IDPパフォーマンスと容量のチューニング

このトピックでは、侵入検出および防止(IDP)セッションのパフォーマンスと容量のチューニングの概要について説明します。

IDPポリシーを展開する場合、IDPセッション容量を増やすようにデバイスを設定できます。提供されているコマンドを使用して、システムがリソースを割り当てる方法を変更することで、より高い IDP セッション容量を実現できます。

maximize-idp-sessions コマンドを使用すると、IDP セッション容量を増やすことができます。このモードでは、デフォルトで、デバイスはファイアウォール機能に大きな重み値を割り当てます。IDP ポリシーに基づいて、IDP 機能に重みをシフトし、IDP パフォーマンスを最大化できます。重みをシフトすることで、容量を増やし、特定のサービスにより多くの処理能力を割り当てることができます。

手記：

IDPポリシーを使用していない場合は、IDPセッション容量を増やすようにデバイスを設定しないでください。

デバイスには、暗黙的なデフォルトのセッション容量設定が同梱されています。このデフォルト値により、ファイアウォールセッションに重みが加わります。設定に maximize-idp-sessions 設定を追加することで、デフォルトを手動で上書きできます。これを行う場合、IDPセッションスケーリングに加えて、ファイアウォールおよびIDP機能に等しい、ファイアウォール、またはIDPの重み値を割り当てることを選択できます。通常、IDP が推奨する攻撃またはクライアントからサーバーへの攻撃のみを IDP ポリシーに含める場合、IDP 関数の消費する CPU リソースが少なくなるため、デバイスのパフォーマンスを最大化するために重み付けファイアウォールを選択します。または、IDP ポリシーにサーバーからクライアントへの攻撃を追加すると、IDP 関数はより多くの CPU リソースを消費します。このため、パフォーマンスを最大化するには、重み付け IDP を選択します。基本的には、希望するIDPポリシーとパフォーマンスに基づいて重みを設定する必要があります。これを行うには、コマンドを使用して、パケット転送エンジンのCPUリソース使用率を show security monitoring fpc number 調べます。