sensor-configuration
구문
sensor-configuration { application-identification { max-packet-memory-ratio percentage-value; } detector { protocol-name protocol-name { tunable-name tunable-name { tunable-value protocol-value; } } } flow (Security IDP) { (allow-icmp-without-flow | no-allow-icmp-without-flow); fifo-max-size value; drop-if-no-policy-loaded; drop-on-failover; drop-on-limit; hash-table-size value; idp-bypass-cpu-threshold idp-bypass-cpu-threshold; idp-bypass-cpu-tolerance idp-bypass-cpu-tolerance; idp-bypass-cpu-usg-overload; intel-inspect-cpu-usg-threshold intel-inspect-cpu-usg-threshold; intel-inspect-cpu-usg-tolerance intel-inspect-cpu-usg-tolerance; intel-inspect-disable-content-decompress; intel-inspect-enable; intel-inspect-free-mem-threshold intel-inspect-free-mem-threshold; intel-inspect-mem-tolerance intel-inspect-mem-tolerance; intel-inspect-protocols [ intel-inspect-protocols ... ]; intel-inspect-session-bytes-depth intel-inspect-session-bytes-depth; intel-inspect-signature-severity (critical | major | minor); (log-errors | no-log-errors); max-sessions-offset value; max-timers-poll-ticks value; min-objcache-limit-lt lower-threshold-value; min-objcache-limit-ut upper-threshold-value; reject-timeout value; (reset-on-policy | no-reset-on-policy); udp-anticipated-timeout value; } global { (enable-all-qmodules | no-enable-all-qmodules); (enable-packet-pool | no-enable-packet-pool); memory-limit-percent value; (policy-lookup-cache | no-policy-lookup-cache); } high-availability { no-policy-cold-synchronization; } ips { content-decompression-max-memory-kb value; content-decompression-max-ratio value; (detect-shellcode | no-detect-shellcode); fifo-max-size value; (ignore-regular-expression | no-ignore-regular-expression); log-supercede-min minimum-value; pre-filter-shellcode; (process-ignore-s2c | no-process-ignore-s2c); (process-override | no-process-override); process-port port-number; } log (Security IDP Sensor Configuration) { cache-size size; suppression { disable; (include-destination-address | no-include-destination-address); max-logs-operate value; max-time-report value; start-log value; } } packet-log { host ip-address < port number>; max-sessions percentage; source-address ip-address; total-memory percentage; ssl-profile-name <profile-name>;} re-assembler { action-on-reassembly-failure (drop | drop-session | ignore); (force-tcp-window-checks | no-force-tcp-window-checks); (ignore-memory-overflow | no-ignore-memory-overflow); (ignore-reassembly-memory-overflow | no-ignore-reassembly-memory-overflow); ignore-reassembly-overflow; max-flow-mem value; max-packet-mem-ratio percentage-value; max-synacks-queued value; (tcp-error-logging | no-tcp-error-logging); } ssl-inspection { cache-prune-chunk-size number; key-protection; maximum-cache-size number; session-id-cache-timeout seconds; sessions number; } }
계층 수준
[edit security idp]
설명
전송 네트워크 트래픽의 속성과 일치하도록 다양한 침입 탐지 및 방지(IDP) 매개 변수를 구성합니다.
옵션
Junos OS 릴리스 22.1R1부터 보안 SSL 연결을 활성화하고 암호화된 침입 탐지 및 방지(IDP) 패킷 캡처 로그를 패킷 캡처 수신기로 전송할 수 있습니다. SSL 연결을 설정하려면 침입 탐지 및 방지(IDP) 패킷 로그 구성에서 사용할 SSL 시작 프로필을 지정해야 합니다.ssl-profile-name profile-name
- 암호화된 패킷 로그 전송에 사용할 SSL 시작 프로파일 이름입니다.SSL 프로파일 이름은 SSL 시작 프로파일 구성에서 구성해야 합니다. 보안 연결을 설정하는 데 필요한 SSL 인증서 및 SSL 핸드쉐이크 관련 구성의 구성 및 설치는 SSL 시작 프로파일 구성의 일부로 수행됩니다. SSL 버전은 SSL 시작 구성에 따라 선택됩니다. SSL 프로필은 각 논리적 시스템에서 별도로 구성해야 합니다.
SSL 이니시에이션 프로파일 구성에 SSL 프로파일 이름이 구성되지 않은 경우 참조된 SSL 이니시에이션 프로파일이 정의되지 않았습니다.라는 메시지가 표시됩니다.
나머지 진술은 별도로 설명됩니다. CLI 탐색기를 참조하십시오.
필요한 권한 수준
security - 구성에서 이 명령문을 볼 수 있습니다.
security-control - 구성에 이 명령문을 추가할 수 있습니다.
릴리스 정보
Junos OS 릴리스 9.2에서 소개된 명령문. Junos OS 릴리스 12.1X44-D20에 추가된 패킷 메모리 비율.
Intel-Inspect-cpu-usg-threshold, intel-inspect-cpu-usg-tolerance, intel-inspect-disable-content-decompress, intel-inspect-enable, intel-inspect-free-mem-threshold, intel-inspect-mem-tolerance, intel-inspect-protocols, intel-inspect-session-bytes-depth 및 intel-inspect-signature-severity 옵션이 Junos OS 릴리스 19.2R1에 추가되었습니다.