防火墙开启IPS、AV功能

就优化安全策略按需调用呗

最好建议评估业务详情更换合适的产品来彻底解决哦

选在重要的安全策略里调用

但

还是建议

更换性能更好的防火墙，

对你好，他好，都好

 1. 限制IPS/AV调用范围（关键方案）

   使用命令行创建独立App-Profile 

     通过命令行创建独立的app-profile，仅对需要防护的关键策略调用IPS/AV，其他策略不启用：

      创建启用IPS/AV的profile

     app-profile ips_av_policy

      ips apply policy default mode protect   调用IPS策略

      anti-virus apply policy default mode protect   调用AV策略

      仅对特定安全策略调用该profile（示例：策略ID 100）

     security-policy ip

      rule 100 name critical_traffic

        action pass

        profile ips_av_policy   仅此策略启用IPS/AV

     作用：避免全局启用IPS/AV，减少非关键流量的内存占用。

   避免Web与命令行混配 

     重要：若通过命令行配置，则后续维护需统一使用命令行操作。Web界面自动生成app-profile的逻辑可能导致配置冲突（如误删其他策略配置）。

 2. 减少内存占用的通用措施

   开启DPI Bypass功能 

     当内存超过阈值时自动关闭深度检测：

     inspect bypass   全局启用DPI Bypass

     效果：内存低于阈值时IPS/AV生效；超出阈值时自动降级为纯转发模式，保障基础转发性能。

   限制会话数与隧道数 

     根据业务需求调整资源上限：

     session max 5000      限制最大会话数

     ipsec limit max-tunnel 200   限制IPsec隧道数（如适用）

   精简特征库 

     仅加载必要的漏洞特征库，并关闭非必需检测模块：

     ips policy default

      exclude-signature-id 1001,1002   排除非关键特征ID

   关闭非核心功能 

     如无必要，停用以下高内存消耗模块：

     undo ips whitelist enable   关闭IPS白名单

     undo url-filter enable      关闭URL过滤

 3. 监控与应急处理

   调整内存告警阈值 

     提前触发Bypass机制：

     monitor memory-threshold minor 40 severe 30 critical 15   设置内存阈值（%）

   定期清理诊断文件 

     删除历史数据释放空间：

     reset diagnostic-information file   清理诊断文件

注意事项

2G内存设备限制：官方明确不建议在1G/2G内存设备启用IPS/AV等深度检测功能（如SecPath F100-C80/F1000-AK110）。若业务强依赖IPS/AV，需升级硬件。

配置一致性：严禁混合使用Web界面和命令行操作同一功能（如IPS/AV），否则可能导致配置异常扩散（如批量删除策略）。

特征库影响：升级后的特征库会占用更多内存，需定期评估资源余量。

 若上述优化后内存仍持续增长，请收集以下信息并联系技术支持： 

 display memory、display process memory、display system internal kernel memory pool

总结：通过创建独立的app-profile并仅绑定到必要安全策略，可有效限制IPS/AV的生效范围，最大程度节省内存，同时结合通用优化措施（如会话限制、Bypass功能）进一步保障系统稳定。

只做Untrust到trust的调用，关闭日志收集，什么防火墙和版本