ip inspect max-incomplete high

Команда ip  inspect  max  incomplete-high является командой управления состоянием сеансов в системе CBAC. Данная команда указывает максимальное количество одновременно существующих полуоткрытых сеансов, при достижении которого S-Terra Gate начинает их удалять.

Команда с префиксом no устанавливает значение по умолчанию.

 

Синтаксис                     ip inspect max-incomplete high number 

                                      no ip inspect max-incomplete high

number             количество одновременно существующих полуоткрытых сеансов. Диапазон значений 1 – 1000000.

 

Значение по умолчанию                    500 одновременно существующих полуоткрытых сеансов.

 

Режимы команды                               Global configuration.

 

Рекомендации по использованию

Большое количество полуоткрытых сеансов (запросов соединения, оставшихся без ответов) может означать атаку блокирования сервиса или опрос портов внешним наблюдателем. Для TCP полуоткрытый сеанс означает, что он не успел перейти в установленное состояние.

Система CBAC подсчитывает общее количество полуоткрытых сеансов TCP и FTP. Когда количество полуоткрытых сеансов превысит число number, установленное командой ip  inspect  max-incomplete  high, система CBAC удаляет один полуоткрытый сеанс, как только появляется новый запрос на соединение. Удаление происходит до тех пор, пока число полуоткрытых сеансов не станет меньше значения, заданного командой ip  inspect  max-incomplete  low.

Если в команде ip  inspect  max-incomplete  high указать значение number меньше, чем значение number, установленное в команде ip  inspect  max-incomplete  low, то команда не выполняется и выводится сообщение об ошибке: %New  high  threshold <high> cannot  be  smaller  than  low  threshold <low>.

Если ввести команду no  ip  inspect  max-incomplete  high, устанавливающую значение по умолчанию 500, но в тоже время в команде ip  inspect  max-incomplete  low значение number больше 500, то в этом случае последняя команда задает новое значение ip  inspect  max-incomplete  low 500.

 

Пример

Заданы команды:

ip inspect max-incomplete low 600

ip inspect max-incomplete high 900

После ввода команды no ip inspect max-incomplete high будет установлено:

ip inspect max-incomplete low 500.