Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IDP 센서 구성

IDP 서명 데이터베이스로 애플리케이션 시그니처를 생성할 수는 없지만, 애플리케이션 식별을 실행하는 세션 수를 제한하고 애플리케이션 식별을 위해 메모리 사용을 제한하도록 센서 설정을 구성할 수 있습니다.

자세한 내용은 다음 주제를 참조하십시오.

IDP 센서 구성 설정 이해

센서 구성 옵션은 다음과 같은 용도로 사용됩니다.

  • IDP 세션 용량 및 메모리 제한이 접근함에 따라 실행 조건을 기록합니다.

  • IDP에 의해 손실된 트래픽과 제한을 초과할 때 애플리케이션 식별을 분석합니다.

IDP 서명 데이터베이스로 애플리케이션 시그니처를 생성할 수는 없지만, 애플리케이션 식별을 실행하는 세션 수를 제한하고 애플리케이션 식별을 위해 메모리 사용을 제한하도록 센서 설정을 구성할 수 있습니다.

하나의 TCP 또는 UDP 세션에 대한 애플리케이션 식별을 위해 패킷을 저장하는 데 사용할 수 있는 최대 메모리 바이트를 구성할 수 있습니다. 애플리케이션 식별을 위해 글로벌 메모리 사용에 대한 제한을 구성할 수도 있습니다. 시스템이 세션의 지정된 메모리 제한에 도달한 후 애플리케이션 식별은 세션에 대해 비활성화됩니다. 그러나 IDP는 계속해서 패턴을 일치합니다. 일치하는 애플리케이션은 다음 세션에서 사용할 수 있도록 캐시에 저장됩니다. 이를 통해 대규모 클라이언트-서버 패킷을 의도적으로 전송하여 애플리케이션 식별을 우회하려는 공격자로부터 시스템을 보호합니다.

  • max-tcp-session-packet-memory—IDP 애플리케이션 식별 서비스에 대한 메모리 및 세션 제한을 구성하려면 명령을 실행합니다 set security idp sensor-configuration application-identification max-tcp-session-packet-memory 5000 .

  • memory-limit-percent-IDP 할당에 사용할 수 있는 시스템에서 사용 가능한 데이터 플레인에 대한 메모리 제한 비율을 설정하려면 명령을 실행합니다 set security idp sensor-configuration global memory-limit-percent . 지원되는 백분율 값은 10~90입니다.

  • drop-if-no-policy-loaded—시작 시 IDP 정책이 아직 로드되지 않은 경우 기본적으로 트래픽이 IDP에 의해 무시됩니다. 옵션은 drop-if-no-policy-loaded 이 동작을 변경하여 IDP 정책이 로드되기 전에 모든 세션이 삭제됩니다.

    명령 출력을 show security idp counters flow 위한 다음 카운터는 옵션으로 인해 drop-if-no-policy-loaded 트래픽 손실을 분석합니다.

  • drop-on-failover-기본적으로 IDP는 SRX 시리즈 섀시 클러스터 구축의 페일오버 세션을 무시합니다. 옵션은 drop-on-failover 이 동작을 변경하고 보조 노드로의 페일오버가 발생할 때 기본 노드에서 검사되는 프로세스에 있는 세션을 자동으로 삭제합니다.

    명령 출력 분석을 위한 show security idp counters flow 다음 카운터는 옵션으로 인해 drop-on-failover 페일오버 트래픽이 손실되었습니다.

  • drop-on-limit-기본적으로 IDP 세션 제한 또는 리소스 제한을 초과하면 세션이 손실되지 않습니다. 이 경우 IDP 및 기타 세션은 디바이스의 세션 용량이나 리소스가 고갈된 경우에만 삭제됩니다. drop-on-limit 옵션은 이러한 동작을 변경하고 리소스 제한이 초과되면 세션을 삭제합니다.

    명령 출력 분석을 위한 show security idp counters flow 다음 카운터는 옵션으로 인해 IDP 트래픽이 감소했습니다 drop-on-limit .

    명령 출력 분석을 위한 show security idp counters application-identification 다음 카운터는 옵션으로 인해 애플리케이션 식별 트래픽이 drop-on-limit 손실되었습니다.

    다음 옵션은 현재 실행 상태에 대한 정보 로그 메시지를 트리거하는 데 사용됩니다. 을(를) 설정하면 옵션 설정 여부에 관계없이 drop-on-limit 로그 메시지가 트리거됩니다.

  • max-sessions-offset-옵션은 max-sessions-offset 최대 IDP 세션 제한에 대한 오프셋을 설정합니다. IDP 세션 수가 최대 세션 제한을 초과하면 IDP 세션이 삭제될 수 있는 조건이 존재한다는 경고가 기록됩니다. IDP 세션 수가 오프셋 값을 뺀 최대 IDP 세션 제한 미만으로 떨어지면 조건이 정상으로 돌아왔다는 메시지가 기록됩니다.

  • min-objcache-limit-lt-옵션은 min-objcache-limit-lt 사용 가능한 캐시 메모리에 대한 하한값을 설정합니다. 임계값은 사용 가능한 IDP 캐시 메모리의 백분율로 표시됩니다. 사용 가능한 캐시 메모리가 낮은 임계값 이하로 떨어지면 메모리 할당 실패로 인해 IDP 세션이 누락될 수 있는 조건이 존재한다는 메시지가 기록됩니다. 예를 들어, 다음 메시지는 IDP 캐시 메모리가 낮은 임계값 이하로 떨어졌으며 여러 세션이 누락되었음을 보여줍니다.

  • min-objcache-limit-ut-옵션은 min-objcache-limit-ut 사용 가능한 캐시 메모리에 대한 상한선을 설정합니다. 임계값은 사용 가능한 IDP 캐시 메모리의 백분율로 표시됩니다. 사용 가능한 IDP 캐시 메모리가 상한값 수준으로 복귀하면 사용 가능한 캐시 메모리가 정상으로 돌아왔다는 메시지가 기록됩니다. 예를 들어, 다음 메시지는 사용 가능한 IDP 캐시 메모리가 상한값을 초과하여 증가했으며 현재 정상적으로 작동 중임을 보여줍니다.

    참고:

    이 메시지는 낮은 임계값에 도달하고 사용 가능한 메모리가 상한값 이상으로 반환된 경우에만 트리거됩니다. 상한값 이하로 떨어졌지만 낮은 임계값 이하로 떨어지지 않은 가용 메모리의 변동은 메시지를 트리거하지 않습니다.

Junos OS 릴리스 12.3X48-D10 및 Junos OS 릴리스 17.3R1부터 IDP 지능형 우회 기능은 SRX 시리즈 지원됩니다.

기본 구성에서 IDP는 CPU 활용도에 관계없이 새 세션과 기존 세션을 검사하려고 시도합니다. 이로 인해 CPU 사용률이 높은 이벤트 중에 시스템 전체의 패킷, 지연 및 불안정성이 감소할 수 있습니다. 예측할 수 없는 IDP 패킷 처리 동작을 극복하기 위해 IDP 지능형 우회 기능을 활성화할 수 있습니다. 이 기능을 사용하면 시스템 CPU 사용률이 높은 수준("패킷 허용") 또는 "패킷 오류(패킷 손실)"라고도 하는 높은 수준에 도달하면 IDP를 우회하거나 패킷을 드롭할 수 있는 유연성을 제공합니다. 기본적으로 IDP 지능형 우회 기능은 활성화되지 않습니다. IDP 인텔리전트 바이패스 기능을 구성하는 데 다음 옵션이 사용됩니다.

  • idp-bypass-cpu-usage-overload— 기본적으로 IDP는 사용 가능한 CPU의 100%를 소비할 수 있으며 모든 세션에 대한 패킷 드롭을 실수로 시작할 수 있습니다. 시스템 CPU 사용률이 높은 임계값에 도달할 때 IDP 패킷 처리 동작을 처리하기 위해 IDP 지능형 우회 기능을 활성화할 수 있습니다. IDP 지능형 우회 기능을 활성화하려면 명령을 실행합니다 set security idp sensor-configuration flow idp-bypass-cpu-overload . 기본적으로 IDP 지능형 우회 기능은 활성화되지 않습니다.

  • idp-bypass-cpu-threshold— CPU 활용률이 정의된 임계값에 도달할 때 IDP는 새로운 세션 검사를 중단합니다. 기본 임계값 CPU 활용도 값은 85%입니다. CPU 활용률이 임계값에 도달하면, IDP는 CPU 활용률이 낮은 임계값 이하로 떨어질 때까지 새로운 세션을 계속 우회합니다. 또는 CPU 활용률이 낮은 임계값 이하로 떨어질 때까지 IDP가 새 세션을 삭제하는 을(를) 설정하는 drop-on-limit경우. 임계값을 구성하려면 명령을 실행 set security idp sensor-configuration flow idp-bypass-cpu-threshold 합니다. 범위 0에서 99까지 임계값을 설정할 수 있습니다. 이 임계값은 백분율로 표시됩니다.

  • idp-bypass-cpu-tolerance— 공차 값을 구성하려면 명령을 실행합니다 set security idp sensor-configuration flow idp-bypass-cpu-tolerance . 범위 1~99에서 공차 값을 설정할 수 있습니다. 기본 공차 값은 5입니다. 이 공차 값은 백분율로 표시됩니다.

다음 방정식을 사용하여 CPU 상위 및 하위 임계값을 계산할 수 있습니다.

CPU 상한값 = CPU 임계값 + CPU 공차 값.

CPU 하한 임계값 = CPU 임계값 - CPU 공차 값.

그림 1: 높은 임계값 Understanding IDP Packet Processing Behavior During High Threshold 동안 IDP 패킷 처리 동작 이해

시스템 CPU 사용률이 임계값을 초과하면 IDP는 새로운 세션 검사를 중단하지만 기존 세션을 계속 검사합니다. 이 상태에서 설정된 경우 drop-on-limit IDP는 새 세션을 삭제하기 시작합니다. 로그 메시지는 새 세션이 누락되었음을 나타내기 위해 트리거됩니다. 예를 들어, 다음 메시지에는 IDP CPU 사용률이 임계값을 초과했으며 IDP가 새 세션을 삭제할 수 있다고 명시되어 있습니다.

시스템 CPU 사용률이 임계값을 초과하면 IDP는 기존 세션 및 새 세션의 패킷 검사를 중단합니다. 이 상태에서는 어떤 패킷도 IDP 검사를 통과할 수 없습니다. 설정된 경우 drop-on-limit IDP는 모든 세션을 삭제합니다. 모든 세션이 누락되었음을 나타내는 로그 메시지가 트리거됩니다. 예를 들어, 다음 메시지는 IDP CPU 사용률이 상한값을 초과했으며 IDP는 기존 세션 및 새 세션의 패킷 검사를 중단합니다.

시스템 CPU 사용률이 낮은 임계값 이하로 떨어지면 IDP는 새 세션 검사를 시작하고 정상 모드로 돌아갑니다. IDP는 기존의 폐기된 세션을 검사하지 않습니다. 기록 메시지는 IDP가 새 세션을 검사하기 시작하고 정상 모드로 복귀했음을 나타내기 위해 트리거됩니다. 예를 들어, 다음 메시지에는 IDP CPU 사용률이 낮은 임계값 이하로 떨어지고 IDP가 정상 모드로 돌아갑니다.

IDP 보호 모드

IDP 보호 모드는 디바이스의 트래픽을 효율적으로 검사하기 위해 검사 매개 변수를 조정합니다. IDP 보호 모드를 활성화하려면 계층 수준에서 명령을 실행 security-configuration protection-mode mode [edit security idp sensor-configuration] 합니다.

user@host#set security-configuration protection-mode mode

4개의 IDP 보호 모드가 있습니다.

참고:

모든 IDP 보호 모드는 CTS(클라이언트에서 서버) 트래픽을 검사합니다.

표 1:

모드

설명

경계 전체

모든 STC(서버에서 클라이언트) 트래픽을 검사합니다.

최적화 없이 TCP 오류를 처리합니다.

참고:

이것은 기본 모드입니다.

경계

모든 STC 트래픽을 검사합니다.

최적화를 통해 TCP 오류를 처리합니다. TCP 패킷의 경우, 창에서 SYN이 수신되고 TCP 오류 플래그 세트가 있는 경우 TCP 오류를 처리하고 적절한 조치를 취합니다. 현재 패킷을 삭제하고 전체 세션에 대한 검사를 무시합니다.

데이터센터 전체

모든 STC 트래픽 검사를 비활성화합니다.

최적화 없이 TCP 오류를 처리합니다.

참고:

Datacenter-Full은 SRX 디바이스가 응답 트래픽이 분석에 흥미롭지 않은 것으로 간주되는 서버만 보호할 책임이 있는 상황에서 사용할 수 있습니다. SRX 디바이스가 클라이언트를 보호할 책임이 있는 경우에는 Datacenter-Full을 사용해서는 안 됩니다.

데이터센터

모든 STC 트래픽 검사를 비활성화합니다.

최적화를 통해 TCP 오류를 처리합니다. TCP 패킷의 경우, 창에서 SYN이 수신되고 TCP 오류 플래그 세트가 있는 경우 TCP 오류를 처리하고 적절한 조치를 취합니다. 현재 패킷을 삭제하고 전체 세션에 대한 검사를 무시합니다.

데이터센터 구성은 균형 잡힌 보호 및 성능을 제공하도록 최적화되었습니다.

예: IDP 센서 구성 옵션을 통한 로깅 및 트래픽 분석 개선

이 예는 IDP 센서 구성 옵션을 구성하여 로깅 및 트래픽 분석을 개선하는 방법을 보여줍니다. 예를 들어, IDP 서명 데이터베이스로 애플리케이션 서명을 생성할 수는 없지만 애플리케이션 식별을 실행하는 세션 수를 제한하고 메모리 사용을 제한하도록 센서 설정을 구성할 수 있습니다. 또한 이러한 옵션을 사용하여 IDP 세션 용량 및 메모리 제한에 접근할 때 실행 조건을 기록하고, 이러한 제한 사항을 초과할 때 IDP 및 애플리케이션 식별에 의해 손실된 트래픽을 분석할 수 있습니다.

요구 사항

시작하기 전에 다음을 수행합니다.

  • 네트워크 인터페이스를 구성합니다.

  • 서명 데이터베이스를 다운로드합니다. 예: IDP 서명 데이터베이스를 수동으로 업데이트하는 예시 를 참조하십시오. 애플리케이션 서명은 주니퍼 네트웍스 제공하는 보안 패키지의 일부로 제공됩니다. 보안 패키지 업데이트와 함께 사전 정의된 애플리케이션 서명을 다운로드합니다.

개요

IDP 센서는 네트워크를 모니터링하고 IDP 규칙 베이스에 정의된 특정 규칙을 기반으로 의심스럽고 비정상적인 네트워크 트래픽을 감지합니다. 프로토콜 또는 애플리케이션을 기반으로 공격 객체를 트래픽에 적용합니다. 애플리케이션 시그니처를 사용하면 센서가 비표준 포트에서 실행되는 알려진 애플리케이션과 알려지지 않은 애플리케이션을 식별하고 올바른 공격 객체를 적용할 수 있습니다.

IDP의 기본 동작은 다음과 같은 경우 세션을 무시하는 것입니다.

  • 디바이스에서 IDP 정책이 구성되지 않음

  • 리소스 제한(메모리 또는 활성 세션)에 도달

  • 섀시 클러스터의 경우 세션을 통한 실패

트래픽 가용성이 보안보다 더 중요하다고 판단되는 경우, 위에서 언급한 IDP의 기본 동작을 계속 사용하는 것이 좋습니다. 그러나 보안이 가용성보다 더 중요한 것으로 간주되는 경우, 이 예에서 제공되는 구성을 사용하여 기본 동작을 변경하는 것이 좋습니다.

이 예에서 다음을 수행할 수 있습니다.

  • IDP 서명 데이터베이스로 애플리케이션 서명을 생성할 수는 없지만 애플리케이션 식별을 실행하는 세션 수를 제한하고 애플리케이션 식별을 위해 메모리 사용을 제한하도록 센서 설정을 구성할 수 있습니다. 하나의 TCP 또는 UDP 세션에 대한 애플리케이션 식별을 위해 패킷을 저장하는 데 사용할 수 있는 최대 메모리 바이트를 구성할 수 있습니다. 애플리케이션 식별을 위해 글로벌 메모리 사용에 대한 제한을 구성할 수도 있습니다. 시스템이 세션의 지정된 메모리 제한에 도달한 후 애플리케이션 식별은 세션에 대해 비활성화됩니다.

  • 기본적으로 IDP는 SRX 시리즈 섀시 클러스터 구축에서 보조 노드에 대한 페일오버가 발생할 때 기본 노드에서 검사되는 프로세스에 있는 페일오버 세션을 무시합니다. 이 예에서는 이러한 세션이 무시되지 않고 자동으로 삭제되고 해당 카운터에서 캡처되도록 지정합니다. 보조 노드에서 페일오버가 발생할 때 손실된 세션을 모니터링하고 분석할 수 있습니다.

  • 기본적으로 IDP 세션 제한 또는 리소스 제한을 초과하면 세션이 삭제되지 않습니다. 이 예에서는 IDP 세션 제한 또는 리소스 제한을 초과하면 세션이 누락되고 로깅이 추가되도록 지정합니다. 최대 IDP 세션 제한에 대한 최대 세션 오프셋 제한 값을 설정할 수 있습니다. IDP 세션 수가 해당 값을 초과하면 IDP 세션이 끊어질 수 있는 조건이 존재한다는 경고가 기록됩니다. IDP 세션 수가 오프셋 값을 뺀 최대 IDP 세션 제한 미만으로 떨어지면 조건이 정상으로 돌아왔다는 메시지가 기록됩니다.

  • 사용 가능한 캐시 메모리에 대한 더 낮은 임계값을 지정할 수 있습니다. 사용 가능한 캐시 메모리가 낮은 임계값 이하로 떨어지면 메모리 할당 실패로 인해 IDP 세션이 누락될 수 있는 조건이 존재한다는 메시지가 기록됩니다. 이 로그를 사용하면 손실된 세션 수를 제어할 수 있으며, 이러한 삭제된 세션은 나중에 분석하여 처리를 위해 고려할 수 있습니다.

  • 마찬가지로, 사용 가능한 캐시 메모리에 대한 상한값을 지정할 수 있습니다. 사용 가능한 IDP 캐시 메모리가 상한값 수준으로 복귀하면 사용 가능한 캐시 메모리가 정상으로 돌아왔다는 메시지가 기록됩니다. 이 로그를 사용하면 손실된 세션 수를 제어할 수 있으며, 이러한 삭제된 세션은 나중에 분석하여 처리를 위해 고려할 수 있습니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

IDP 센서 구성 옵션을 설정하려면 다음을 수행합니다.

  1. 애플리케이션 식별을 위한 메모리 제한을 지정합니다.

  2. IDP 정책이 로드되기 전에 트래픽 드롭을 지정합니다.

  3. 섀시 클러스터 구축이 중단될 SRX 시리즈 페일오버 세션을 지정합니다.

  4. 리소스 제한을 초과할 때 세션이 손실되도록 지정합니다.

    참고:

    리소스 제한을 초과할 때 세션을 삭제하지 않으시려면 명령을 실행 delete drop-on-limit 하십시오.

  5. 최대 IDP 세션 제한에 대한 오프셋 값을 구성합니다.

  6. 사용 가능한 캐시 메모리에 대해 더 낮은 임계값을 설정합니다.

  7. 사용 가능한 캐시 메모리에 대한 상한값을 설정합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security idp . 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

IDP 센서 구성 설정 확인

목적

IDP 센서 구성 설정을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security idp sensor-configuration .

의미

show security idp sensor-configuration 명령은 특정 값으로 설정된 모든 센서 구성 옵션을 표시합니다.

IDP 카운터 확인

목적

IDP 카운터를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show security idp counters flow .

샘플 출력
명령명
의미

show security idp counters flow 명령은 페일오버 트래픽 손실, IDP 트래픽 손실, 애플리케이션 식별 트래픽 손실을 분석하는 데 사용되는 모든 카운터를 표시합니다.

IDP 지능형 검사

SRX 시리즈 디바이스에서 구성된 CPU 및 메모리 임계값이 리소스 제한을 초과하는 경우 IDP 지능형 검사를 통해 디바이스가 과부하 상태에서 복구할 수 있습니다. 릴리스 19.2R1 Junos OS 시작하여 IDP 지능형 검사를 활성화하고 동적으로 튜닝하여 전체 IDP 검사 부하를 줄일 수 있습니다. 리소스 제한이 구성된 CPU 및 메모리 임계값에 도달할 때 IDP 검사를 조정하여 IDP는 세션을 거부하거나 무시하지 않습니다.

릴리스 19.2R1 Junos OS 전에 디바이스가 구성된 CPU 및 메모리 임계값 제한을 초과하면 IDP는 새 세션을 거부하거나 무시합니다.

IDP 지능형 검사 및 우회 기능을 활성화하려면 명령을 사용합니다 set security idp sensor-configuration flow intel-inspect-enable .

IDP 검사 조정의 이점

  • 중요한 IDP 검사의 중요성 부여

  • 우선순위가 낮은 IDP 검사 방지

  • 높은 시스템 리소스 사용량 감소

IDP 지능형 검사 조정을 위한 보안 메커니즘

  • 동적 정책 —중요, 주요, 사소한 세 가지 중요한 시그니처 심각도입니다. 정책을 동적으로 조정하여 원하는 심각도 수준의 서명만 포함할 수 있습니다. 중요 심각도의 시그니처만 포함하려면 명령을 set security idp sensor-configuration flow intel-inspect-signature-severity critical사용합니다. 중요하고 주요 심각도의 시그니처를 포함하려면 명령을 set security idp sensor-configuration flow intel-inspect-signature-severity major사용합니다. 중요하고 중대한 심각도와 사소한 심각도의 시그니처를 포함하려면 명령을 set security idp sensor-configuration flow intel-inspect-signature-severity minor사용합니다. 기본적으로 심각도가 중요한 공격이 포함됩니다.

  • 컨텐츠 압축 해제 - Intel 검사 기능이 활성화되고 임계값에 도달할 때만 콘텐츠 압축 해제를 방지할 수 있습니다. 컨텐츠가 압축 상태인 경우 프로토콜 디코더는 프로토콜 컨텐츠를 압축 해제합니다. 명령을 구성하여 프로토콜 콘텐츠의 압축 해제를 방지할 set security idp sensor-configuration flow intel-inspect-disable-content-decompress 수 있습니다.

  • 선택적 프로토콜 - 기본적으로 IDP는 모든 중요한 프로토콜을 검사합니다. IDP 처리를 위한 중요 프로토콜 목록을 지정할 수 있습니다. 프로토콜 목록을 지정하려면 명령을 사용합니다 set security idp sensor-configuration flow intel-inspect-protocols protocol . IDP는 비범죄적 프로토콜을 검사하지 않습니다.

  • 검사 깊이 - 각 세션에 대해 기본적으로 IDP는 세션의 모든 바이트를 검사합니다. 검사 깊이를 지정함으로써 IDP는 검사를 지정된 바이트 수로만 제한합니다. 검사 깊이를 활성화하려면 명령을 set security idp sensor-configuration flow intel-inspect-session-bytes-depth value사용합니다. 기본적으로 IDP 지능형 검사는 검사 깊이를 비활성화합니다. 즉, 모든 바이트가 검사됩니다.

CPU 활용도

IDP 검사에 대한 임계값 제한을 구성할 수 있습니다. CPU 사용량이 구성된 임계값에 도달하면 IDP 지능형 검사가 활성화됩니다.

임계값 제한을 구성하려면 다음 명령을 사용합니다.

  • set security idp sensor-configuration flow intel-inspect-cpu-usg-threshold value

  • set security idp sensor-configuration flow intel-inspect-cpu-usg-tolerance value

그림 2: CPU 사용량 Understanding CPU Usage 이해

CPU 활용도는 다음과 같이 작동합니다.

  • CPU 사용률이 구성된 지능형 검사 임계값에 도달하면 IDP는 새 세션에서 전체 IDP 처리를 중단합니다. IDP 프로세스는 조정된 보안 검사만 처리합니다. 이 동작은 syslog 메시지를 트리거하여 IDP 지능형 검사를 활성화합니다.

  • CPU 활용도가 지능형 검사 임계값을 초과하고 IDP 우회 임계값과 지능형 검사 하위 임계값 사이에 있으면 IDP는 계속해서 지능형 검사 모드에서 작동합니다.

  • IDP는 새 세션에서 전체 IDP 검사를 시작하고 CPU 활용도가 지능형 검사의 낮은 임계값 이하로 떨어질 때 IDP 지능형 검사를 비활성화하는 syslog를 트리거합니다.

  • IDP 지능형 우회 기능은 CPU 사용률이 IDP 우회 임계값에 도달할 때 활성화됩니다.

메모리 활용도

IDP 검사에 대한 메모리 제한을 구성할 수 있습니다. 메모리 사용량이 구성된 제한에 도달하면 IDP 지능형 검사를 활성화합니다.

사용 가능한 메모리 제한을 구성하려면 다음 명령을 사용합니다.

  • set security idp sensor-configuration flow intel-inspect-free-mem-threshold value

  • set security idp sensor-configuration flow intel-inspect-mem-tolerance value

그림 3: 메모리 사용량 Understanding Memory Usage 이해

메모리 활용도는 다음과 같이 작동합니다.

  • IDP는 메모리 사용률이 지능형 검사 사용 가능한 메모리 하한값에 도달할 때 IDP 지능형 검사 모드를 활성화합니다.

  • IDP는 인텔리전트 검사 메모리 상한값과 메모리 하한값 사이에 메모리 사용률이 발생할 때 인텔리전트 검사 모드에서 계속 작동합니다.

  • IDP는 메모리 사용률이 사용 가능한 메모리 하위 임계값에 도달할 때 IDP 우회 기능을 활성화합니다.

  • IDP는 메모리 사용률이 낙하되어 지능형 검사 사용 가능한 메모리 상한값을 초과할 때 정상 모드로 활성화됩니다.

제한

IDP 지능형 검사는 기본 논리적 시스템 수준에서만 지원됩니다.

예: IDP 지능형 검사 구성

IDP 지능형 검사는 디바이스가 구성된 CPU 및 메모리 임계값 제한을 초과할 때 디바이스가 과부하 상태에서 복구하는 데 도움이 됩니다.

이 예는 IDP 지능형 검사를 활성화하고 IDP 검사를 동적으로 조정하여 전체 IDP 검사의 부하를 줄이는 방법을 보여줍니다.

요구 사항

IDP 센서 구성을 읽고 IDP 지능형 검사 및 IDP 우회 기능이 작동하는 시기와 방법을 이해합니다.

개요

릴리스 19.2R1 Junos OS 전에 디바이스가 구성된 CPU 및 메모리 임계값에 도달하면 IDP는 새 세션을 무시하거나 거부합니다. 또한 디바이스가 상한값을 초과하면 IDP는 기존 세션과 새 세션의 패킷을 삭제합니다.

IDP 검사를 조정하면 디바이스가 CPU 및 메모리 활용도를 점진적으로 높이고 중요 검사에 중요한 역할을 합니다. 이 예는 IDP 지능형 검사를 활성화한 후 IDP 검사를 조정하는 방법을 보여줍니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

절차

단계별 절차

IDP 지능형 검사를 구성하려면 다음을 수행합니다.

  1. IDP 지능형 검사를 활성화합니다.

  2. CPU 임계값 제한을 구성합니다.

  3. CPU 공차를 구성합니다.

  4. 메모리 공차를 구성합니다.

  5. 메모리 제한을 구성합니다.

  6. 심각도 수준을 지정합니다.

  7. 콘텐츠 압축 해제를 비활성화합니다.

  8. 패킷 검사 깊이를 구성합니다.

  9. 검사를 위한 프로토콜을 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 확인합니다 show security idp sensor-configuration . 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

모든 IDP 플로우 카운터 값의 상태 확인

목적

IDP 지능형 검사가 카운터 값을 캡처했는지 확인합니다.

작업
의미

show 명령은 IDP 지능형 검사를 위한 카운터를 표시합니다.

IDP 현재 정책의 상태 확인

목적

IDP 지능형 검사가 현재 정책을 캡처했는지 확인합니다.

작업
의미

show security idp 상태 명령은 IDP 현재 정책을 표시합니다. IDP 지능형 검사를 활성화했지만 운영 명령을 실행할 show security idp status 때 IDP 지능형 검사의 상태가 비활성일 수 있습니다. 그 이유는 구성된 CPU 및 메모리 임계값이 리소스 제한을 초과하지 않기 때문입니다. CPU 사용량이 구성된 임계값에 도달하면 IDP 지능형 검사 상태가 활성화됩니다.

릴리스 기록 테이블
릴리스
설명
12.3X48-D10
Junos OS 릴리스 12.3X48-D10 및 Junos OS 릴리스 17.3R1부터 IDP 지능형 우회 기능은 SRX 시리즈 지원됩니다.