Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Opciones globales

Usted está aquí: Políticas y objetos de seguridad > Políticas de seguridad.

Para agregar opciones globales:

  1. Haga clic en Opciones globales disponibles en la parte superior derecha de la página Políticas de seguridad.

    Aparecerá la página Opciones globales.

  2. Complete la configuración de acuerdo con las directrices proporcionadas en la Tabla 1.
  3. Haga clic en Aceptar para guardar los cambios. Si desea descartar los cambios, haga clic en Cancelar.

En la tabla 1 se describen los campos de la página Opciones globales.

Tabla 1: Campos en la página Opciones globales

Campo

Acción

Política predeterminada de pre-id

Tiempo de espera de la sesión

ICMP

Introduzca el valor de tiempo de espera para las sesiones ICMP que van de 4 a 86400 segundos.

ICMP6

Introduzca el valor de tiempo de espera para las sesiones ICMP6 que van de 4 a 86400 segundos.

OSPF

Introduzca el valor de tiempo de espera para las sesiones OSPF que van de 4 a 86400 segundos.

TCP

Escriba el valor de tiempo de espera para las sesiones TCP que van de 4 a 86400 segundos.

UDP

Introduzca el valor de tiempo de espera para las sesiones UDP que van de 4 a 86400 segundos.

Otros

Introduzca el valor de tiempo de espera para otras sesiones que van de 4 a 86400 segundos.

Registro

Inicio de sesión

Active esta opción para iniciar el registro al principio de una sesión.

Advertencia:

La configuración del registro de inicio de sesión para la política pre-id-default-policy puede generar un gran número de registros.

Cierre de sesión

Active esta opción para iniciar el registro al cierre de una sesión.

Nota:

La configuración del registro de cierre de sesión garantiza que el firewall de la serie SRX genere los registros de seguridad si un flujo no puede salir de la política pre-id-default-policy.

Flujo
Envejecimiento agresivo de la sesión
Nota:

Esta opción no se admite para sistemas lógicos ni inquilinos.

Edad temprana

Introduzca un valor de 1 a 65.535 segundos. El valor predeterminado es 20 segundos.

Especifica la cantidad de tiempo antes de que el dispositivo elimine agresivamente una sesión de su tabla de sesiones.

Marca de agua baja

Introduzca un valor del 0 al 100 por ciento. El valor predeterminado es 100 por ciento.

Especifica el porcentaje de capacidad de la tabla de sesión en el que finaliza el proceso de caducidad agresivo.

Marca de agua alta

Introduzca un valor del 0 al 100 por ciento. El valor predeterminado es 100 por ciento.

Especifica el porcentaje de capacidad de la tabla de sesión en el que comienza el proceso agresivo de caducidad.

Protección contra inundaciones SYN

Protección contra inundaciones SYN

Active esta opción para defenderse de ataques SYN.

Modo

Seleccione una de las siguientes opciones:

  • Cookie: utiliza un hash criptográfico para generar un número de secuencia inicial (ISN) único. Esto está habilitado de forma predeterminada.

  • Proxy: utiliza un proxy para manejar el ataque SYN.

TCP MSS

Todos los paquetes TCP

Introduzca un valor de tamaño de segmento máximo de 64 a 65.535 para invalidar todos los paquetes TCP para el tráfico de red.

Paquetes que entran en túnel IPsec

Escriba un valor de tamaño de segmento máximo de 64 a 65.535 bytes para invalidar todos los paquetes que entren en un túnel IPsec. El valor predeterminado es 1320 bytes.

Paquetes GRE que entran en el túnel IPsec

Introduzca un valor de tamaño de segmento máximo de 64 a 65.535 bytes para reemplazar todos los paquetes de encapsulación de enrutamiento genérico que entren en un túnel IPsec. El valor predeterminado es 1320 bytes.

Paquetes GRE saliendo del túnel IPsec

Introduzca un valor de tamaño de segmento máximo de 64 a 65.535 bytes para invalidar todos los paquetes de encapsulación de enrutamiento genérico que salen de un túnel IPsec. El valor predeterminado es 1320 bytes.

Sesión TCP

Comprobación del número de secuencia

De forma predeterminada, esta opción está habilitada para comprobar los números de secuencia en segmentos TCP durante las inspecciones de estado. El dispositivo supervisa los números de secuencia en segmentos TCP.

Comprobación del indicador SYN

De forma predeterminada, esta opción está habilitada para comprobar el bit TCP SYN antes de crear una sesión. El dispositivo comprueba que el bit SYN esté establecido en el primer paquete de una sesión. Si no está configurado, el dispositivo descarta el paquete.