高级设置
设备 > 高级设置页面是为高级管理员或Check Point支持 。你可以为各种刀片的多个高级设置配置值。
|
重要提示- 在没有完全理解的情况下改变这些高级设置,可能会对本设备的稳定性、安全性和性能产生危害。只有当你确定你理解了所需的变化时才继续。 |
关于属性的进一步信息,必要时请咨询Check Point支持 。
要过滤属性列表:
-
在要过滤的类型字段中输入文本。
搜索结果会在你输入时动态显示。
-
要取消过滤,请点击搜索字符串旁边的X。
要配置设备属性:
-
选择一个属性。
-
点击编辑.
属性窗口打开。
-
配置设置,或单击 "恢复默认"将属性重置为默认设置。关于这些属性的更多信息,请参见下一节。
-
点击应用.
将所有设备属性重置为默认设置:
-
从"高级设置"窗口,点击 "恢复默认值"。
打开 "确认"窗口。
-
点击是.
所有设备属性都被重置为默认设置。
管理员锁定属性 |
描述 |
---|---|
管理员锁定 - 移动应用程序会话超时 |
自动注销执行前允许的移动应用会话(天数)。 默认为30。 |
管理员RADIUS认证属性 |
描述 |
---|---|
本地认证(RADIUS服务器) |
只有在没有配置RADIUS服务器或无法访问的情况下才执行本地管理员认证。 |
侵略性老龄化属性 |
描述 |
---|---|
多个参数 |
主动老化有助于管理连接表容量和防火墙的内存消耗,以提高耐用性和稳定性。 侵略性老化引入了一套新的短暂停,称为侵略性暂停。当一个连接的空闲时间超过其积极的超时时间时,它被标记为 "符合删除条件"。当连接表或内存消耗达到用户定义的阈值时,"主动老化 "开始删除 "符合删除条件 "的连接,直到内存消耗或连接容量下降到所需水平。 积极的老化允许网关机器处理大量的意外流量,特别是在拒绝服务攻击期间。 如果超过了定义的阈值,每个传入的连接会触发从 "符合删除条件 "的列表中删除十个连接。每一个新的连接都会另外删除十个连接,直到内存消耗或连接容量低于执行限制。如果没有 "符合删除条件 "的连接,当时就不会删除任何连接,但在随后每个超过阈值的连接之后,都会检查该列表。 超时设置是内存消耗配置的一个关键因素。当超时值较低时,连接会更快地从表中删除,使防火墙能够同时处理更多连接。当内存消耗超过其阈值时,最好用较短的超时来工作,这样可以保持绝大部分流量的连接。 主动老化的主要好处是,它在机器仍有可用内存且连接表未完全满的情况下开始运行。这样一来,就减少了在低资源条件下可能出现的连接问题的机会。 |
|
要配置 "主动老化":
要配置何时执行 "主动老化 "的超时:
|
反ARP欺骗的属性 |
描述 |
---|---|
反ARP欺骗模式 |
用于反ARP欺骗保护的模式。保护可以关闭、开启或仅在检测 |
指示攻击的检测窗口时间 |
分配给同一MAC地址的IP地址显示ARP欺骗攻击的时间段(以秒计)。 |
表示攻击的IP地址的数量 |
在检测窗口时间内,分配给同一MAC地址的IP地址的数量,这将表明有ARP欺骗攻击。 |
可疑的MAC阻断期 |
可疑的MAC地址被保留在拦截列表中的时间段(以秒为单位)。 |
垃圾邮件防护策略属性 |
描述 |
---|---|
所有邮件追踪 |
对不被认为是垃圾邮件或疑似垃圾邮件的邮件进行跟踪选择。追踪此类邮件会对性能产生影响。 |
允许的邮件跟踪 |
威胁预防> 垃圾邮件防护例外页面中手动允许的电子邮件的跟踪选项。 |
基于内容的垃圾邮件防护超时 |
表示在基于内容的垃圾邮件防护检查期间,等待云端答复的超时(秒)。 |
电子邮件大小的扫描 |
表示要扫描的电子邮件内容的最大尺寸(KB)。 |
IP信誉失败开放 |
表示在垃圾邮件防护IP信誉测试中出现内部错误时采取的行动。 |
IP信誉超时 |
表示等待IP信誉测试结果的超时时间(秒)。 |
扫描发出的电子邮件 |
扫描从本地网络发往互联网的电子邮件内容。 |
透明的代理 |
使用一个透明的代理来检查电子邮件连接。当禁用时,需要在客户机上配置代理地址和端口。 |
反诈骗属性 |
描述 |
---|---|
启用全局反欺骗功能 |
表示是否在所有接口上根据其区域自动启用反欺骗功能。 |
应用和URL过滤属性 |
描述 |
---|---|
当服务不可用时进行阻止 |
指示当Check Point分类和小组件定义在线网络服务不可用时,网络请求是否被阻止。 |
对缓存和转换的页面进行分类 |
表示是否要对搜索引擎创建的缓存页面和转换页面进行URL分类。 |
通过HTTPS的自定义应用程序 |
表示自定义URL和应用程序是否将通过HTTPS流量使用SNI字段进行匹配。重要提示:由于HTTPS流量中的SNI字段与浏览器有关,而且是杂乱无章的,因此不能保证100%匹配: |
强制执行安全搜索 |
表示URL过滤 |
失败模式 |
表示在内部系统错误或过载的情况下对流量采取的行动。 |
追踪浏览时间 |
在日志中显示用户在一个HTTP会话中连接到不同网站和应用程序的总时间 |
使用HTTP引用者头 |
指示HTTP "referrer "头(最初是referrer的拼写错误)是否被检查引擎用来改进应用识别。 |
网站分类模式 |
表示用于网站分类的模式: 背景- 在分类完成之前,允许应用。当一个请求不能用缓存的响应进行分类时,会收到一个未分类的响应。允许进入该地。在后台,Check Point在线网络服务继续进行分类程序。然后,响应被缓存在本地以备将来的请求(默认)。这个选项可以减少分类程序的延迟。 搁置- 请求被阻止,直到完成分类。 当一个请求不能用缓存响应进行分类时,它仍然被阻止,直到Check Point在线网络服务完成分类。 |
能力优化属性 |
描述 |
---|---|
连接哈希表的大小 |
表示连接哈希表的大小,字节数。 这个值必须是一个整数,是2的指数幂,大约是最大并发连接参数的4倍。 |
最大并发连接数 |
表示总的最大并发连接数。 |
云服务固件升级属性 |
描述 |
---|---|
服务访问最大重试次数 |
表示使用该服务升级失败时的最大重试次数。 |
服务访问超时,直到重试 |
表示当服务出现连接失败时,在下一次重试之前的等待时间(秒)。 |
集群属性 |
描述 |
---|---|
同步性 |
表示是否启用了同步机制。 将标志从 默认情况下: |
使用虚拟MAC |
表示一个虚拟MAC地址是否被所有成员使用,以使网络的交换机能更快地进行故障切换。 使用虚拟MAC地址:
|
DDNS属性 |
描述 |
---|---|
迭代 |
DNS更新的数量。 |
DHCP新娘属性 |
描述 |
---|---|
MAC分配 |
表示 DHCP 网桥的 MAC 地址是取自内部(LAN)还是外部端口(WAN、DMZ)。 |
DHCP Relay属性 |
描述 |
---|---|
使用内部IP地址作为来源 |
如果来自设备的 DHCP 中继数据包来自内部 IP 地址,选择使用内部 IP 地址作为源。如果DHCP服务器位于一个远程VPN站点的后面,可能需要这样做。 |
DSL全局属性 |
描述 |
---|---|
DSL globals - VDSL2 |
支持ITU G.993.2 VDSL2。 |
DSL globals - ADSL Dmt (G.992.1) |
支持ITU G.992.1 ADSL(G.dmt)。 |
DSL全球通用 - ADSL lite (G.992.2) |
支持ITU G.992.2 ADSL Lite(G.lite)。 |
DSL globals - ADSL2 (G.992.2) |
支持ITU G.992.3 ADSL2。 |
DSL globals - ADSL2+ (G.992.5) |
支持ITU G.992.5 Annex M ADSL2+M。 |
DSL globals - T1.413 |
支持ANSI T1.413-1998第二版ADSL。 |
DSL球状物 - 附件J/M |
在一个附件A的设备中:与支持的ADSL2+相结合,它规定了附件M ADSL2+。在一个附件B的设备中:与支持的ADSL2相结合,它规定了附件J ADSL2。 |
DSL球状物 - 附件L |
在一个附件A的设备中:结合启用的ADSL2(G.992.3)规定了对附件L的支持。 |
DSL球状物 - 8a |
支持VDSL配置文件8a。 |
DSL球状物 - 8b |
支持VDSL配置文件8b。 |
DSL球状物 - 8c |
支持VDSL配置文件8c。 |
DSL球状物 - 8d |
支持VDSL配置文件8d。 |
DSL球状物 - 12a |
支持VDSL配置文件12a。 |
DSL球状物 - 12b |
支持VDSL配置文件12b。 |
DSL球状物 - 17a |
支持VDSL配置文件17a。 |
DSL全局 - 无缝速率适应(SRA)。 |
启用无缝速率适应。 |
DSL球状物 - G.INP |
增强的脉冲噪声保护。 |
DSL globals - US0 |
启用VDSL中第一个上行频段的使用。 |
|
注意- 当所有ADSL标准在高级设置中被关闭,只能使用VDSL2标准进行连接时,即使不用于打开互联网连接,VPI、VCI和封装选项仍然出现。 |
防火墙策略属性 |
描述 |
---|---|
拦截的数据包行动 |
对被拦截的数据包采取行动:丢弃、拒绝或自动(从外部丢弃和从内部拒绝)。 |
为符合隐含规则的连接产生日志记录。 |
一般临时目录大小属性 |
描述 |
---|---|
一般临时目录大小 |
控制一般临时目录的大小(单位:MB)。 |
系统临时目录大小 |
控制系统使用的临时目录的大小(单位:MB)。 |
硬件选项属性 |
描述 |
---|---|
重置为出厂默认值超时 |
你需要按住设备背板上的出厂默认按钮来恢复到出厂默认镜像的时间(以秒计)。 |
热点属性 |
描述 |
---|---|
启用门户网站 |
选择 "已禁用"以完全禁用热点 |
防止同时登录 |
同一用户将不被允许从一台以上的机器上同时通过热点门户登录。 |
IP碎片参数属性 |
描述 |
---|---|
多个参数 |
这些参数让你配置设备如何处理IP片段。 它可以阻止碎片化的IP数据包,或者在达到配置的阈值时放弃碎片。 选择其中一个选项:
|
IP解析属性 |
描述 |
---|---|
IP解析 - IP解析的激活 |
启用/禁用IP解析日志的丰富性。 |
IP解析 - IP解析TTL |
使用主机名解析的时间(以秒为单位)。 默认为3600。 |
IPS附加参数属性 |
描述 |
---|---|
最大ping限制 |
表示当 "最大Ping大小 "保护激活时,允许的最大Ping数据包大小。 |
非标准的HTTP端口 |
启用IPS刀片的非标准端口的HTTP检查。 |
IPS引擎设置属性 |
描述 |
---|---|
允许协议未知的命令 |
通常情况下,IPS引擎会阻止它不能识别的协议(如POP3,IMAP,...)命令。 当高级设置为 " |
适用过滤器 |
过滤IPS保护以提高性能。 类型:布尔型 默认值:true |
为支持的网络保护配置错误页面选项--多个参数 |
一些基于网络的保护措施在检测时可以显示一个错误页面。这个错误页面是可配置的。 支持错误页面的保护措施:
选择适用于所有此类保护的选项之一:
|
HTML错误页面配置--多个参数 |
这些设置允许你配置一个预定义的HTML错误页面,当错误页面高级设置被设置为显示预定义的HTML错误页面时,就会看到这个页面。选择其中一个选项:
|
内部证书设置属性 |
描述 |
---|---|
配置内部CA证书的到期时间 |
内部CA证书的有效年限。这在下次重新初始化证书时适用。 |
互联网属性 |
描述 |
---|---|
在LSI上重置Sierra USB的错误 |
指示Sierra型USB调制解调器在发送无效的LSI信号时是否会被重置 |
路径MTU发现模式 |
从这些选项中选择:
|
互联网连接类型 |
描述 |
---|---|
IPv4 over IPv6 (IPIP) |
表示是否启用了IPv4 over IPv6(IPIP)互联网连接。 默认值:false |
物联网统计数据属性 |
描述 |
---|---|
物联网统计数据的激活 |
启用/禁用物联网收集统计数据。 默认情况下:已启用 |
MAC过滤属性 |
描述 |
---|---|
MAC过滤状态 |
MAC过滤状态 |
记录被拦截的MAC地址 |
表示是否应记录被拦截的MAC地址。 |
悬浮日志 |
表示管理员是否可以从删除的安全管理服务器 |
管理服务属性 |
描述 |
---|---|
允许管理员从远程管理服务器 |
表示管理员是否可以从远程安全管理服务器访问设备,而不需要输入管理员的用户名和密码。 |
在登录中显示设备信息 |
指示当管理员访问设备时是否显示设备的详细信息。 |
移动设置属性 |
描述 |
---|---|
移动设置 - 通知 |
用于发送移动通知的云服务器URL。 |
移动设置 - 配对码过期 |
直到配对代码过期的时间(小时)。 类型:整数 |
移动设置--验证SSL证书 |
在向云服务器发送移动通知时验证SSL证书 |
多个ISP路由刷新属性 |
描述 |
---|---|
多家ISP路线刷新模式 |
指示加速是否会在多个ISP配置中刷新路由。 |
NAT属性 |
描述 |
---|---|
ARP手动文件合并 |
表示在启用自动ARP检测时,使用本地文件中的ARP定义,其优先级更高。对于手动静态NAT规则,需要手动代理ARP配置。如果在local.arp文件中定义了手动ARP配置,并且启用了自动ARP配置,那么这两个定义都会被保留。如果定义之间有冲突(相同的NAT IP地址出现在两者中),那么就使用手动配置。 |
多个参数 - IP池NAT |
IP池是一个可路由到网关的IP地址范围(地址范围、网络或这些对象中的一个组)。当一个连接被打开到一个服务器时,网关将从IP池中的一个IP地址替换为源IP地址。来自服务器的回复数据包返回到网关,网关恢复原来的源IP地址并将数据包转发到源。 当使用IP池NAT时,选择一个现有的IP地址范围对象。它必须事先在用户和对象 > 网络对象页面中定义。IP池NAT机制从这个范围分配IP地址。
|
自动ARP检测 |
当本地网络中的内部设备使用静态NAT定义时,设备必须确保发送到静态NAT IP地址的数据包能够到达它。这个选项使设备能够自动响应对这些IP地址的ARP请求。 |
提高隐藏能力 |
表示是否给予隐藏NAT容量的额外空间。 |
启用NAT |
表示设备的NAT功能是否被启用。 |
NAT 缓存过期 |
表示NAT缓存条目的过期时间(分钟)。 |
NAT缓存的条目数 |
表示NAT缓存条目的最大数量。 |
NAT哈希值大小 |
表示NAT表的哈希桶大小。 |
NAT限制 |
表示使用NAT的最大连接数。 |
进行集群隐藏折叠 |
指示本地IP地址是否在适用时隐藏在集群IP地址后面,而不是隐藏在每个集群成员 |
在客户端转换目的地 |
在客户端转换目标IP地址(用于自动生成的NAT规则)。 |
在客户端转换目的地(手动规则)。 |
在客户端转换目标IP地址(用于手动配置的NAT规则)。 |
通知策略属性 |
描述 |
---|---|
通知语言 |
通知语言 |
通知策略 - 发送推送通知 |
表示是否向移动应用程序发送通知。 |
通知策略 - 每小时发送通知的最大数量 |
每小时发送至移动设备的最大通知数量。 |
操作系统的属性 |
描述 |
---|---|
操作系统--操作系统 |
tmpDirSize |
操作系统 - 系统临时目录大小 |
控制系统使用的临时目录的大小(单位:MB)。 |
操作系统高级设置属性 |
描述 |
---|---|
IPv6前缀选择模式 |
在动态IPv6互联网连接中设置IPv6前缀选择模式。选择具有最高优先权的IPv6前缀。如果有一个以上具有相同偏好的前缀,请根据这些选项进行选择:
|
蜂窝退避算法模式 |
设置蜂窝退订算法模式(自动、强制禁用或强制启用)。当处于自动模式时,退订算法只对罗杰斯手机运营商起作用。 |
禁用从WAN到LAN的DHCP选项传输 |
指定是否禁用从WAN到LAN的DHCP选项的传输。 类型:布尔型 默认值:false |
在局域网上启用广域网 |
指定LAN-on-WAN功能是否开启 类型: Boolean 默认值:false: |
启用WiFi监控器 |
指定WiFi监视器是否开启。 类型: Boolean 默认值: false |
启用自动改变WiFi频道 |
指定WiFi是否在运行期间自动切换频道。 类型: Boolean 默认值:false |
启用PPPoE的目的地检查 |
指定是否启用PPP0E目的地检查。 类型: Boolean 默认值:false |
启用网络交换机的流量控制 |
表示网络交换机是否启用了流控功能。 类型: Boolean 默认值: false |
强制蜂窝模块使用4G网络 |
当禁用时,调制解调器正在使用所有可用的频段。当启用时,调制解调器只使用4G频段。 类型: Boolean 默认值:false |
隐私设置属性 |
描述 |
---|---|
通过发送数据帮助Check Point改进其产品 |
客户同意 |
定位服务需要将你的IP地址发送给第三方 |
使用自动时区功能需要将你的位置发送给第三方。 |
QoS刀片属性 |
描述 |
---|---|
伐木 |
指示设备在启用 QoS 刀片时是否记录 QoS 事件。 |
Reach My Device属性 |
描述 |
---|---|
忽略SSL证书 |
指示在运行访问服务时是否应忽略SSL证书。 |
服务器地址 |
表示远程服务器的地址,即使在NAT后面,也允许从互联网对设备进行管理访问。 |
报告设置属性 |
描述 |
---|---|
报告设置 - 最大周期 |
收集和监测数据的最长期限。你必须重新启动设备以应用变化。 |
报告设置 - 报告云服务器URL |
报告云服务器的URL,用于生成报告的PDF。 |
其他API属性 |
描述 |
---|---|
Rest API模式 |
表明REST API是否启用。 |
串行端口属性 |
描述 |
---|---|
多个参数 |
通过串口参数,你可以配置设备后面板上的控制台端口。 如果有必要,你可以完全禁用它(清除启用串口复选框)并配置端口速度和流量控制设置。注意,这些设置必须与连接到控制台端口的设备的配置相匹配。 使用该端口有三种工作模式:
要配置允许任何来源的流量到这个端口的隐含规则,请确保选择隐含允许流量到这个端口。如果你不创建隐含规则,你必须在防火墙规则库中手动定义一个访问规则。 两台设备,一台是主动模式,另一台是被动模式,可以让客户端通过互联网使用telnet连接,远程连接到与被动模式的设备相连的控制台。 |
Smart Accel服务属性 |
描述 |
---|---|
启用安全日志 |
表示是否启用了Smart Accel安全日志)。 |
Smart Accel设置属性 |
描述 |
---|---|
只有Accel信任的HTTPS域名 |
表示是否只对受信任的HTTPS域进行加注。 |
忽略错误 |
忽略与Smart Accel和防火墙策略规则有关的冲突。 |
SSL检查属性 |
描述 |
---|---|
额外的HTTPS端口 |
用于SSL检查的额外HTTPS端口(以逗号分隔的端口/范围列表)。 |
记录空的SSL连接 |
记录在数据发送前被客户端终止的连接。这可能表明客户没有安装CA证书。 |
检索中级CA证书 |
表示SSL检查机制是否将对证书链中的所有中间CA证书进行验证。 |
追踪验证错误 |
选择是否跟踪SSL检查验证。 |
验证CRL |
表示SSL检查机制是否会放弃出示已撤销证书的连接。 |
验证过期时间 |
表示SSL检查机制是否会放弃呈现过期证书的连接。 |
验证不可达的CRL |
指示SSL检查机制是否会放弃呈现具有无法到达的CRL的证书的连接。 |
验证不受信任的证书 |
表示SSL检查机制是否会放弃呈现不受信任的服务器证书的连接。 |
状态检测属性 |
描述 |
||
---|---|---|---|
接受不在状态的TCP数据包 |
指示与TCP连接的当前状态不一致的TCP数据包是否被丢弃(当设置为0时)或接受(当设置为任何其他值时)。 |
||
接受有状态的ICMP错误 |
接受指另一个非ICMP连接(例如,指正在进行的TCP或UDP连接)的ICMP错误包,该连接已被规则库接受。 |
||
接受有状态的ICMP回复 |
接受被规则库接受的ICMP请求的ICMP回复包。 |
||
接受未知服务的有状态UDP回复 |
指定是否要接受未知服务的UDP回复。在每个UDP服务对象中,可以配置如果该服务在接受流量的规则中被匹配,是否接受它的UDP回复。这个参数指的是所有没有被服务对象覆盖的连接。 |
||
接受有状态的其他IP协议对未知服务的回复 |
接受有状态的其他IP协议对未知服务的回复。在每个服务对象中,可以配置如果该服务在接受流量的规则中被匹配,是否接受对它的回复。这个参数指的是所有没有被服务对象覆盖的TCP/UDP连接。 |
||
允许LAN-DMZ DPI |
允许对内部网络和DMZ网络之间的流量进行深度包检测。
|
||
允许LAN-LAN DPI |
允许在内部网络之间的流量中进行深度包检测。 |
||
丢弃不在状态的ICMP数据包 |
丢弃不在 "虚拟会话 "范围内的ICMP数据包。 |
||
ICMP虚拟会话超时 |
一个ICMP虚拟会话在这个时间段(以秒为单位)后被认为已经超时了。 |
||
记录掉落的状态外ICMP数据包 |
表示掉落的非状态ICMP数据包是否产生日志。参见 "丢弃超出状态的ICMP数据包 "参数。 |
||
记录掉落的超状态TCP数据包 |
指示掉落的非状态TCP数据包是否产生日志。请参阅 "接受不在状态的TCP数据包 "参数。 |
||
其他IP协议的虚拟会话超时 |
不属于TCP、UDP或ICMP的服务的虚拟会话在这个时间段(秒)后被认为已经超时。 |
||
TCP结束超时 |
表示TCP会话结束的超时(以秒为单位)。一个TCP会话在两个FIN数据包(每个方向一个)或一个RST数据包之后被认为是 "结束"。 |
||
TCP会话超时 |
表示TCP会话的超时(以秒为单位)。如果一个TCP会话在这个时间段(以秒为单位)后仍处于空闲状态,就会超时。 |
||
TCP启动超时 |
表示TCP会话启动的超时(单位:秒)。如果第一个数据包的到达和连接的建立(TCP三方握手)之间的间隔超过这个时间段(秒),则TCP连接超时。 |
||
UDP虚拟会话超时 |
一个UDP虚拟会话在这个时间段(以秒为单位)后会超时。 |
流媒体引擎设置属性 |
描述 |
---|---|
多个参数 |
这些设置决定了各种深度检查刀片(IPS、应用控制 我们强烈建议,这些设置应始终处于预防模式。在检测模式下使用这些设置可能会大大降低安全性,因为当事件或违规行为发生时,检测会停止。 当配置被设置为记录此类事件时,日志将显示在IPS刀片下的日志用户和对象Monitoring > Security Logs中。 对于每个违规或事件,配置行动和跟踪模式。 |
TCP分段限制的执行 |
对于每一个通过网关的TCP段,网关都会保留该段的副本,直到收到该段被接收的确认信息。这种缓冲数据在网关的内存中占据了空间。这就对每个连接的缓冲段的数量和大小进行了限制。当一个连接达到这些限制之一时,网关不接受这个连接的新段,直到缓冲段被确认。 |
TCP失序 |
TCP流的接收主机对段进行缓冲,只保留指定窗口内的段。在这个窗口之外的片段不会被接收主机处理。处于TCP接收窗口之外的TCP段不应被网关处理。所有来自窗口之外的TCP段的数据都被丢弃或删除。如果该段在窗口附近,数据将被剥离。如果该段离窗口很远,则该段被放弃。 |
TCP无效重传 |
对于每一个通过网关的TCP段,网关都会保留一份段的副本,直到网关收到该段被接收的确认。如果没有收到确认,源机器再次发送该段,网关将其与副本进行比较,以验证新数据包与原始数据包相匹配。传递与原始数据不同的重传,允许未经检查的数据到达目的地应用程序。这可以阻止与原始段不同的段重传,这保证了网关检查所有由接收应用程序处理的数据。当设置为检测时,这种重传会导致流量绕过深度检测刀片。 |
TCP无效校验和 |
网关不需要检查具有无效TCP校验和的数据包,因为这些数据包会被接收主机的TCP堆栈丢弃。这将阻止具有无效校验和的TCP数据包。由于网络设备出现故障,在网络上看到一些具有不正确校验和的数据包是正常的。这并不表明有攻击企图,为此,默认是不记录此类事件。 |
TCP SYN修改后的重传 |
一个TCP SYN数据包可能以改变的序列号重新传输,试图启动一个IPS不检查的连接。这将阻止序列号被修改的SYN重传。当设置为检测时,这种重传会导致流量绕过深度检测刀片。 |
TCP紧急数据执行 |
一些TCP协议,如Telnet,使用TCP URG位作为协议语法的一部分发送带外数据,而大多数协议不使用TCP带外功能。允许有URG位的数据包可能会阻止网关确定哪些数据会被接收应用程序处理。这可能导致一种情况,即网关检查的数据不是接收应用程序处理的,从而使IPS保护被绕过。当在一个不支持带外功能的协议中收到带有URG位的数据包时,网关不能确定接收的应用程序是否处理这些数据。在不支持TCP带外功能的协议中,这将从设置了URG位的TCP段中移除URG位。当设置为检测时,URG位的使用导致流量绕过深度检测刀片。 |
流检查超时 |
正在接受专用程序检查的连接可能会被推迟,直到检查完成。如果在一个时间限制内没有完成检查,连接就会被放弃,这样就不会保持资源开放。这将阻止检查超时的连接。当设置为检测时,超过超时将导致流量绕过深度检测刀片。 |
威胁预防防僵尸网络策略属性 |
描述 |
---|---|
资源分类模式 |
表示防僵尸网络引擎用于资源分类的模式:
|
威胁预防防病毒策略属性 |
描述 |
---|---|
文件扫描尺寸限制 |
表示防病毒引擎扫描的文件的大小限制(KB)。要指定无限制,请设置为0。 |
MIME最大嵌套级别 |
对于包含嵌套MIME内容的电子邮件,设置ThreatSpect引擎在电子邮件中扫描的最大级别数。 |
MIME嵌套级别超过了行动 |
如果MIME内容的嵌套层次多于配置的数量,则选择阻止或允许该邮件文件。 |
优先扫描 |
根据安全和性能优先级进行扫描,以实现最大限度的优化。 |
资源分类模式 |
表示防病毒引擎用于资源分类的模式:
|
威胁预防 威胁模拟策略属性 |
描述 |
---|---|
仿真连接处理模式 - IMAP |
表示威胁仿真
|
仿真连接处理模式 - POP3 |
表示威胁仿真引擎对POP3的严格性模式:
|
仿真连接处理模式 - SMTP |
表示威胁仿真引擎在SMTP上的严格性模式:
|
仿真位置 |
指示是否在公共威胁云或远程(私人)SandBlast上进行仿真。 |
主要模拟网关 |
主要远程仿真网关的IP地址。 |
威胁预防策略属性 |
描述 |
||
---|---|---|---|
当服务不可用时进行阻止 |
当Check Point ThreatCloud在线网络服务不可用时,阻止网络请求流量。 |
||
失败模式 |
表示在内部系统错误或过载的情况下对流量采取的行动(允许所有请求或阻止所有请求)。 |
||
文件检查大小限制 |
表示威胁预防引擎所检查的文件的大小限制(KB)。
|
||
跳过HTTP检查的方法 |
如果配置了非零的文件检查大小限制,默认跳过HTTP检查的方法的设置是:文件检查被跳过到会话结束,并在下一个HTTP会话中恢复。 如果配置了非零的文件检查大小限制,并且跳过HTTP检查的方法改为Full ,那么文件检查将被跳过到连接的末端,并在下一个连接中恢复。这提高了性能,因为连接的剩余部分是完全加速的。然而,不建议将设置改为Full ,因为会产生严重的安全影响:连接的其余会话不被检查。 |
||
威胁预防策略 - 用完整的软件包更新威胁预防措施 |
用最新的软件包更新威胁预防系统。 |
||
允许我在我的用户中心账户中查看攻击统计数据 |
允许在你的用户中心账户中查看攻击统计数据。欲了解更多信息,请参阅威胁预防 - Infinity SOC。 |
||
允许攻击统计中的IP地址信息 |
可选:在攻击报告中启用真实的IP地址信息(见sk164332 - 节 "去模糊化受害者的真实IP"): |
USB调制解调器看门狗属性 |
描述 |
---|---|
间隔 |
指示USB调制解调器看门狗探测互联网的频率(以分钟为单位)。 |
模式 |
指示在启用互联网探测时是否启用USB调制解调器看门狗,以及复位类型。 当互联网探测显示没有互联网接入时,要启用USB调制解调器看门狗,请选择这些复位选项之一:
|
只有USB |
只监控USB调制解调器连接,不监控其他互联网连接。 在这种模式下,当监控其他互联网连接时,只有在所有互联网连接(而不仅仅是USB调制解调器)探测失败时才会发生网关重置。 类型:布尔型 |
更新服务时间表属性 |
描述 |
---|---|
最大重试次数 |
表示当云不可用时,单个更新的最大重试次数 |
重试前的超时 |
表示更新重试前的超时时间(秒)。 |
用户感知属性 |
描述 |
---|---|
AD域关联超时 |
表示缓存一个用户和一个IP地址之间的关联的超时(分钟)。 |
允许未知用户使用DNS |
表示当在用户和对象 > 用户感知 如果没有DNS流量,终端用户的浏览器可能不会显示专属门户。 |
假设每个IP地址有一个用户 |
当在用户用户和对象对象 > 用户感知中启用Active Directory查询时,该参数表示只能从一个设备中识别一个用户。当两个或更多的用户从一个设备连接时,只有最后登录的用户被识别。 |
记录被拦截的未知用户 |
表示当在用户用户和对象对象 > 用户意识> 基于浏览器的身份验证 > 认证选项瞳中选择未经验证的用户当验证门户是可能的时,是否会记录被阻止的未验证用户。 |
用户管理属性 |
描述 |
---|---|
自动删除过期的本地用户 |
每24小时(午夜后)自动删除所有过期的本地用户。 |
VPN远程访问属性 |
描述 |
||
---|---|---|---|
允许在断开连接时取消流量 |
表示当远程访问VPN |
||
允许同时登录 |
表示一个用户是否可以登录到多个会话。如果该选项被禁用,而用户以相同的凭证第二次登录时,前一个会话将被断开。 |
||
认证超时 |
表示在启用超时的情况下,远程客户端的密码保持有效的时间(分钟)。 |
||
启用认证超时 |
表示远程客户端的密码是否只在配置的时间内保持有效(认证超时属性)。 |
||
在VPN域中自动断开连接 |
表示当客户端从安全的内部网络(本地加密域 |
||
背部连接使 |
启用从网关后面的加密域到客户端的反向连接。 |
||
返回连接的保持时间间隔 |
表示网关与客户端之间的连接所需的向网关发送保持性数据包的时间间隔(以秒为单位)。 |
||
在所有接口上启用访客模式 在该接口上启用访客模式 |
这个对话框让你为访客模式配置一个指定的接口。访客模式允许设备监听指定端口(默认为443端口)上的TCPT流量,作为远程访问客户端IKE连接的备份。 这种模式通常用于允许从限制性环境(如酒店)后面进行VPN远程访问连接。 不建议将访客模式修改为只在特定接口上启用。 |
||
加密DNS流量 |
指示远程客户端向位于加密域的DNS服务器发送的DNS查询是否通过VPN隧道。 |
||
加密方法 |
表示IKE阶段1和2使用的是哪种IKE加密方法(版本)。 |
||
端点连接重新认证的超时 |
表示直到Endpoint Connect用户的证书被重新发送到网关以验证授权的时间(以分钟计)。 |
||
IKE IP压缩支持 |
指示来自远程访问客户端的IPSec数据包是否被压缩。 |
||
通过 TCP 的 IKE |
启用对TCP的IKE的支持。 |
||
IKE重启恢复 |
在处理远程访问客户端时,由于客户端地址未知,设备无法启动IKE第一阶段协商。如果设备与远程访问客户端有一个活动的SA,而它重新启动,SA就会丢失,设备就不能启动IKE阶段1。但是,如果选择重启选项,设备每分钟都会保存隧道的详细信息。当设备重新启动后,第一个加密数据包到达时,设备会发送一个删除SA消息。这将导致远程客户端丢弃旧的SA,并启动IKE阶段1来重新打开隧道。 |
||
传统的NAT穿越 |
指示Check Point专有的NAT穿越机制(UDP封装)是否为SecureClient启用。 |
||
仅在内部规则库上匹配 |
来自远程访问客户端的流量将始终在输入/内部/VPN规则库中匹配,包括到互联网的流量。 |
||
在SSL VPN门户中支持最小的TLS版本 |
表示SSL VPN门户支持的最小TLS协议版本。出于安全考虑,我们建议支持TLS 1.2及以上版本。 |
||
启用多接口的办公模式 |
指示是否启用了一种机制(对性能有影响),以改善远程访问客户端和具有多个外部接口的设备之间的连接。 |
||
办公模式 执行反欺骗 每个站点的单一办公室模式 |
|
||
办公室模式从RADIUS分配 |
指示办公室模式分配的IP地址是否取自用于验证用户的RADIUS服务器。 |
||
禁用办公模式 |
指示办公室模式(为远程访问客户端分配IP地址)是否被禁用。不建议这样做。 |
||
在客户端缓存密码 |
表示是否使用密码缓存。这意味着,当客户试图访问一个以上的网关时,不需要重新认证。 |
||
防止IP NAT池 |
防止IP池NAT配置应用于办公模式用户。在使用SecureClient以及其他VPN客户端时需要这样做(见sk20251 )。 |
||
半径重传超时 |
每次RADIUS服务器连接尝试的超时间隔(秒)。 |
||
远程访问端口 为端口转发保留443端口 |
默认的远程访问端口是443端口。如果与其他使用此端口号的服务器有冲突,请配置一个不同的远程访问端口。如果启用了Check Point VPN客户端、移动客户端或SSL VPN远程访问,你必须改变默认的远程访问端口,因为它们默认使用443端口。如果你改变了默认的端口号443,请确保为端口转发选择储备端口443。 |
||
SNX保持不变的时间间隔 |
表示SSL网络扩展器 |
||
SNX重新认证超时 |
表示SSL网络扩展器远程访问用户重新认证的间隔时间(分钟)。 |
||
SNX支持3DES |
表示SSL客户端是否会支持3DES加密算法以及默认算法。 |
||
SNX支持RC4 |
表示SSL客户端是否支持RC4加密算法,以及默认算法。 |
||
卸载SNX |
这个参数可以让你配置SSL网络扩展器客户端在什么条件下自我卸载。这些选项是::不要自动卸载(推荐默认),总是在断开连接时卸载,并在断开连接时通知用户。 |
||
SNX升级 |
这个参数可以让你配置SSL网络扩展器客户端在哪些条件下进行自我安装。这些选项是::不自动升级,总是升级,并通知用户(默认)。 |
||
拓扑结构更新的手动间隔 |
表示手动配置的对客户进行拓扑更新的时间间隔(小时)。只有当覆盖设置被设置为 "真 "时才适用。 |
||
拓扑更新覆盖 |
表示配置的拓扑更新设置是否覆盖了默认的 "每周一次 "策略。 |
||
仅在启动时更新拓扑结构 |
表示拓扑更新是否只在客户端启动时发生。只有当覆盖设置被设置为 "真 "时才适用。 |
||
双因素认证 |
|
||
验证设备证书 |
远程访问客户端根据撤销列表验证设备的证书。 |
||
如果用户至少属于一个未经许可的组,则阻止其进入。 |
表示是否启用了严格的组权限 - 如果用户至少属于一个没有远程访问权限的组,则没有远程访问权限。 |
VPN站点到站点的全局设置属性 |
描述 |
---|---|
接受NAT穿越 |
表示是否启用了行业标准的NAT穿越(UDP封装)。这样,即使远程站点在NAT设备后面,也能建立VPN隧道。 |
行政通知 |
表示如何记录一个管理事件(例如,当一个证书即将过期时)。 |
检查IPSec回复数据包的有效性 |
表示是否要检查IPSec回复数据包的有效性。 |
集群SA同步数据包阈值 |
当数据包的数量达到这个阈值时,与其他集群成员同步SA。 |
从加密/解密的IPSec数据包中复制DiffServ标记 |
从加密/解密的IPSec数据包中复制DiffServ标记。 |
将DiffServ标记复制到加密/解密的IPSec数据包上 |
将DiffServ标记复制到加密/解密的IPSec数据包。 |
DPD触发了新的IKE协商 |
DPD触发了新的IKE协商。 |
从死亡的对等体中删除IKE SAs |
从一个死亡的对等体中删除IKE SAs。 |
在IKE SA删除中删除IPsec SA |
在IKE SA删除中删除IPsec SA。 |
隧道测试失败时删除隧道SA |
当永久VPN隧道被启用且隧道测试失败时,删除相关对等体的隧道SA。 |
不对来自本地网关的连接进行加密 |
原始源或目标IP地址是本地网关的互联网连接IP地址的数据包将不会通过VPN隧道。这个参数在隐藏NAT后的网关可能很有用。 |
不对本地DNS请求进行加密 |
当启用时,来自设备的DNS请求将不被加密。当配置的DNS服务器在VPN对等体的加密域中时相关。 |
启用加密数据包的重新路由 |
指示加密数据包是否根据对等体的IP地址或探测,通过最佳接口重新路由。我们不建议将此值改为false。 |
CRL不再有效后的宽限期 |
需要CRL宽限期来解决设备和远程CA之间不同的时钟时间问题。 宽限期允许扩大CRL有效期的窗口。 表示远程站点被废止的证书保持有效的时间(以秒为单位)。 |
CRL生效前的宽限期 |
需要CRL宽限期来解决设备和远程CA之间不同的时钟时间问题。 宽限期允许扩大CRL有效期的窗口。 表示在CA设定的时间之前,证书被认为是有效的时间窗口(单位:秒)。 |
来自已知站点的 IKE DoS 保护 |
表示是否激活已知IP地址的IKE DoS保护以及检测潜在攻击者的方法。 |
来自未知站点的IKE DoS保护 |
表示是否激活来自未识别IP地址的IKE DoS保护以及检测潜在攻击者的方法。 |
来自同一IP的IKE回复 |
指示在IKE会话中使用的源IP地址是基于回复传入连接时的目的地,还是基于一般的源IP地址链接选择配置。 |
IKEV2钥匙类型 |
IKEV2通信使用的密钥类型。 选项:
|
在IKE快速模式下加入相邻的子网 |
表示是否在IKE快速模式下加入相邻子网。 |
在数据包上保留DF标志 |
表示在加密/解密过程中是否在数据包上保留 "不要碎片 "标志。 |
保存IKE的SA密钥 |
保留IKE的SA密钥。 |
关键的交换错误跟踪 |
表示如何记录VPN配置错误或密钥交换错误。 |
匹配出站规则基础 |
从VPN对等体到互联网的流量如果全部通过该网关路由,将在出站规则库中匹配。 |
最大并发的IKE谈判 |
表示并发的VPN IKE协商的最大数量。 |
最大并发隧道 |
表示并发的VPN隧道的最大数量。 |
开放的SAs限制 |
表示每个VPN对等体开放SA的最大数量。 |
出站链接跟踪 |
表示如何记录流出的VPN链接:"记录","不记录",或 "告警"。 |
覆盖 "将所有流量路由到远程VPN站点 "的配置,以便管理员访问设备 |
选择该选项可以防止管理员对该设备的访问被路由到远程站点,即使配置了 "路由所有流量到远程VPN站点"。 |
数据包处理错误跟踪 |
指示如何记录VPN数据包处理错误:"记录","不记录",或 "告警"。 |
使用一个内部IP地址进行隧道测试 |
隧道测试可确保对等VPN网关 默认情况下,测试是通过确保对等VPN网关的所有外部IP地址之间存在连接来完成的。 你可以配置这个选项,使用属于本地加密域的网关的内部IP地址进行隧道测试。 你可以在日志和监控标签中看到VPN隧道的状态。 |
永久性隧道下行追踪 |
表示当隧道发生故障时如何记录:记录,不记录,或提醒。 |
永久性隧道向上追踪 |
表示在隧道启动时如何记录:记录,不记录,或提醒。 |
RDP数据包回复超时 |
RDP数据包回复的超时(以秒为单位)。 |
来自传入接口的回复 |
当隧道从远程站点启动时,适用时从相同的传入接口回复(IKE和RDP会话)。 |
成功的密钥交换跟踪 |
表示当有一个成功的密钥交换时,如何记录:记录,不记录,或提醒。 |
在IKE中使用集群IP地址 |
表示是否使用集群IP地址进行IKE(适用时)。 |
使用内部IP地址进行本地网关的加密连接 |
源自本地网关的加密连接将使用一个内部接口的IP地址作为连接源。 |
VPN隧道共享 |
表示在什么条件下创建新的隧道:每个主机对、每个子网(行业标准)、或每个远程站点/网关的单个隧道:这控制了创建的隧道的数量。 |
VoIP属性 |
描述 |
---|---|
接受对注册端口的MGCP连接 |
表示MGCP流量的深度检查是否自动接受MGCP连接到注册的端口。 |
接受SIP连接到注册的端口 |
指示SIP流量的深度检查是否自动接受SIP连接到注册端口。 |
延长SIP服务超时 |
表示在禁用服务检查时是否延长SIP服务超时。默认情况下,超时的增强适用。 当你在VoIP向导中禁用SIP检查并将SIP_UDP服务的超时设置为默认的TCP连接超时时,就会发生激活。 |
网络界面设置和定制属性 |
描述 |
---|---|
多个参数 |
在设备的Web界面中选择使用公司标志,以显示不同的标志(不是Check Point默认标志)。 在公司标志中,点击上传公司标志链接,浏览到标志文件,并点击应用。 在公司URL中,输入公司的URL。当你点击网页界面中的公司标志时,它会打开这个URL。 |