オプションのセットを有効にすることができます。
オプション
ids-options screen-name |
レベルで設定された |
trap |
トラップ間隔を設定します。接続状態が変化したときの簡易ネットワーク管理プロトコル (SNMP) 通知の送信を有効または無効にします。トラップは、SNMP エージェントからネットワーク管理システムまたはトラップ受信者に送信される未承認メッセージです。 |
white-list |
許可リストの IP アドレスのセット。SYN フラッドスクリーン保護プロセス中に発生する SYN Cookie および SYN プロキシメカニズムから除外する IP アドレスの許可リストを設定します。許可リストには、既知の信頼できる IP アドレスと URL が含まれています。許可リストに登録されている場所からダウンロードしたコンテンツは、マルウェアの検査を受ける必要はありません。 |
残りのステートメントについては、個別に説明します。 CLIエクスプローラを参照してください。
必要な権限レベル
セキュリティ—設定でこのステートメントを表示します。
セキュリティ管理ー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース8.5で導入されたステートメント。
description
Junos OSリリース12.1で追加されたオプション。
このオプションは tenant
、Junos OSリリース18.3R1で導入されました。