Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Межсетевые экраны с состоянием состояния

Junos Network Secure обзор

Маршрутизаторы используют межсетевые экраны для отслеживания и управления потоком трафика. CS адаптивного и мультисервисного обслуживания используют тип межсетевых экранов, называемый a. В противоположность межсетевму экрану, который изоляцию пакетов проверяет пакеты, межсетевой экран с контролем состояния обеспечивает дополнительный уровень безопасности, используя информацию о состоянии, полученную из данных, полученных в прошлом и других приложениях, для принятия динамических решений о контроле для новых попыток взаимодействия.

Примечание:

На серия ACX маршрутизаторах конфигурация межсетевых экранов с управлением состоянием поддерживается только на ACX500 внутри помещений.

Группа межсетевых экранов с учетом состояния. Поток идентифицирован следующими пятью свойствами:

  • Адрес источника

  • Порт-источник

  • Адрес назначения

  • Порт назначения

  • Протокол

Обычный протокол управления передачей (TCP) или разговор по протоколу датаграмм пользователя (UDP) состоит из двух потоков: потока инициалов и потока ответчика. Однако некоторые диалоги, такие как разговор по FTP, могут состоять из двух контрольных потоков и нескольких потоков данных.

Межсетевой экран определяет, разрешается ли установить разговор. Если разговор разрешен, то разрешены все потоки в разговоре, включая потоки, созданные во время жизненного цикла разговора.

Межсетевые экраны настраиваются с использованием мощного пути обработки диалогов на основе правил. A состоит из направления, адреса источника, порта источника, адреса назначения, порта назначения, значения IP-протокола, а также протокола или службы приложений. В дополнение к определенным настроенным значениям можно any назначить значение для объектов правила, адресов или портов, что позволяет им соответствовать любому вводимому значению. Наконец, можно отоать объекты правил, что отменит результат совпадения, определенного типом.

Правила межсетевых экранов имеют направленную направленность. При каждом новом разговоре программное обеспечение маршрутизатора проверяет поток инициалов, совпадающий с направлением, заданным правилом.

Правила межсетевых экранов упорядочены. Программное обеспечение проверяет правила в порядке, в котором они включаются в конфигурацию. Когда межсетевой экран обнаруживает совпадение, маршрутизатор реализует действие, указанное в этом правиле. Правила, неупроверяемые, игнорируются.

Примечание:

Начиная с Junos OS 14.2 интерфейсные карты MS-MPC и MS-MIC поддерживают трафик IPv6 для Junos Network Secure межсетевого экрана с поддержкой состояния.

Дополнительные сведения см. в "Настройка правил межсетевых экранов с настройками сконфигурировать".

Поддержка межсетевых экранов с состоянием состояния для протоколов приложений

При проверке данных протокола приложений межсетевой экран AS или MultiServices PIC может интеллектуально применять политики безопасности и пропускать через межсетевой экран только необходимый пакетный трафик.

Правила межсетевых экранов настраиваются по отношению к интерфейсу. По умолчанию межсетевой экран с состоянием позволяет всем сеансам, инициированным хостами за интерфейсом, проходить через маршрутизатор.

Примечание:

На маршрутизаторах не поддерживаются маршрутные маршруты с поддержкой ACX500 межсетевых экранов.

Проверка аномалий межсетевых экранов с состоянием состояния

Межсетевой экран с состоянием распознает следующие события как аномалии и отправляет их на служба обнаружения вторжений обработку:

  • Ip-аномалии:

    • Ip version is not correct.

    • Поле длины IP-загона слишком мало.

    • Длина IP-загона превышает длину целого пакета.

    • Некачеистая контрольная контрольнаяума загона.

    • Поле общей длины IP короче длины загона.

    • Пакет имеет неправильные параметры IP.

    • Ошибка длины пакетов протокола управления Интернет-сообщениями (ICMP).

    • Время жизни (TTL) равно 0.

  • Аномалии IP-адресов:

    • Источником IP-пакета является широковещательная или многоавещаемая передача.

    • Land-атака (IP-адрес источника равен IP-адресу назначения).

  • Аномалии фрагментации IP:

    • Ip-фрагменты перекрываются.

    • IP-фрагмент пропущен.

    • Ошибка длины IP-фрагмента.

    • Длина IP-пакета более 64 килобайт (Кб).

    • Фрагментированная атака.

  • Аномалии TCP:

    • TCP-порт 0.

    • TCP последовательное число 0 и флаги 0.

    • Установленные флаги последовательности TCP и FIN/PSH/RST.

    • Флаги TCP с неправильной комбинацией (TCP FIN/RST или SYN/(URG| FIN| RST).

    • Некабная контрольнаяума TCP.

  • Аномалии UDP:

    • UDP-источник или порт назначения 0.

    • Проверка длины загона UDP не удалась.

    • Некабная контрольнаяума UDP.

  • Аномалии, найденные при проверке TCP или UDP с помощью сбоя:

    • За ними следуют пакеты SYN-ACK без ACK от инициатора.

    • За которым следуют пакеты RST.

    • SYN без SYN-ACK.

    • Пакет потока без SYN-first.

    • Ошибки ICMP о недостижимых пакетах SYN.

    • Ошибки ICMP о недостижимых пакетах UDP.

  • Пакеты отброшены в соответствии с правилами межсетевых экранов.

Примечание:

ACX500 не поддерживают аномалии IP-фрагментации.

При использовании обнаружения аномалий с учетом состояния в сочетании с обнаружением служба обнаружения вторжений системы можно предоставить раннее предупреждение о разнообразных атаках, включая следующие:

  • Сетевые зонды TCP или UDP и сканирование портов

  • Атаки с переполномодом SYN

  • Ip-атаки на основе фрагментации, такие как teardrop, ни один из них, а также атака на основе фрагментации

Настройка правил межсетевых экранов с настройками сконфигурировать состояние

Чтобы настроить правило брандмауэра с состоянием состояния, включите rule rule-name утверждение на [edit services stateful-firewall] уровне иерархии:

Примечание:

ACX500 не поддерживают приложения и наборы приложений на уровне иерархииedit services stateful-firewall rule rule-name term term-name from.

Примечание:

На ACX500 маршрутизаторов для того, чтобы включить syslog, stateful-firewall-logs включите интерфейс командной строки на уровне иерархииedit services service-set service-set-name syslog host local class []

Примечание:

edit services stateful-firewall иерархия не поддерживается на сериях SRX.

Каждое правило межсетевых экранов с сконфигурированию с состоянием состояния состоит из набора терминов, подобных фильтрам, настроенным на [edit firewall] уровне иерархии. Термин состоит из следующего:

  • from statement — указывает условия совпадения и приложения, которые включаются и исключаются. Утверждение from необязательно в правилах межсетевых экранов с состоянием состояния.

  • then statement — указывает действия и модификаторы действий, выполняемые программой маршрутизатора. Утверждение then обязательно в правилах межсетевых экранов с проверкой состояния.

ACX500 межсетевых экранов маршрутизаторы не поддерживают следующее при настройке правил межсетевых экранов:

  • match-direction (output | input-output)

  • post-service-filter на уровне иерархии входа службы интерфейса.

  • Адрес источника IPv6 и адрес назначения.

  • application-sets, applicationна allow-ip-options уровне иерархииedit services stateful-firewall.

  • уровень приложений шлюзов (ALGs).

  • Цепочка сервисов на модульной карте Multiservices Modular Interfaces (MS-MIC) и с сетевыми сервисами (-si).

  • Класс обслуживания.

  • Следующие интерфейс командной строки show services stateful-firewall не поддерживаются:

    • show services stateful-firewall conversations- Показать сеансы

    • show services stateful-firewall flow-analysis-Show flow table entries (Показать записи таблицы потока)

    • show services stateful-firewall redundancy-statistics– Выявить статистику избыточности

    • show services stateful-firewall sip-call- Показать информацию о вызове SIP

    • show services stateful-firewall sip-register- Выявить сведения о регистре SIP

    • show services stateful-firewall subscriber-analysis-Показывать записи таблицы подписчиков

В следующих разделах объясняется, как настраивать компоненты правил межсетевых экранов с новыми настройками:

Настройка направления совпадения для правил межсетевых экранов с состоянием состояния

Каждое правило должно включать инструкцию match-direction , которая указывает направление, в котором применяется совпадение правил. Чтобы настроить место, где применяется совпадение, включите match-direction утверждение на уровне [edit services stateful-firewall rule rule-name] иерархии:

Примечание:

ACX500 маршрутизаторы серии не поддерживают match-direction (output | input-output).

При настройке сессии match-direction input-output, инициируемые в обоих направлениях, могут соответствовать этому правилу.

Направление совпадения используется в отношении потока трафика через PIC AS или Multiservices. При отправлении пакета на PIC информация о направлении доносяся вместе с ней.

Если установлена служба интерфейса, направление пакета определяется путем ввода или выхода пакета из интерфейса, на котором применяется набор служб.

При наборе служб следующего перехода направление пакета определяется интерфейсом, используемым для маршрутки пакета в AS или PIC multiservices. Если для маршрутки пакета используется внутренний интерфейс, в него в качестве вводимых данных используется направление пакета. Если для направления пакета на PIC используется внешний интерфейс, то в качестве направления пакета используется выход. Дополнительные сведения о внешних и внешних интерфейсах см. в документе Настройка наборов служб, применяемых к интерфейсам служб.

На PIC выполняется просмотр потока. Если поток не найден, обработка правил выполняется. Правила в этом наборе служб рассматриваются последовательно до тех пор, пока не будет найдено совпадение. Во время обработки правила направление пакета сравнивается с направлениями правила. Рассматриваются только правила с информацией о направлении, которая соответствует направлению пакета. Большинство пакетов приводит к созданию двекуправленных потоков.

Настройка условий совпадения в правилах межсетевых экранов с настройками состояния

Для настройки условий совпадения межсетевых экранов с настройками необходимо from включить утверждение на [edit services stateful-firewall rule rule-name term term-name] уровне иерархии:

Примечание:

ACX500 не поддерживают приложения и наборы приложений на уровне иерархииedit services stateful-firewall rule rule-name term term-name from.

Адрес источника и адрес назначения могут быть IPv4 или IPv6.

В качестве условия совпадения можно использовать адрес источника или адрес назначения так же, как и настраивать фильтр брандмауэра; для получения дополнительной информации см. Руководство пользователя по политикам маршрутов, фильтрам межсетевых экранов и правилам управления трафиком. Можно использовать any-unicastподстановленные значения, которые обозначают совпадение всех однонастных адресов, any-ipv4что означает совпадение всех адресов IPv4 или any-ipv6, которые обозначают совпадение всех адресов IPv6.

Другой способ: prefix-list [edit policy-options] destination-prefix-list source-prefix-list можно указать список префиксов источника или назначения, настроив утверждение на уровне иерархии и включив в правило межсетевых экранов либо утверждение, либо утверждение. Пример можно посмотреть в примере: настройка правил межсетевых экранов с настройками.

Если этот термин не был принят from , межсетевой экран с управлением состоянием принимает весь трафик, а обработчики протоколов по умолчанию вступает в силу:

  • Протокол пользовательских датаграмм (UDP), протокол управления передачей (TCP) и протокол сообщений управления Интернет (ICMP) создают многонаправленный поток с предсказуемым обратным потоком.

  • IP создает однонаправленный поток.

Можно также включить определения протоколов [edit applications] приложений, настроенные на уровне иерархии; дополнительные сведения см. в " Настройка свойств приложений".

  • Для применения одного или более определенных определений протокола приложений необходимо включить applications утверждение на [edit services stateful-firewall rule rule-name term term-name from] уровне иерархии.

  • Чтобы применить один или несколько наборов определенных определений протокола приложений, application-sets включите утверждение на [edit services stateful-firewall rule rule-name term term-name from] уровне иерархии.

    Примечание:

    Если включить одно из правил, определяя протоколы приложений, [edit applications] маршрутизатор будет получать сведения о порте и протоколе из соответствующей конфигурации на уровне иерархии; эти свойства нельзя определить в качестве условий совпадения.

Настройка действий в правилах межсетевых экранов с настройками состояния

Для настройки действий с межсетевой экраном сконфигурировать утверждение then на [edit services stateful-firewall rule rule-name term term-name] уровне иерархии:

Необходимо включить одно из следующих действий:

  • accept— пакет принимается и отправляется по месту назначения.

  • accept skip-ids- Пакет принимается и отправляется по назначению, но служба обнаружения вторжений обработка правила, настроенного на MS-MPC, пропускается.

  • discard— пакет не принимается и не обрабатывается далее.

  • reject— пакет не принимается и возвращается сообщение об отказе; UDP отправляет недостижимый код ICMP, а TCP отправляет RST. Отклоненные пакеты можно регистрировать или выборку.

Примечание:

Маршрутизаторы ACX500 внутри помещений, не поддерживают это действие accept skip-ids.

Можно дополнительно настроить межсетевой syslog [edit services stateful-firewall rule rule-name term term-name then] экран для записи информации в средство регистрации системы, включив в нее утверждение на уровне иерархии. Данное утверждение переопределит все syslog параметры, включенные в конфигурацию набора служб или интерфейса по умолчанию.

Настройка обработки параметра IP

Можно дополнительно настроить межсетевой экран для проверки информации IP-загона allow-ip-options [edit services stateful-firewall rule rule-name term term-name then] , включив в нее утверждение на уровне иерархии. При настройке этого утверждения все пакеты, from которые соответствуют критериям, заданным в этом сообщении, подвергаются дополнительным критериям. Пакет принимается только тогда, когда все типы его IP-опций настроены в качестве значений в утверждение allow-ip-options . Если конфигурация не настроена allow-ip-options, принимаются только пакеты без параметров IP-загона.

Примечание:

ACX500 внутри помещений маршрутизаторы не поддерживают конфигурацию утверждения allow-ip-options .

Дополнительная проверка параметра IP-загона применяется только к действиям accept межсетевых reject экранов и действиям межсетевых экранов с состоянием состояния. Данная конфигурация не влияет на discard действие. В случае сбой проверки IP-заглавного кадра отклоненные кадры не отправляются; В этом случае действие reject имеет тот же результат, что и discard.

Если пакет параметра IP принимается межсетевой экраном с состоянием состояния, преобразование сетевых адресов (NAT) и служба обнаружения вторжений (служба обнаружения вторжений) применяются так же, как и для пакетов без заглавных ip-адресов. Конфигурация параметра IP отображается только в правилах межсетевых экранов с управлением состоянием; NAT пакетов с или без параметров IP.

Если пакет отброшен из-за неудачной проверки IP-параметра, это событие исключения генерирует как служба обнаружения вторжений событие, так и сообщения в системном журнале. Тип события зависит от первого отклоненного поля параметра IP.

В таблице 1 перечислены возможные значения для утвержденияallow-ip-options. Можно включить диапазон или набор числовых значений, а также одну или несколько предопределеных параметров IP-параметра. Можно ввести либо имя параметра, либо его цифровой эквивалент. Дополнительные сведения обратитесь к http://www.iana.org/assignments/ip-parameters.

Таблица 1. Значения параметра IP

IP Option Name

Цифровое значение

Комментарий

any

0

Любой IP-параметр

ip-security

130

ip-stream

136

loose-source-route

131

route-record

7

router-alert

148

strict-source-route

137

timestamp

68

Настройка наборов правил межсетевых экранов с настройками с настройками

Утверждение rule-set определяет набор правил межсетевых экранов с определенными состояниями, которые определяют действия, выполняемые программным обеспечением маршрутизатора на пакетах в потоке данных. Каждое правило определяется путем указания имени правила и настройки терминов. Затем необходимо указать порядок правил, rule-set [edit services stateful-firewall] включив в утверждение иерархии уровень с помощью rule утверждения для каждого правила:

Программное обеспечение маршрутизатора обрабатывает правила в порядке их указания в конфигурации. Если термин в правиле соответствует пакету, маршрутизатор выполняет соответствующее действие, и обработка правила прекращается. Если пакету не соответствует ни один термин в правиле, обработка продолжается до следующего правила из набора правил. Если ни одно из правил не соответствует пакету, по умолчанию пакет отброшен.

Примеры: настройка правил межсетевых экранов с настройками сконфигурировать состояние

В следующем примере конфигурация межсетевых экранов совмещая два правила: одно для совпадения ввода в указанном наборе приложений, а другое для совпадения выходных данных по указанному адресу источника:

В следующем примере имеется одно правило с двумя терминами. Первый термин отклоняет my-application-group весь трафик, который исходит от указанного адреса источника, и предоставляет подробную системную запись отклоненных пакетов в системный журнал. Второй термин принимает трафик протокола передачи гипертекста (HTTP) от любого адреса до указанного адреса назначения.

В следующем примере показано использование списков префиксов источника и назначения. Для этого требуются два отдельных пункта конфигурации.

Список префиксов настраивается на уровне [edit policy-options] иерархии:

Вы ссылались на настроенный список префиксов в правиле межсетевых экранов с настройками состояния:

Это эквивалентно следующей конфигурации:

Классификатор можно except использовать со списками префиксов, как в следующем примере. В этом случае классификатор except применяется ко всем префиксам, включенным в список префиксов p2.

Примеры конфигураций см. в дополнительных примерах, в которые сочетается конфигурация межсетевых экранов с другими службами и виртуальной частной сетью (VPN) таблиц маршрутов и переадреации (VRF).

Примечание:

Можно определить набор служб и назначить его либо в качестве интерфейса, либо в стиле следующего перехода.

Пример: BOOTP и широковещательные адреса

В следующем примере поддерживается протокол загрузки (BOOTP) и широковещательные адреса:

Пример: Настройка служб уровня 3 и пакет SDK на двух РС

Можно настроить пакет служб уровня 3 и службы, пакет SDK на двух РС. В данном примере необходимо настроить FTP-клиент или HTTP-клиент и сервер. В данной конфигурации клиентская сторона интерфейса маршрутизатора - ge-1/2/2.1, а сторона сервера интерфейса маршрутизатора - ge-1/1/0.48. Эта конфигурация включает преобразование сетевых адресов (NAT) с брандмауэром (SFW) на uKernel PIC и идентификации приложений (APPID), список доступа, осведомленный о приложениях (AACL), а также обнаружение и предотвращение вторжений (IDP) на Services пакет SDK PIC для FTP или HTTP-трафика.

Примечание:

Службы пакет SDK пока не поддерживают NAT службы. Если NAT необходим, можно настроить пакет служб уровня 3 для развертывания NAT вместе со службами пакет SDK, такими как APPID, AACL или IDP.

Примечание:

Функциональность IDP неподтевлена для серия MX для Junos OS версии 17.1R1 и выше.

Развертывание пакета обслуживания 3-го уровня и пакет SDK на двух РС:

  1. В режиме конфигурации перейдите на следующий уровень иерархии:
  2. На уровне иерархии настройте условия для правила брандмауэра r1 с состоянием состояния.

    В данном примере термин stateful-межсетевой экран – ALLOWED-SERVICES. Заблокировать имена приложений — junos-ftp, junos-http и junos-icmp-ping — в квадратных скобках для application-name.

  3. Настройте условия для правила брандмауэра r2 с состоянием состояния.

    В данном примере термин межсетевой экран с состоянием состояния — term1.

  4. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  5. Перейдите на следующий уровень иерархии:
  6. На уровне иерархии настройте NAT пул.

    В данном примере пул NAT OUTBOUND-SERVICES, а IP-адресом является 10.48.0.2/32.

  7. Настройте NAT.

    В данном примере правилом NAT SET-MSR-ADDR, NAT термин TRANSLATE-SOURCE-ADDR, а пулом источников является OUTBOUND-SERVICES. Заблокировать имена приложений — junos-ftp, junos-http и junos-icmp-ping — в скобки для application-name.

  8. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  9. Перейдите на следующий уровень иерархии:
    Примечание:

    Для [edit security idp] утверждения [edit security idp] серия MX для Junos OS версии 17.1R1 и выше.

  10. На уровне иерархии настройте политику IDP настройке.

    В данном примере политика IDP - test1, правилом является r1, предопределенной атакой является FTP:USER:ROOT, а предопределена группа атак "Recommended Attacks".

  11. Настройте параметры трассировки для IDP служб.

    В этом примере имя файла журнала – idp-demo.log.

  12. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  13. Перейдите на следующий уровень иерархии:
  14. На уровне иерархии настройте правила AACL.

    В данном примере правило AACL известно приложениям , а термин t1.

  15. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  16. Перейдите на следующий уровень иерархии:
  17. Настройка профиля APPID.

    В данном примере профиль APPID является фикаметри-профилем.

  18. Настройте профиль IDP конфигурации.

    В этом примере профиль IDP test1.

  19. Настройте профиль статистики принятия решений политики.

    В данном примере профилем статистики принятия решений политик является lpdf-stats.

  20. Настройка правил AACL.

    В данном примере имя правила AACL хорошо знать приложения.

  21. Настройте два правила брандмауэра с настройками сконфигурировать состояние.

    В данном примере первым правилом является r1 , а вторым правилом является r2.

  22. На уровне иерархии настройте службу, настроенную для обхода трафика при сбое PIC службы.
  23. Настройте параметры набора услуг, специфические для интерфейса.

    В данном примере интерфейс служб - ms-0/1/0.

  24. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  25. Перейдите на следующий уровень иерархии:
  26. На уровне иерархии настройте дополнительные параметры уведомления для интерфейса служб. Обратите внимание, что это необходимо только для отладки.

    В этом примере хост, который нужно уведомить, является локальным.

  27. Настройте два правила брандмауэра с настройками сконфигурировать состояние.

    В данном примере первым правилом является r1 , а вторым правилом является r2.

  28. Настройте NAT правил.

    В данном примере NAT правило SET-MSR-ADDR.

  29. Настройте параметры набора услуг, специфические для интерфейса.

    В этом примере интерфейс служб — sp-3/1/0.

  30. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  31. Перейдите на следующий уровень иерархии:
  32. На уровне иерархии настройте интерфейс.

    В данном примере интерфейсом является ge-1/2/2.1.

  33. Перейдите на следующий уровень иерархии:
  34. На уровне иерархии настройте набор служб для полученных пакетов.

    В данном примере набором входных служб является App-Aware-Set.

  35. Настройте набор служб для передаваемых пакетов.

    В данном примере набором выходных служб является App-Aware-Set.

  36. Перейдите на следующий уровень иерархии:
  37. На уровне иерархии настройте адрес интерфейса.

    В данном примере адрес интерфейса - 10.10.9.10/30.

  38. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  39. Перейдите на следующий уровень иерархии:
  40. На уровне иерархии настройте интерфейс.

    В данном примере интерфейсом является ge-1/1/0.48.

  41. Перейдите на следующий уровень иерархии:
  42. На уровне иерархии настройте набор служб для полученных пакетов.

    В данном примере набор служб настроен NAT SFW-SET.

  43. Настройте набор служб для передаваемых пакетов.

    В данном примере набор служб настроен NAT SFW-SET.

  44. Перейдите на следующий уровень иерархии:
  45. Настройте адрес интерфейса.

    В данном примере адрес интерфейса - 10.48.0.1/31.

  46. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  47. Перейдите на следующий уровень иерархии:
  48. На уровне иерархии настройте интерфейс.

    В данном примере интерфейсом является ms-0/1/0.0.

  49. Перейдите на следующий уровень иерархии:
  50. На уровне иерархии настройте семейство протоколов.
  51. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  52. Перейдите на следующий уровень иерархии:
  53. На уровне иерархии настройте интерфейс.

    В данном примере интерфейсом является sp-3/1/0.0.

  54. Перейдите на следующий уровень иерархии:
  55. На уровне иерархии настройте дополнительные параметры уведомления для интерфейса служб. Обратите внимание, что это необходимо только для отладки.

    В этом примере хост, который нужно уведомить, является локальным.

  56. Перейдите на следующий уровень иерархии:
  57. На уровне иерархии настройте семейство протоколов.
  58. Перейдите на следующий уровень иерархии и проверьте конфигурацию:
  59. Перейдите на следующий уровень иерархии:
  60. Настройте параметры избыточности на уровне иерархии.
  61. Настройте FPC и PIC.

    В этом примере FPC находится в слоте 0, а PIC - в слоте 1.

  62. Настройте количество ядер, выделенных для запуска функции управления.

    В данном примере количество ядер управления – 1.

  63. Настройте количество ядер обработки данных.

    В данном примере количество ядер данных – 7.

  64. Настройте размер кэша объекта в мегабайтах. Допускаются только значения с приращениями по 128 Мб, а максимальное значение кэша объекта может быть 1280 МБ. В MS-100 значение составляет 512 МБ.

    В данном примере размер кэша объекта составляет 1280 Мбайт.

  65. Настройте размер базы данных политик в мегабайтах.

    В данном примере размер базы данных политик составляет 64 МБ.

  66. Настройте пакеты.

    В данном примере первый пакет — jservices-appid, второй — jservices-aacl, третий пакет — jservices-llpdf, четвертый пакет — jservices-idp, а четвертый пакет — jservices-sfw. jservices-sfw доступен только в Junos OS версии 10.1 и более поздних версий.

  67. Настройте сетевые IP-службы.
  68. Перейдите на следующий уровень иерархии и проверьте конфигурацию:

Пример: Виртуальная маршрутная маршрутация и переадреация (VRF) и конфигурация службы

В следующем примере сочетается виртуальная маршрутная и переадреация (VRF) и конфигурация служб:

Таблица истории релизов
Выпуска
Описание
17.1R1
Функциональность IDP неподтевлена для серия MX для Junos OS версии 17.1R1 и выше.
17.1R1
Для [edit security idp] утверждения [edit security idp] серия MX для Junos OS версии 17.1R1 и выше.
17.1
accept skip-ids — пакет принимается и отправляется по назначению, но обработка служба обнаружения вторжений, настраиваемая на MS-MPC, пропускается.
14.2
Начиная с Junos OS 14.2 интерфейсные карты MS-MPC и MS-MIC поддерживают трафик IPv6 для Junos Network Secure межсетевого экрана с поддержкой состояния.