グローバル オプション
あなたはここにいる: セキュリティポリシー &オブジェクト > セキュリティポリシー。
グローバルオプションを追加するには:
表 1 に、[グローバル オプション] ページのフィールドを示します。
フィールド |
アクション |
---|---|
Pre-id デフォルトポリシー | |
セッション タイムアウト |
|
Icmp |
ICMP セッションのタイムアウト値を 4 〜 86400 秒の範囲で入力します。 |
ICMP6 |
ICMP6 セッションのタイムアウト値を 4 秒から 86400 秒の範囲で入力します。 |
Ospf |
OSPF セッションのタイムアウト値を 4 秒から 86400 秒の範囲で入力します。 |
Tcp |
TCP セッションのタイムアウト値を 4 秒から 86400 秒の範囲で入力します。 |
Udp |
UDP セッションのタイムアウト値を 4 秒から 86400 秒の範囲で入力します。 |
他 |
4 から 86400 秒の範囲の他のセッションのタイムアウト値を入力します。 |
ログ | |
セッション初期化 |
セッションの開始時にログ記録を開始するには、このオプションを有効にします。
警告:
pre-id-default-policy のセッション初期化ロギングを設定すると、大量のログが生成される可能性があります。 |
セッションを閉じる |
セッションの終了時にログ記録を開始するには、このオプションを有効にします。
メモ:
セッションクローズロギングを設定すると、フローがpre-id-default-policyから抜けられない場合、SRXシリーズファイアウォールがセキュリティログを生成します。 |
フロー | |
積極的なセッションエージング
メモ:
このオプションは、論理システムおよびテナントではサポートされていません。 |
|
初期の年齢 |
1 から 65,535 秒の値を入力します。デフォルト値は20秒です。 デバイスがセッション・テーブルからセッションを積極的にエージ・アウトするまでの時間を指定します。 |
低水準点 |
0 から 100 パーセントまでの値を入力します。デフォルト値は100%です。 アグレッシブ・エージング・アウト・プロセスが終了するセッション・テーブル容量のパーセントを指定します。 |
高水準点 |
0 から 100 パーセントまでの値を入力します。デフォルト値は100%です。 アグレッシブ・エージング・アウト・プロセスを開始するセッション・テーブル容量のパーセンテージを指定します。 |
SYNフラッドプロテクション | |
SYNフラッドプロテクション |
SYN 攻撃から防御するには、このオプションを有効にします。 |
モード |
次のいずれかのオプションを選択します。
|
TCP MSS | |
すべての TCP パケット |
ネットワークトラフィックのすべてのTCPパケットを上書きするには、64〜65,535の最大セグメントサイズ値を入力します。 |
IPsecトンネルに入るパケット |
IPsecトンネルに入るすべてのパケットを上書きするには、64〜65,535バイトの最大セグメントサイズ値を入力します。デフォルト値は 1320 バイトです。 |
IPsecトンネルに入るGREパケット |
IPsec トンネルに入るすべての汎用ルーティング カプセル化パケットを上書きするには、64 から 65,535 バイトまでの最大セグメント サイズ値を入力します。デフォルト値は 1320 バイトです。 |
IPsecトンネルから出るGREパケット |
IPsec トンネルから出るすべての汎用ルーティング カプセル化パケットを上書きするには、64 から 65,535 バイトの最大セグメント サイズ値を入力します。デフォルト値は 1320 バイトです。 |
TCPセッション | |
シーケンス番号チェック |
デフォルトでは、このオプションは、ステートフル インスペクション中に TCP セグメントのシーケンス番号をチェックするために有効になっています。デバイスは、TCP セグメント内のシーケンス番号を監視します。 |
SYNフラグチェック |
既定では、このオプションは有効になっており、セッションを作成する前に TCP SYN ビットをチェックします。デバイスは、SYN ビットがセッションの最初のパケットに設定されていることを確認します。設定されていない場合、デバイスはパケットをドロップします。 |