ip-action (Security IDP Rulebase IPS)
语法
ip-action {
(ip-block | ip-close | ip-notify | ip-connection-rate-limit);
log;
log-create;
refresh-timeout;
target (destination-address (Security IDP Policy) | service | source-address | source-zone | source-zone-address | zone-service);
timeout seconds;
}
层次结构级别
[edit security idp idp-policy policy-name rulebase-ips rule rule-name then]
描述
指定您希望 IDP 对使用相同 IP 地址的未来连接执行的操作。
选项
| ip-block | 阻止与 IP 操作匹配的任何会话的未来连接。如果存在与多个规则匹配的 IP 操作,则应用所有匹配规则中最严重的 IP 操作。最高 IP 操作优先级(即最严重的操作)是“丢弃/阻止”,然后是“关闭”,然后是“通知”。 |
| ip-close | 通过向客户端和服务器发送 RST 数据包,关闭与 IP 操作匹配的任何新会话的未来连接。 |
| ip-notify | 不要对将来的流量执行任何操作,但要记录事件。 |
| ip-connection-rate-limit | 在规则库 DDoS 规则中进行匹配时,可以将操作设置为 then ip-connection-rate-limit,这将根据您设置的每秒连接数限制来限制未来连接的速率。这可用于减少来自客户端的攻击次数。
|
| log | 针对与规则匹配的流量记录有关 IP 操作的信息。 |
| log-create | 在安装 IP 操作过滤器时生成日志事件。 |
| refresh-timeout | 刷新 ip 操作超时,以便在将来的连接与已安装的 ip 操作筛选器匹配时它不会过期。 |
| target | 指定要设置为阻止将来连接的阻止选项。阻止选项可以基于攻击流量的以下匹配项:
|
| timeout | 指定您希望 IP 操作在流量匹配后保持有效的秒数。
|
所需权限级别
安全性 - 在配置中查看此语句。
安全控制 — 将此语句添加到配置中。
发布信息
Junos OS 9.2 版中引入的语句。
选项 log-create 和 refresh-timeout,并在 ip-connection-rate-limit Junos OS 10.2 版中引入。
对于 ICMP 流,目标端口为 0;因此,任何与源端口、源地址和目标地址匹配的 ICMP 流都将被阻止。