screen
구문
screen { ids-option name { aggregation { destination-prefix-mask destination-prefix-mask; destination-prefix-v6-mask destination-prefix-v6-mask; source-prefix-mask source-prefix-mask; source-prefix-v6-mask source-prefix-v6-mask; } alarm-without-drop; description (Security Screen) description; icmp (Security Screen) { flood (Security ICMP) <threshold ICMP packets per second>; fragment; icmpv6-malformed; ip-sweep <threshold microseconds in which 10 ICMP packets are detected>; large; ping-death; } ip (Security Screen) { bad-option; block-frag; ipv6-extension-header { AH-header; destination-header { home-address-option; ILNP-nonce-option; line-identification-option; tunnel-encapsulation-limit-option; user-defined-option-type name { to type-high; } } ESP-header; fragment-header; HIP-header; hop-by-hop-header { CALIPSO-option; jumbo-payload-option; quick-start-option; router-alert-option; RPL-option; SMF-DPD-option; user-defined-option-type name { to type-high; } } mobility-header; no-next-header; routing-header; shim6-header; user-defined-header-type name { to type-high; } } ipv6-extension-header-limit ipv6-extension-header-limit; ipv6-malformed-header; loose-source-route-option; record-route-option; security-option; source-route-option; spoofing; stream-option; strict-source-route-option; tear-drop; timestamp-option; tunnel (Security Screen) { bad-inner-header; gre { gre-4in4; gre-4in6; gre-6in4; gre-6in6; } ip-in-udp { teredo; } ipip { dslite; ipip-4in4; ipip-4in6; ipip-6in4; ipip-6in6; ipip-6over4; ipip-6to4relay; isatap; } } unknown-protocol; } limit-session { by-destination { by-protocol { icmp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } tcp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } udp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } } maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } by-source { by-protocol { icmp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } tcp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } udp { maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } } maximum-sessions maximum-sessions; packet-rate packet-rate; session-rate session-rate; } destination-ip-based destination-ip-based; source-ip-based source-ip-based; } match-direction (input | input-output | output); tcp (Security Screen) { fin-no-ack; land; port-scan <threshold microseconds in which 10 attack packets are detected>; syn-ack-ack-proxy <threshold un-authenticated connections>; syn-fin; syn-flood { alarm-threshold requests per second; attack-threshold proxied requests per second; destination-threshold SYN pps; source-threshold SYN pps; timeout (Security Screen) seconds; white-list name { destination-address [ destination-address ... ]; source-address [ source-address ... ]; } } syn-frag; tcp-no-flag; tcp-sweep <threshold microseconds in which 10 TCP packets are detected>; winnuke; } udp (Security Screen) { flood (Security UDP) { threshold UDP packets per second; white-list [ white-list ... ]; } port-scan <threshold microseconds in which 10 attack packets are detected>; udp-sweep <threshold microseconds in which 10 UDP packets are detected>; } } traceoptions (Security Screen) { file <filename> <files files> <match match> <size size> <(world-readable | no-world-readable)>; flag name; no-remote-trace; } trap <interval seconds>; white-list name { address [ address ... ]; } }
계층 수준
[edit security] [edit tenant tenant-name security]
설명
보안 화면 옵션을 구성합니다. 모든 보안 영역에 대해 디바이스가 잠재적으로 유해한 것으로 판단한 다양한 종류의 트래픽을 탐지하고 차단하는 사전 정의된 화면 옵션 세트를 활성화할 수 있습니다.
옵션
ids-options screen-name |
수준에서 구성된 |
trap |
트랩 간격을 구성합니다. 연결 상태가 변경될 때 SNMP(Simple Network Management Protocol) 알림 전송을 활성화하거나 비활성화합니다. 트랩은 SNMP 에이전트에서 원격 네트워크 관리 시스템 또는 트랩 수신기로 전송되는 원치 않는 메시지입니다. |
white-list |
허용 목록에 대한 IP 주소 집합입니다. SYN 플러드 스크린 보호 프로세스 중에 발생하는 SYN 쿠키 및 SYN 프록시 메커니즘에서 제외될 IP 주소의 허용 목록을 구성합니다. 허용 목록에는 알려진 신뢰할 수 있는 IP 주소 및 URL이 포함되어 있습니다. 허용 목록에 있는 위치에서 다운로드한 콘텐츠는 맬웨어를 검사할 필요가 없습니다. |
나머지 진술은 별도로 설명됩니다. CLI 탐색기를 참조하십시오.
필요한 권한 수준
security - 구성에서 이 명령문을 볼 수 있습니다.
security-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 8.5에서 소개된 명령문.
이 description
옵션은 Junos OS 릴리스 12.1에 추가되었습니다.
이 tenant
옵션은 Junos OS 릴리스 18.3R1에서 소개됩니다.