Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

전역 옵션

현재 위치: 보안 정책 및 개체 > 보안 정책.

전역 옵션 추가하기:

  1. Security Policies(보안 정책) 페이지의 오른쪽 상단에 있는 Global Options available(전역 옵션 사용 가능)을 클릭합니다.

    Global Options(전역 옵션) 페이지가 나타납니다.

  2. 표 1에 제공된 지침에 따라 구성을 완료합니다.
  3. 확인을 클릭하여 변경 사항을 저장합니다. 변경 내용을 취소하려면 취소를 클릭합니다.

표 1 에서는 전역 옵션 페이지의 필드를 설명합니다.

표 1: 전역 옵션 페이지의 필드

필드

작업

Pre-id 기본 정책

세션 시간 초과

Icmp

4초에서 86400초 사이의 ICMP 세션에 대한 시간 초과 값을 입력합니다.

ICMP6

4초에서 86400초 사이의 ICMP6 세션에 대한 시간 제한 값을 입력합니다.

Ospf

4초에서 86400초 사이의 OSPF 세션에 대한 시간 제한 값을 입력합니다.

Tcp

4초에서 86400초 사이의 TCP 세션에 대한 시간 제한 값을 입력합니다.

Udp

4초에서 86400초 사이의 UDP 세션에 대한 시간 제한 값을 입력합니다.

다른

4초에서 86400초 사이의 다른 세션에 대한 시간 초과 값을 입력합니다.

로깅

세션 시작

이 옵션을 활성화하면 세션 시작 시 로깅을 시작할 수 있습니다.

경고:

pre-id-default-policy에 대한 session-init 로깅을 구성하면 많은 수의 로그가 생성될 수 있습니다.

세션 닫기

이 옵션을 활성화하면 세션 종료 시 로깅을 시작할 수 있습니다.

참고:

세션 닫기 로깅을 구성하면 플로우가 pre-id-default-policy를 벗어날 수 없는 경우 SRX 시리즈 방화벽이 보안 로그를 생성합니다.

흐름
적극적인 세션 에이징
참고:

이 옵션은 논리적 시스템 및 테넌트에 대해 지원되지 않습니다.

얼리 에이지아웃

1초에서 65,535초 사이의 값을 입력합니다. 기본값은 20초입니다.

장치가 세션 테이블에서 세션을 적극적으로 에이징 아웃할 때까지의 시간을 지정합니다.

낮은 워터마크

0%에서 100% 사이의 값을 입력합니다. 기본값은 100%입니다.

적극적인 에이징 아웃 프로세스가 끝나는 세션 테이블 용량의 백분율을 지정합니다.

상위 워터마크

0%에서 100% 사이의 값을 입력합니다. 기본값은 100%입니다.

적극적인 에이징 아웃 프로세스가 시작되는 세션 테이블 용량의 백분율을 지정합니다.

SYN 플러드 보호

SYN 플러드 보호

이 옵션을 활성화하면 SYN 공격을 방어할 수 있습니다.

모드

다음 옵션 중 하나를 선택합니다.

  • Cookie(쿠키) - 암호화 해시를 사용하여 고유한 ISN(Initial Sequence Number)을 생성합니다. 이 기능은 기본적으로 활성화되어 있습니다.

  • 프록시—프록시를 사용하여 SYN 공격을 처리합니다.

TCP MSS

모든 TCP 패킷

64에서 65,535 사이의 최대 세그먼트 크기 값을 입력하여 네트워크 트래픽에 대한 모든 TCP 패킷을 재정의합니다.

IPsec 터널에 들어가는 패킷

64바이트에서 65,535바이트 사이의 최대 세그먼트 크기 값을 입력하여 IPsec 터널로 들어오는 모든 패킷을 재정의합니다. 기본값은 1320바이트입니다.

IPsec 터널에 진입하는 GRE 패킷

64바이트에서 65,535바이트 사이의 최대 세그먼트 크기 값을 입력하여 IPsec 터널로 들어오는 모든 일반 라우팅 캡슐화 패킷을 재정의합니다. 기본값은 1320바이트입니다.

IPsec 터널을 나가는 GRE 패킷

64바이트에서 65,535바이트 사이의 최대 세그먼트 크기 값을 입력하여 IPsec 터널을 나가는 모든 일반 라우팅 캡슐화 패킷을 재정의합니다. 기본값은 1320바이트입니다.

TCP 세션

시퀀스 번호 확인

기본적으로 이 옵션은 상태 저장 검사 중에 TCP 세그먼트의 시퀀스 번호를 확인하는 데 사용됩니다. 디바이스는 TCP 세그먼트의 시퀀스 번호를 모니터링합니다.

SYN 플래그 확인

기본적으로 이 옵션은 세션을 생성하기 전에 TCP SYN 비트를 확인하도록 설정되어 있습니다. 디바이스는 세션의 첫 번째 패킷에 SYN 비트가 설정되어 있는지 확인합니다. 설정되지 않은 경우 디바이스는 패킷을 삭제합니다.