SRX TCP参数的解释
一、 基本信息
文档名称 客户 受理工程师 SRX TCP参数的解释 联系电话 联系电话 Case ID 问题受理开始时间
二、描述
描述 1) TCP-MSS MSS: Maxitum Segment Size 最大分段大小, SRX设备默认设置为1460 命令: lab@srx-240-1# set security flow tcp-mss all-tcp mss ? Possible completions: 2)TCP-session TCP-session主要针对TCP会话的一些检查,改动此参数可能会对业务产生影响。 lab@srx-240-1# set security flow tcp-session ? Possible completions: + apply-groups Groups from which to inherit configuration data + apply-groups-except Don't inherit configuration data from these groups no-sequence-check Disable sequence-number checking no-syn-check Disable creation-time SYN-flag check no-syn-check-in-tunnel Disable creation-time SYN-flag check for tunnel packets rst-invalidate-session Immediately end session on receipt of reset (RST) segment rst-sequence-check Check sequence number in reset (RST) segment strict-syn-check Enable strict syn check tcp-initial-timeout Timeout for TCP session when initialization fails no-sequence-check 此参数作用:当数据包经过防火墙时不检查TCP 的sequence number检查。默认TCP SEQ检查是开启的 no-syn-check 此参数作用:当数据包经过防火墙时不检查TCP 的sequence number检查。当启用了 SYN 标志检查的安全设备接收到不属于现有会话的不含 SYN 标志的 TCP片段时,它将丢弃相应的封包并向源主机发送 TCP RST。默认TCP SYN检查是开启的。 no-syn-check-in-tunnel 此参数作用:对于tunnel传输的数据,不进行TCP syn的检查。默认 TCP SYN in tunnel检查是开启的。 rst-invalidate-session 此参数作用:当防火墙收到一个会话的reset包,就会将此session终止。默认此功能是禁用的。 rst-sequence-check 此参数作用:当防火墙收到一个会话的reset包,检查TCP sequence number,防止黑客模拟reset包终止会话,默认此功能是禁止的。 strict-syn-check 此参数作用:要求建立TCP会话严格要求三次握手,在三次握手前,丢弃一切该会话的数据传输报文,默认此功能是禁止的。 tcp-initial-timeout 此参数作用:定义一个会话在初始化失败前的timeout时间。默认20秒。 三、遗留问题或其他 遗留问题 第2页共2页 因篇幅问题不能全部显示,请点此查看更多更全内容