高级设置

设备 > 高级设置页面是为高级管理员或Check Point支持 。你可以为各种刀片的多个高级设置配置值。

重要提示- 在没有完全理解的情况下改变这些高级设置,可能会对本设备的稳定性、安全性和性能产生危害。只有当你确定你理解了所需的变化时才继续。

关于属性的进一步信息,必要时请咨询Check Point支持

要过滤属性列表:

  1. 要过滤的类型字段中输入文本。

    搜索结果会在你输入时动态显示。

  2. 要取消过滤,请点击搜索字符串旁边的X

要配置设备属性:

  1. 选择一个属性。

  2. 点击编辑.

    属性窗口打开。

  3. 配置设置,或单击 "恢复默认"将属性重置为默认设置。关于这些属性的更多信息,请参见下一节。 

  4. 点击应用.

将所有设备属性重置为默认设置:

  1. "高级设置"窗口,点击 "恢复默认值"。

    打开 "确认"窗口。

  2. 点击.

所有设备属性都被重置为默认设置。

表:管理员锁定属性

管理员锁定属性

描述

管理员锁定 - 移动应用程序会话超时

自动注销执行前允许的移动应用会话(天数)。

默认为30。

表:管理员RADIUS认证属性

管理员RADIUS认证属性

描述

本地认证(RADIUS服务器)

只有在没有配置RADIUS服务器或无法访问的情况下才执行本地管理员认证。

表:侵略性的老龄化属性

侵略性老龄化属性

描述

多个参数

主动老化有助于管理连接表容量和防火墙的内存消耗,以提高耐用性和稳定性。

侵略性老化引入了一套新的短暂停,称为侵略性暂停。当一个连接的空闲时间超过其积极的超时时间时,它被标记为 "符合删除条件"。当连接表或内存消耗达到用户定义的阈值时,"主动老化 "开始删除 "符合删除条件 "的连接,直到内存消耗或连接容量下降到所需水平。

积极的老化允许网关机器处理大量的意外流量,特别是在拒绝服务攻击期间。

如果超过了定义的阈值,每个传入的连接会触发从 "符合删除条件 "的列表中删除十个连接。每一个新的连接都会另外删除十个连接,直到内存消耗或连接容量低于执行限制。如果没有 "符合删除条件 "的连接,当时就不会删除任何连接,但在随后每个超过阈值的连接之后,都会检查该列表。

超时设置是内存消耗配置的一个关键因素。当超时值较低时,连接会更快地从表中删除,使防火墙能够同时处理更多连接。当内存消耗超过其阈值时,最好用较短的超时来工作,这样可以保持绝大部分流量的连接。

主动老化的主要好处是,它在机器仍有可用内存且连接表未完全满的情况下开始运行。这样一来,就减少了在低资源条件下可能出现的连接问题的机会。

 

要配置 "主动老化":

  1. 当设备处于负载状态时,选择启用连接的主动老化

  2. 要记录侵蚀性老化事件,选择记录侵蚀性老化事件。日志显示在IPS刀片下的日志和监控 > 安全日志

  3. 选择你想执行的主动老化超时的复选框,并输入主动老化的超时。确保 "积极 "的超时量低于默认超时量。

    默认超时可以在设备 > 高级设置 > 有状态检测属性中查看和配置。

要配置何时执行 "主动老化 "的超时:

  1. 遇到以下情况,主动老化超时将强制执行选项下,选择是否在连接表超过限制、内存超过限制或两者都超过限制的情况下强制执行。

  2. 输入你想定义的百分比,作为连接表或内存消耗的限制。如果你同时选择这两个选项,其他选项的百分比字段中的数值就会被应用。默认是80%,如果连接表或内存消耗超过这个限制,"符合删除条件 "列表中的连接将被删除。

表:反ARP欺骗的属性

反ARP欺骗的属性

描述

反ARP欺骗模式

用于反ARP欺骗保护的模式。保护可以关闭、开启或仅在检测关闭 UserCheck规则动作,允许流量和文件进入内部网络,并记录它们。模式下进行。

指示攻击的检测窗口时间

分配给同一MAC地址的IP地址显示ARP欺骗攻击的时间段(以秒计)。

表示攻击的IP地址的数量

在检测窗口时间内,分配给同一MAC地址的IP地址的数量,这将表明有ARP欺骗攻击。

可疑的MAC阻断期

可疑的MAC地址被保留在拦截列表中的时间段(以秒为单位)。

表:垃圾邮件防护策略属性

垃圾邮件防护策略属性

描述

所有邮件追踪

对不被认为是垃圾邮件或疑似垃圾邮件的邮件进行跟踪选择。追踪此类邮件会对性能产生影响。

允许的邮件跟踪

威胁预防> 垃圾邮件防护例外页面中手动允许的电子邮件的跟踪选项。

基于内容的垃圾邮件防护超时

表示在基于内容的垃圾邮件防护检查期间,等待云端答复的超时(秒)。

电子邮件大小的扫描

表示要扫描的电子邮件内容的最大尺寸(KB)。

IP信誉失败开放

表示在垃圾邮件防护IP信誉测试中出现内部错误时采取的行动。

IP信誉超时

表示等待IP信誉测试结果的超时时间(秒)。

扫描发出的电子邮件

扫描从本地网络发往互联网的电子邮件内容。

透明的代理

使用一个透明的代理来检查电子邮件连接。当禁用时,需要在客户机上配置代理地址和端口。

表:反诈骗属性

反诈骗属性

描述

启用全局反欺骗功能

表示是否在所有接口上根据其区域自动启用反欺骗功能。

表:应用和URL过滤属性

应用和URL过滤属性

描述

当服务不可用时进行阻止

指示当Check Point分类和小组件定义在线网络服务不可用时,网络请求是否被阻止。

对缓存和转换的页面进行分类

表示是否要对搜索引擎创建的缓存页面和转换页面进行URL分类。

通过HTTPS的自定义应用程序

表示自定义URL和应用程序是否将通过HTTPS流量使用SNI字段进行匹配。重要提示:由于HTTPS流量中的SNI字段与浏览器有关,而且是杂乱无章的,因此不能保证100%匹配:

强制执行安全搜索

表示URL过滤关闭 Check Point软件刀片在安全网关上,允许对特定用户组、计算机或网络可访问的网站进行细化控制。简称。URLF。策略是否优先于用户浏览器中的安全搜索设置。无论用户选择了什么,都会应用最严格的安全搜索设置。明确的性内容被过滤出搜索引擎的结果。

失败模式

表示在内部系统错误或过载的情况下对流量采取的行动。

追踪浏览时间

在日志中显示用户在一个HTTP会话中连接到不同网站和应用程序的总时间

使用HTTP引用者头

指示HTTP "referrer "头(最初是referrer的拼写错误)是否被检查引擎用来改进应用识别。

网站分类模式

表示用于网站分类的模式:

背景- 在分类完成之前,允许应用。当一个请求不能用缓存的响应进行分类时,会收到一个未分类的响应。允许进入该地。在后台,Check Point在线网络服务继续进行分类程序。然后,响应被缓存在本地以备将来的请求(默认)。这个选项可以减少分类程序的延迟。

搁置- 请求被阻止,直到完成分类。

当一个请求不能用缓存响应进行分类时,它仍然被阻止,直到Check Point在线网络服务完成分类。

表:能力优化的属性

能力优化属性

描述

连接哈希表的大小

表示连接哈希表的大小,字节数。

这个值必须是一个整数,是2的指数幂,大约是最大并发连接参数的4倍。

最大并发连接数

表示总的最大并发连接数。

表:云服务固件升级属性

云服务固件升级属性

描述

服务访问最大重试次数

表示使用该服务升级失败时的最大重试次数。

服务访问超时,直到重试

表示当服务出现连接失败时,在下一次重试之前的等待时间(秒)。

表:集群属性

集群属性

描述

同步性

表示是否启用了同步机制。

将标志从false 切换到true 可能会导致故障转移关闭 将流量控制(数据包过滤)从遭遇故障的集群成员转移到另一个集群成员(基于内部集群算法)。同义词。故障转移。

默认情况下: false

使用虚拟MAC

表示一个虚拟MAC地址是否被所有成员使用,以使网络的交换机能更快地进行故障切换。

使用虚拟MAC地址:

  • 最大限度地减少了故障切换期间潜在的流量中断。

  • 不再需要为NAT的IP地址使用G-ARPs。

表:DDNS属性

DDNS属性

描述

迭代

DNS更新的数量。

表:DHCP桥接属性

DHCP新娘属性

描述

MAC分配

表示 DHCP 网桥的 MAC 地址是取自内部(LAN)还是外部端口(WAN、DMZ)。

表:DHCP中继属性

DHCP Relay属性

描述

使用内部IP地址作为来源

如果来自设备的 DHCP 中继数据包来自内部 IP 地址,选择使用内部 IP 地址作为源。如果DHCP服务器位于一个远程VPN站点的后面,可能需要这样做。

表:DSL全局属性

DSL全局属性

描述

DSL globals - VDSL2

支持ITU G.993.2 VDSL2。

DSL globals - ADSL Dmt (G.992.1)

支持ITU G.992.1 ADSL(G.dmt)。

DSL全球通用 - ADSL lite (G.992.2)

支持ITU G.992.2 ADSL Lite(G.lite)。

DSL globals - ADSL2 (G.992.2)

支持ITU G.992.3 ADSL2。

DSL globals - ADSL2+ (G.992.5)

支持ITU G.992.5 Annex M ADSL2+M。

DSL globals - T1.413

支持ANSI T1.413-1998第二版ADSL。

DSL球状物 - 附件J/M

在一个附件A的设备中:与支持的ADSL2+相结合,它规定了附件M ADSL2+。在一个附件B的设备中:与支持的ADSL2相结合,它规定了附件J ADSL2。

DSL球状物 - 附件L

在一个附件A的设备中:结合启用的ADSL2(G.992.3)规定了对附件L的支持。

DSL球状物 - 8a

支持VDSL配置文件8a。

DSL球状物 - 8b

支持VDSL配置文件8b。

DSL球状物 - 8c

支持VDSL配置文件8c。

DSL球状物 - 8d

支持VDSL配置文件8d。

DSL球状物 - 12a

支持VDSL配置文件12a。

DSL球状物 - 12b

支持VDSL配置文件12b。

DSL球状物 - 17a

支持VDSL配置文件17a。

DSL全局 - 无缝速率适应(SRA)。

启用无缝速率适应。

DSL球状物 - G.INP

增强的脉冲噪声保护。

DSL globals - US0

启用VDSL中第一个上行频段的使用。

注意- 当所有ADSL标准在高级设置中被关闭,只能使用VDSL2标准进行连接时,即使不用于打开互联网连接,VPI、VCI和封装选项仍然出现。

表:防火墙策略属性

防火墙策略属性

描述

拦截的数据包行动

对被拦截的数据包采取行动:丢弃、拒绝或自动(从外部丢弃和从内部拒绝)。

日志的隐含规则关闭 规则库中的一组流量参数和其他条件,导致对一个通信会话采取指定的行动。

为符合隐含规则的连接产生日志记录。

表:一般临时目录大小属性

一般临时目录大小属性

描述

一般临时目录大小

控制一般临时目录的大小(单位:MB)。

系统临时目录大小

控制系统使用的临时目录的大小(单位:MB)。

表:硬件选项属性

硬件选项属性

描述

重置为出厂默认值超时

你需要按住设备背板上的出厂默认按钮来恢复到出厂默认镜像的时间(以秒计)。

表:热点属性

热点属性

描述

启用门户网站

选择 "已禁用"以完全禁用热点关闭 一个提供无线局域网络与互联网接入的区域,通过路由器连接到互联网服务提供商的链接。功能。

防止同时登录

同一用户将不被允许从一台以上的机器上同时通过热点门户登录。

表:IP片段参数

IP碎片参数属性

描述

多个参数

这些参数让你配置设备如何处理IP片段。

它可以阻止碎片化的IP数据包,或者在达到配置的阈值时放弃碎片。

选择其中一个选项:

  • 禁止IP碎片- 丢弃有碎片的IP数据包。

  • 允许IP碎片- 如果IP数据包不超过配置的阈值,则允许碎片化的IP数据包。选择这个选项时,你可以配置接受不完整数据包的最大数量。你还可以配置超时(秒),以便在丢弃未组装的数据包之前保留这些数据包。

 

表:IP解析属性

IP解析属性

描述

IP解析 - IP解析的激活

启用/禁用IP解析日志的丰富性。

IP解析 - IP解析TTL

使用主机名解析的时间(以秒为单位)。

默认为3600。

表:IPS附加参数

IPS附加参数属性

描述

最大ping限制

表示当 "最大Ping大小 "保护激活时,允许的最大Ping数据包大小。

非标准的HTTP端口

启用IPS刀片的非标准端口的HTTP检查。

表:IPS引擎设置

IPS引擎设置属性

描述

允许协议未知的命令

通常情况下,IPS引擎会阻止它不能识别的协议(如POP3,IMAP,...)命令。

当高级设置为 "true"时,IPS允许该流量。

适用过滤器

过滤IPS保护以提高性能。

类型:布尔型

默认值:true

为支持的网络保护配置错误页面选项--多个参数

一些基于网络的保护措施在检测时可以显示一个错误页面。这个错误页面是可配置的。

支持错误页面的保护措施:

  • 恶意代码保护器

  • 跨站脚本攻击

  • LDAP注入

  • SQL注入

  • 命令注入

  • 目录遍历

  • 目录列表

  • 错误隐蔽性

  • HTTP格式大小

  • 只有ASCII请求

  • 只有ASCII的响应头

  • HTTP方法

选择适用于所有此类保护的选项之一:

  • 不要显示

  • 显示预定义的HTML错误页面- 你可以配置一个HTML页面,在检测到攻击时打开。要配置页面,请进入高级设置 > IPS引擎设置 > HTML错误页面配置

  • 重定向到另一个URL- 输入一个URL,当检测到攻击时,用户会被重定向到这个URL。你还可以选择添加一个错误代码,提供更多关于检测到的攻击的信息。不建议这样做,因为这些信息可能被攻击者滥用。

HTML错误页面配置--多个参数

这些设置允许你配置一个预定义的HTML错误页面,当错误页面高级设置被设置为显示预定义的HTML错误页面时,就会看到这个页面。选择其中一个选项:

  • 徽标URL- 可选择输入一个通往你公司徽标的URL。

  • HTML错误页面配置- 显示一个错误代码,提供有关检测到的攻击的更多信息。不建议这样做,因为这些信息可能被攻击者滥用。

  • 发送详细的错误代码- 你可以输入手动定义的文本,显示在HTML页面上。在描述框中输入文本。例如,"由于违反IPS策略,拒绝访问"。

表:内部证书设置属性

内部证书设置属性

描述

配置内部CA证书的到期时间

内部CA证书的有效年限。这在下次重新初始化证书时适用。

表:互联网属性

互联网属性

描述

在LSI上重置Sierra USB的错误

指示Sierra型USB调制解调器在发送无效的LSI信号时是否会被重置

路径MTU发现模式

从这些选项中选择:

  • 关闭

  • 运行一次 - 在建立互联网连接后运行一次,尝试检测路径MTU。

  • 以守护程序运行 - 在后台运行,并尝试检测路径MTU。

表:互联网连接类型

互联网连接类型

描述

IPv4 over IPv6 (IPIP)

表示是否启用了IPv4 over IPv6(IPIP)互联网连接。

默认值:false

表:物联网统计数据属性

物联网统计数据属性

描述

物联网统计数据的激活

启用/禁用物联网收集统计数据。

默认情况下:已启用

表:MAC过滤属性

MAC过滤属性

描述

MAC过滤状态

MAC过滤状态

记录被拦截的MAC地址

表示是否应记录被拦截的MAC地址。

悬浮日志

表示管理员是否可以从删除的安全管理服务器关闭 一台专门的Check Point服务器,运行Check Point软件,在一个单一管理域内管理Check Point环境中的对象和策略。同义词。单域安全管理服务器。访问设备,而不需要输入管理员名称。

表:管理服务属性

管理服务属性

描述

允许管理员从远程管理服务器关闭 一个Check Point安全管理服务器或一个多域安全管理服务器。无缝访问

表示管理员是否可以从远程安全管理服务器访问设备,而不需要输入管理员的用户名和密码。

在登录中显示设备信息

指示当管理员访问设备时是否显示设备的详细信息。

表:移动设置属性

移动设置属性

描述

移动设置 - 通知关闭 UserCheck规则动作,阻止流量和文件,并显示UserCheck信息。用户可以同意允许该活动。云服务器URL

用于发送移动通知的云服务器URL。

移动设置 - 配对码过期

直到配对代码过期的时间(小时)。

类型:整数

移动设置--验证SSL证书

在向云服务器发送移动通知时验证SSL证书

表:多个ISP路由刷新属性

多个ISP路由刷新属性

描述

多家ISP路线刷新模式

指示加速是否会在多个ISP配置中刷新路由。

表:NAT属性

NAT属性

描述

ARP手动文件合并

表示在启用自动ARP检测时,使用本地文件中的ARP定义,其优先级更高。对于手动静态NAT规则,需要手动代理ARP配置。如果在local.arp文件中定义了手动ARP配置,并且启用了自动ARP配置,那么这两个定义都会被保留。如果定义之间有冲突(相同的NAT IP地址出现在两者中),那么就使用手动配置。

多个参数 - IP池NAT

IP池是一个可路由到网关的IP地址范围(地址范围、网络或这些对象中的一个组)。当一个连接被打开到一个服务器时,网关将从IP池中的一个IP地址替换为源IP地址。来自服务器的回复数据包返回到网关,网关恢复原来的源IP地址并将数据包转发到源。

当使用IP池NAT时,选择一个现有的IP地址范围对象。它必须事先在用户和对象 > 网络对象页面中定义。IP池NAT机制从这个范围分配IP地址。

  • 对VPN客户端连接使用IP池NAT- 适用于VPN远程访问客户端与网关的连接。

  • 对网关到网关的连接使用IP池NAT- 适用于站点到站点的VPN关闭 两个或多个安全网关之间的加密隧道。同义词。站点到站点的VPN。收缩。S2S VPN, S-to-S VPN。连接。

  • 优先选择IP池NAT而不是隐藏NAT- 指定IP池NAT优先于隐藏NAT,如果两者都匹配同一个连接。只有在IP池被用完的情况下才会应用隐藏NAT。

  • 为不同的目的地重复使用池子里的IP地址- 选择这个选项可以为不同的目的地重复使用池子里的IP地址。

  • 未使用的地址间隔- 以分钟为单位配置未使用的地址返回到IP地址池的时间间隔。

  • 地址耗尽追踪- 指定在IP池耗尽时要发布的日志类型。

  • 地址分配和释放跟踪- 指定是否记录每次从IP池分配和释放IP地址的情况。

自动ARP检测

当本地网络中的内部设备使用静态NAT定义时,设备必须确保发送到静态NAT IP地址的数据包能够到达它。这个选项使设备能够自动响应对这些IP地址的ARP请求。

提高隐藏能力

表示是否给予隐藏NAT容量的额外空间。

启用NAT

表示设备的NAT功能是否被启用。

NAT 缓存过期

表示NAT缓存条目的过期时间(分钟)。

NAT缓存的条目数

表示NAT缓存条目的最大数量。

NAT哈希值大小

表示NAT表的哈希桶大小。

NAT限制

表示使用NAT的最大连接数。

进行集群隐藏折叠

指示本地IP地址是否在适用时隐藏在集群IP地址后面,而不是隐藏在每个集群成员关闭 一个安全网关,是集群的一部分。的物理IP地址后面。

在客户端转换目的地

在客户端转换目标IP地址(用于自动生成的NAT规则)。

在客户端转换目的地(手动规则)。

在客户端转换目标IP地址(用于手动配置的NAT规则)。

表:通知策略属性

通知策略属性

描述

通知语言

通知语言

通知策略 - 发送推送通知

表示是否向移动应用程序发送通知。

通知策略 - 每小时发送通知的最大数量

每小时发送至移动设备的最大通知数量。

表:操作系统的属性

操作系统的属性

描述

操作系统--操作系统

tmpDirSize

操作系统 - 系统临时目录大小

控制系统使用的临时目录的大小(单位:MB)。

表:操作系统高级设置

操作系统高级设置属性

描述

IPv6前缀选择模式

在动态IPv6互联网连接中设置IPv6前缀选择模式。选择具有最高优先权的IPv6前缀。如果有一个以上具有相同偏好的前缀,请根据这些选项进行选择:

  • 路由器偏好 - 最古老的。选择最古老的前缀,除非它的剩余寿命少于一小时。(默认)

  • 路由器偏好 - 最新的。选择最新的前缀。

  • 首选终身 - 最年长。选择具有最古老首选寿命的前缀。

  • 首选终身 - 最新的。选择具有最新首选寿命的前缀。

蜂窝退避算法模式

设置蜂窝退订算法模式(自动、强制禁用或强制启用)。当处于自动模式时,退订算法只对罗杰斯手机运营商起作用。

禁用从WAN到LAN的DHCP选项传输

指定是否禁用从WAN到LAN的DHCP选项的传输。

类型:布尔型

默认值:false

在局域网上启用广域网

指定LAN-on-WAN功能是否开启

类型: Boolean

默认值:false:

启用WiFi监控器

指定WiFi监视器是否开启。

类型: Boolean

默认值: false

启用自动改变WiFi频道

指定WiFi是否在运行期间自动切换频道。

类型: Boolean

默认值:false

启用PPPoE的目的地检查

指定是否启用PPP0E目的地检查。

类型: Boolean

默认值:false

启用网络交换机的流量控制

表示网络交换机是否启用了流控功能。

类型: Boolean

默认值: false

强制蜂窝模块使用4G网络

当禁用时,调制解调器正在使用所有可用的频段。当启用时,调制解调器只使用4G频段。

类型: Boolean

默认值:false

 

表:隐私设置

隐私设置属性

描述

通过发送数据帮助Check Point改进其产品

客户同意

定位服务需要将你的IP地址发送给第三方

使用自动时区功能需要将你的位置发送给第三方。

表:QoS刀片属性

QoS刀片属性

描述

伐木

指示设备在启用 QoS 刀片时是否记录 QoS 事件。

表:Reach My Device Attributes属性

Reach My Device属性

描述

忽略SSL证书

指示在运行访问服务时是否应忽略SSL证书。

服务器地址

表示远程服务器的地址,即使在NAT后面,也允许从互联网对设备进行管理访问。

表:报告设置属性

报告设置属性

描述

报告设置 - 最大周期

收集和监测数据的最长期限。你必须重新启动设备以应用变化。

报告设置 - 报告云服务器URL

报告云服务器的URL,用于生成报告的PDF。

表:其他API属性

其他API属性

描述

Rest API模式

表明REST API是否启用。

表:串行端口属性

串行端口属性

描述

多个参数

通过串口参数,你可以配置设备后面板上的控制台端口。

如果有必要,你可以完全禁用它(清除启用串口复选框)并配置端口速度流量控制设置。注意,这些设置必须与连接到控制台端口的设备的配置相匹配。

使用该端口有三种工作模式:

  • 控制台- 这是配置的默认模式。该端口用于访问设备的控制台。

  • 活动- 不通过端口连接到设备的控制台,而是将数据转发到指定的telnet服务器,现在可以通过这个端口查看。输入telnet服务器的服务器TCP端口和服务器的IP地址。可以配置两个不同的IP服务器IP地址(主服务器次服务器)。

  • 被动- 在这种模式下,数据流是相反的,设备通过串行端口连接到所连接设备的控制台。这个控制台可以通过telnet连接到设备上的一个配置的端口进行访问。在Listen on TCP port中,输入端口号。

要配置允许任何来源的流量到这个端口的隐含规则,请确保选择隐含允许流量到这个端口。如果你不创建隐含规则,你必须在防火墙规则库中手动定义一个访问规则。

两台设备,一台是主动模式,另一台是被动模式,可以让客户端通过互联网使用telnet连接,远程连接到与被动模式的设备相连的控制台。

表:Smart Accel服务的属性

Smart Accel服务属性

描述

启用安全日志

表示是否启用了Smart Accel安全日志)。

表:Smart Accel设置

Smart Accel设置属性

描述

只有Accel信任的HTTPS域名

表示是否只对受信任的HTTPS域进行加注。

忽略错误

忽略与Smart Accel和防火墙策略规则有关的冲突。

表:SSL检查属性

SSL检查属性

描述

额外的HTTPS端口

用于SSL检查的额外HTTPS端口(以逗号分隔的端口/范围列表)。

记录空的SSL连接

记录在数据发送前被客户端终止的连接。这可能表明客户没有安装CA证书。

检索中级CA证书

表示SSL检查机制是否将对证书链中的所有中间CA证书进行验证。

追踪验证错误

选择是否跟踪SSL检查验证。

验证CRL

表示SSL检查机制是否会放弃出示已撤销证书的连接。

验证过期时间

表示SSL检查机制是否会放弃呈现过期证书的连接。

验证不可达的CRL

指示SSL检查机制是否会放弃呈现具有无法到达的CRL的证书的连接。

验证不受信任的证书

表示SSL检查机制是否会放弃呈现不受信任的服务器证书的连接。

表:状态检测属性

状态检测属性

描述

接受不在状态的TCP数据包

指示与TCP连接的当前状态不一致的TCP数据包是否被丢弃(当设置为0时)或接受(当设置为任何其他值时)。

接受有状态的ICMP错误

接受指另一个非ICMP连接(例如,指正在进行的TCP或UDP连接)的ICMP错误包,该连接已被规则库接受。

接受有状态的ICMP回复

接受被规则库接受的ICMP请求的ICMP回复包。

接受未知服务的有状态UDP回复

指定是否要接受未知服务的UDP回复。在每个UDP服务对象中,可以配置如果该服务在接受流量的规则中被匹配,是否接受它的UDP回复。这个参数指的是所有没有被服务对象覆盖的连接。

接受有状态的其他IP协议对未知服务的回复

接受有状态的其他IP协议对未知服务的回复。在每个服务对象中,可以配置如果该服务在接受流量的规则中被匹配,是否接受对它的回复。这个参数指的是所有没有被服务对象覆盖的TCP/UDP连接。

允许LAN-DMZ DPI

允许对内部网络和DMZ网络之间的流量进行深度包检测。

注意- 1530 / 1550设备不支持DMZ。

允许LAN-LAN DPI

允许在内部网络之间的流量中进行深度包检测。

丢弃不在状态的ICMP数据包

丢弃不在 "虚拟会话 "范围内的ICMP数据包。

ICMP虚拟会话超时

一个ICMP虚拟会话在这个时间段(以秒为单位)后被认为已经超时了。

记录掉落的状态外ICMP数据包

表示掉落的非状态ICMP数据包是否产生日志。参见 "丢弃超出状态的ICMP数据包 "参数。

记录掉落的超状态TCP数据包

指示掉落的非状态TCP数据包是否产生日志。请参阅 "接受不在状态的TCP数据包 "参数。

其他IP协议的虚拟会话超时

不属于TCP、UDP或ICMP的服务的虚拟会话在这个时间段(秒)后被认为已经超时。

TCP结束超时

表示TCP会话结束的超时(以秒为单位)。一个TCP会话在两个FIN数据包(每个方向一个)或一个RST数据包之后被认为是 "结束"。

TCP会话超时

表示TCP会话的超时(以秒为单位)。如果一个TCP会话在这个时间段(以秒为单位)后仍处于空闲状态,就会超时。

TCP启动超时

表示TCP会话启动的超时(单位:秒)。如果第一个数据包的到达和连接的建立(TCP三方握手)之间的间隔超过这个时间段(秒),则TCP连接超时。

UDP虚拟会话超时

一个UDP虚拟会话在这个时间段(以秒为单位)后会超时。

表:流媒体引擎设置属性

流媒体引擎设置属性

描述

多个参数

这些设置决定了各种深度检查刀片(IPS、应用控制关闭 安全网关上的Check Point软件刀片,通过使用深度数据包检查,允许对特定的网络应用进行细化控制。简称。APPI。防僵尸网络关闭 Check Point软件刀片在一个安全网关上,可阻止僵尸网络行为和与指挥和控制(C&C)中心的通信。缩略语。AB,ABOT。防病毒关闭 安全网关上的Check Point软件刀片使用ThreatCloud的实时病毒签名和基于异常的保护措施,在用户受到影响之前在安全网关上检测和阻止恶意软件。简称。AV。等)使用的TCP流引擎如何处理协议违反和阻止流引擎进一步检查的事件。

我们强烈建议,这些设置应始终处于预防模式。在检测模式下使用这些设置可能会大大降低安全性,因为当事件或违规行为发生时,检测会停止。

当配置被设置为记录此类事件时,日志将显示在IPS刀片下的日志用户和对象Monitoring > Security Logs中。

对于每个违规或事件,配置行动跟踪模式。

TCP分段限制的执行

对于每一个通过网关的TCP段,网关都会保留该段的副本,直到收到该段被接收的确认信息。这种缓冲数据在网关的内存中占据了空间。这就对每个连接的缓冲段的数量和大小进行了限制。当一个连接达到这些限制之一时,网关不接受这个连接的新段,直到缓冲段被确认。

TCP失序

TCP流的接收主机对段进行缓冲,只保留指定窗口内的段。在这个窗口之外的片段不会被接收主机处理。处于TCP接收窗口之外的TCP段不应被网关处理。所有来自窗口之外的TCP段的数据都被丢弃或删除。如果该段在窗口附近,数据将被剥离。如果该段离窗口很远,则该段被放弃。

TCP无效重传

对于每一个通过网关的TCP段,网关都会保留一份段的副本,直到网关收到该段被接收的确认。如果没有收到确认,源机器再次发送该段,网关将其与副本进行比较,以验证新数据包与原始数据包相匹配。传递与原始数据不同的重传,允许未经检查的数据到达目的地应用程序。这可以阻止与原始段不同的段重传,这保证了网关检查所有由接收应用程序处理的数据。当设置为检测时,这种重传会导致流量绕过深度检测刀片。

TCP无效校验和

网关不需要检查具有无效TCP校验和的数据包,因为这些数据包会被接收主机的TCP堆栈丢弃。这将阻止具有无效校验和的TCP数据包。由于网络设备出现故障,在网络上看到一些具有不正确校验和的数据包是正常的。这并不表明有攻击企图,为此,默认是不记录此类事件。

TCP SYN修改后的重传

一个TCP SYN数据包可能以改变的序列号重新传输,试图启动一个IPS不检查的连接。这将阻止序列号被修改的SYN重传。当设置为检测时,这种重传会导致流量绕过深度检测刀片。

TCP紧急数据执行

一些TCP协议,如Telnet,使用TCP URG位作为协议语法的一部分发送带外数据,而大多数协议不使用TCP带外功能。允许有URG位的数据包可能会阻止网关确定哪些数据会被接收应用程序处理。这可能导致一种情况,即网关检查的数据不是接收应用程序处理的,从而使IPS保护被绕过。当在一个不支持带外功能的协议中收到带有URG位的数据包时,网关不能确定接收的应用程序是否处理这些数据。在不支持TCP带外功能的协议中,这将从设置了URG位的TCP段中移除URG位。当设置为检测时,URG位的使用导致流量绕过深度检测刀片。

流检查超时

正在接受专用程序检查的连接可能会被推迟,直到检查完成。如果在一个时间限制内没有完成检查,连接就会被放弃,这样就不会保持资源开放。这将阻止检查超时的连接。当设置为检测时,超过超时将导致流量绕过深度检测刀片。

表:威胁预防防僵尸网络策略属性

威胁预防防僵尸网络策略属性

描述

资源分类模式

表示防僵尸网络引擎用于资源分类的模式:

  • 保持- 连接被阻断,直到分类完成。

    当一个连接不能用缓存响应进行分类时,它仍然被阻止,直到Check Point在线网络服务完成分类。

  • 背景- 在分类完成之前,允许连接。当一个连接不能用缓存的响应进行分类时,会收到一个未分类的响应。该连接是允许的。在后台,Check Point在线网络服务继续进行分类程序。然后,响应被缓存在本地,供以后的请求使用。这个选项可以减少分类过程中的延迟。

表:威胁预防防病毒策略属性

威胁预防防病毒策略属性

描述

文件扫描尺寸限制

表示防病毒引擎扫描的文件的大小限制(KB)。要指定无限制,请设置为0。

MIME最大嵌套级别

对于包含嵌套MIME内容的电子邮件,设置ThreatSpect引擎在电子邮件中扫描的最大级别数。

MIME嵌套级别超过了行动

如果MIME内容的嵌套层次多于配置的数量,则选择阻止允许该邮件文件。

优先扫描

根据安全和性能优先级进行扫描,以实现最大限度的优化。

资源分类模式

表示防病毒引擎用于资源分类的模式:

  • 保持- 连接被阻断,直到分类完成。

    当一个连接不能用缓存响应进行分类时,它仍然被阻止,直到Check Point在线网络服务完成分类。

  • 背景- 在分类完成之前,允许连接。当一个连接不能用缓存的响应进行分类时,会收到一个未分类的响应。该连接是允许的。在后台,Check Point在线网络服务继续进行分类程序。然后,响应被缓存在本地,供以后的请求使用。这个选项可以减少分类过程中的延迟。

表:威胁预防 威胁模拟策略属性

威胁预防 威胁模拟策略属性

描述

仿真连接处理模式 - IMAP

表示威胁仿真关闭 Check Point软件刀片在安全网关上,监控沙盒中文件的行为,以确定它们是否是恶意的。简称。TE。引擎对IMAP的严格程度模式:

  • 背景- 在文件仿真运行时允许连接(如果需要),直到仿真处理完成。

  • 保持- 连接被阻止,直到文件模拟完成。

仿真连接处理模式 - POP3

表示威胁仿真引擎对POP3的严格性模式:

  • 背景- 在文件运行时允许连接(如果需要)。

  • 保持- 连接被阻止,直到文件模拟完成。

仿真连接处理模式 - SMTP

表示威胁仿真引擎在SMTP上的严格性模式:

  • 背景- 在文件模拟运行时允许连接(如果需要)。

  • 保持- 连接被阻止,直到文件模拟完成。

仿真位置

指示是否在公共威胁云或远程(私人)SandBlast上进行仿真。

主要模拟网关

主要远程仿真网关的IP地址。

表:威胁预防策略属性

威胁预防策略属性

描述

当服务不可用时进行阻止

当Check Point ThreatCloud在线网络服务不可用时,阻止网络请求流量。

失败模式

表示在内部系统错误或过载的情况下对流量采取的行动(允许所有请求阻止所有请求)。

文件检查大小限制

表示威胁预防引擎所检查的文件的大小限制(KB)。

注意- 限制太低可能对应用控制刀片的功能有影响。要指定无限制,请设置为0。

跳过HTTP检查的方法

警告- 将设置改为"完全 "会产生严重的安全影响。

一个HTTP连接可以由许多会话组成。一个文件是HTTP连接的一部分,在一个HTTP会话中传递。

如果配置了非零的文件检查大小限制默认跳过HTTP检查的方法的设置是:文件检查被跳过到会话结束,并在下一个HTTP会话中恢复。

如果配置了非零的文件检查大小限制,并且跳过HTTP检查的方法改为Full ,那么文件检查将被跳过到连接的末端,并在下一个连接中恢复。这提高了性能,因为连接的剩余部分是完全加速的。然而,建议将设置改为Full ,因为会产生严重的安全影响:连接的其余会话不被检查。

威胁预防策略 - 用完整的软件包更新威胁预防措施

用最新的软件包更新威胁预防系统。

允许我在我的用户中心账户中查看攻击统计数据

允许在你的用户中心账户中查看攻击统计数据。欲了解更多信息,请参阅威胁预防 - Infinity SOC

允许攻击统计中的IP地址信息

可选:在攻击报告中启用真实的IP地址信息(见sk164332 - 节 "去模糊化受害者的真实IP"):

表:USB调制解调器的看门狗属性

USB调制解调器看门狗属性

描述

间隔

指示USB调制解调器看门狗探测互联网的频率(以分钟为单位)。

模式

指示在启用互联网探测时是否启用USB调制解调器看门狗,以及复位类型。

当互联网探测显示没有互联网接入时,要启用USB调制解调器看门狗,请选择这些复位选项之一:

  • 禁用- 默认。

  • 硬重置- 关闭USB调制解调器的电源,然后再次打开。

  • 网关重置- 重新启动设备。

  • 硬网关重置- 首先重新启动网关,如果不成功,则重新启动设备。

只有USB

只监控USB调制解调器连接,不监控其他互联网连接。

在这种模式下,当监控其他互联网连接时,只有在所有互联网连接(而不仅仅是USB调制解调器)探测失败时才会发生网关重置。

类型:布尔型

表:更新服务时间表 属性

更新服务时间表属性

描述

最大重试次数

表示当云不可用时,单个更新的最大重试次数

重试前的超时

表示更新重试前的超时时间(秒)。

表:用户感知的属性

用户感知属性

描述

AD域关联超时

表示缓存一个用户和一个IP地址之间的关联的超时(分钟)。

允许未知用户使用DNS

表示当在用户和对象 > 用户感知关闭 Check Point的一个软件刀片,旨在将用户与IP地址联系起来,用于记录和控制。> 基于浏览器的身份验证 > 认证标签中选择了在无法使用专用门户网站时阻止未经验证的用户时,未认证用户的DNS流量不会被阻止。

如果没有DNS流量,终端用户的浏览器可能不会显示专属门户。

假设每个IP地址有一个用户

当在用户用户和对象对象 > 用户感知中启用Active Directory查询时,该参数表示只能从一个设备中识别一个用户。当两个或更多的用户从一个设备连接时,只有最后登录的用户被识别。

记录被拦截的未知用户

表示当在用户用户和对象对象 > 用户意识> 基于浏览器的身份验证 > 认证选项瞳中选择未经验证的用户当验证门户是可能的时,是否会记录被阻止的未验证用户。

表:用户管理属性

用户管理属性

描述

自动删除过期的本地用户

每24小时(午夜后)自动删除所有过期的本地用户。

表:VPN远程访问属性

VPN远程访问属性

描述

允许在断开连接时取消流量

表示当远程访问VPN关闭 远程访问客户端(如端点安全VPN)和安全网关之间的加密隧道。客户端没有连接到站点时,是否处理到VPN域关闭 一组计算机和网络通过一个VPN网关连接到VPN隧道,该网关处理加密并保护VPN域成员。的流量,是不加密(清空)发送还是放弃。

允许同时登录

表示一个用户是否可以登录到多个会话。如果该选项被禁用,而用户以相同的凭证第二次登录时,前一个会话将被断开。

认证超时

表示在启用超时的情况下,远程客户端的密码保持有效的时间(分钟)。

启用认证超时

表示远程客户端的密码是否只在配置的时间内保持有效(认证超时属性)。

在VPN域中自动断开连接

表示当客户端从安全的内部网络(本地加密域关闭 安全网关所保护的网络,它为其加密和解密VPN流量。)连接时,是否自动断开连接以节省资源。

背部连接使

启用从网关后面的加密域到客户端的反向连接。

返回连接的保持时间间隔

表示网关与客户端之间的连接所需的向网关发送保持性数据包的时间间隔(以秒为单位)。

在所有接口上启用访客模式

在该接口上启用访客模式

这个对话框让你为访客模式配置一个指定的接口。访客模式允许设备监听指定端口(默认为443端口)上的TCPT流量,作为远程访问客户端IKE连接的备份。

这种模式通常用于允许从限制性环境(如酒店)后面进行VPN远程访问连接。

不建议将访客模式修改为只在特定接口上启用。

加密DNS流量

指示远程客户端向位于加密域的DNS服务器发送的DNS查询是否通过VPN隧道。

加密方法

表示IKE阶段1和2使用的是哪种IKE加密方法(版本)。

端点连接重新认证的超时

表示直到Endpoint Connect用户的证书被重新发送到网关以验证授权的时间(以分钟计)。

IKE IP压缩支持

指示来自远程访问客户端的IPSec数据包是否被压缩。

通过 TCP 的 IKE

启用对TCP的IKE的支持。

IKE重启恢复

在处理远程访问客户端时,由于客户端地址未知,设备无法启动IKE第一阶段协商。如果设备与远程访问客户端有一个活动的SA,而它重新启动,SA就会丢失,设备就不能启动IKE阶段1。但是,如果选择重启选项,设备每分钟都会保存隧道的详细信息。当设备重新启动后,第一个加密数据包到达时,设备会发送一个删除SA消息。这将导致远程客户端丢弃旧的SA,并启动IKE阶段1来重新打开隧道。

传统的NAT穿越

指示Check Point专有的NAT穿越机制(UDP封装)是否为SecureClient启用。

仅在内部规则库上匹配

来自远程访问客户端的流量将始终在输入/内部/VPN规则库中匹配,包括到互联网的流量。

在SSL VPN门户中支持最小的TLS版本

表示SSL VPN门户支持的最小TLS协议版本。出于安全考虑,我们建议支持TLS 1.2及以上版本。

启用多接口的办公模式

指示是否启用了一种机制(对性能有影响),以改善远程访问客户端和具有多个外部接口的设备之间的连接。

办公模式 执行反欺骗

每个站点的单一办公室模式

  • 办公模式执行反欺骗- 如果选择该选项,VPN将验证封装的IP地址是办公模式IP地址的数据包是否确实来自办公模式下的客户地址。如果地址是由DHCP服务器分配的,VPN必须知道从DHCP范围分配的地址范围,才能使反欺骗功能发挥作用。定义一个代表DHCP范围的网络对象关闭 代表企业拓扑结构不同部分的逻辑对象--计算机、IP地址、流量协议等。管理员在安全策略中使用这些对象。,并在这里选择它。

  • 每个站点的单一办公模式- 在远程用户连接并从网关收到一个办公模式IP地址后,与该网关加密域的每个连接都会以办公模式IP作为内部源IP出去。办公室模式IP是加密域中的主机识别为远程用户的IP地址。由特定网关分配的办公模式IP地址可以在其自己的加密域和邻近的加密域中使用。相邻的加密域应驻扎在与分配网关属于同一VPN社区关闭 一个命名的VPN域集合,每个域都由一个VPN网关保护。的网关后面。由于远程主机的连接依赖于它所收到的办公模式IP地址,如果发出该IP的网关不可用,所有与该站点的连接就会终止。

办公室模式从RADIUS分配

指示办公室模式分配的IP地址是否取自用于验证用户的RADIUS服务器。

禁用办公模式

指示办公室模式(为远程访问客户端分配IP地址)是否被禁用。不建议这样做。

在客户端缓存密码

表示是否使用密码缓存。这意味着,当客户试图访问一个以上的网关时,不需要重新认证。

防止IP NAT池

防止IP池NAT配置应用于办公模式用户。在使用SecureClient以及其他VPN客户端时需要这样做(见sk20251 )。

半径重传超时

每次RADIUS服务器连接尝试的超时间隔(秒)。

远程访问端口

为端口转发保留443端口

默认的远程访问端口是443端口。如果与其他使用此端口号的服务器有冲突,请配置一个不同的远程访问端口。如果启用了Check Point VPN客户端、移动客户端或SSL VPN远程访问,你必须改变默认的远程访问端口,因为它们默认使用443端口。如果你改变了默认的端口号443,请确保为端口转发选择储备端口443

SNX保持不变的时间间隔

表示SSL网络扩展器关闭 一个安全的连接框架,用于远程访问企业网络的VPN。SSL网络扩展器使用安装在用户远程计算机上的瘦型VPN客户端,连接到VPN网关上支持SSL的Web服务器。见sk65210。简称。SNX。客户端保持连接数据包之间的时间(秒)。

SNX重新认证超时

表示SSL网络扩展器远程访问用户重新认证的间隔时间(分钟)。

SNX支持3DES

表示SSL客户端是否会支持3DES加密算法以及默认算法。

SNX支持RC4

表示SSL客户端是否支持RC4加密算法,以及默认算法。

卸载SNX

这个参数可以让你配置SSL网络扩展器客户端在什么条件下自我卸载。这些选项是::不要自动卸载(推荐默认),总是在断开连接时卸载,并在断开连接时通知用户。

SNX升级

这个参数可以让你配置SSL网络扩展器客户端在哪些条件下进行自我安装。这些选项是::不自动升级,总是升级,并通知用户(默认)。

拓扑结构更新的手动间隔

表示手动配置的对客户进行拓扑更新的时间间隔(小时)。只有当覆盖设置被设置为 "真 "时才适用。

拓扑更新覆盖

表示配置的拓扑更新设置是否覆盖了默认的 "每周一次 "策略。

仅在启动时更新拓扑结构

表示拓扑更新是否只在客户端启动时发生。只有当覆盖设置被设置为 "真 "时才适用。

双因素认证

  1. 选择或取消该复选框:

    • 取消- 设备通过短信和电子邮件发送OTP(这是默认的)。

    • 选择- 终端用户在其远程访问VPN客户端点击 "连接 "后,在下一个窗口中,终端用户必须输入一个手机号码以通过短信获得OTP,或输入一个电子邮件以通过电子邮件获得OTP。

  2. 点击应用.

注意- 该设置不影响 WebUI 中VPN 远程访问控制页面的选择界面。用户仍然必须配置为通过电子邮件、短信或这两种方式接收密码。

验证设备证书

远程访问客户端根据撤销列表验证设备的证书。

如果用户至少属于一个未经许可的组,则阻止其进入。

表示是否启用了严格的组权限 - 如果用户至少属于一个没有远程访问权限的组,则没有远程访问权限。

表:VPN站点到站点的全局设置属性

VPN站点到站点的全局设置属性

描述

接受NAT穿越

表示是否启用了行业标准的NAT穿越(UDP封装)。这样,即使远程站点在NAT设备后面,也能建立VPN隧道。

行政通知

表示如何记录一个管理事件(例如,当一个证书即将过期时)。

检查IPSec回复数据包的有效性

表示是否要检查IPSec回复数据包的有效性。

集群SA同步数据包阈值

当数据包的数量达到这个阈值时,与其他集群成员同步SA。

从加密/解密的IPSec数据包中复制DiffServ标记

从加密/解密的IPSec数据包中复制DiffServ标记。

将DiffServ标记复制到加密/解密的IPSec数据包上

将DiffServ标记复制到加密/解密的IPSec数据包。

DPD触发了新的IKE协商

DPD触发了新的IKE协商。

从死亡的对等体中删除IKE SAs

从一个死亡的对等体中删除IKE SAs。

在IKE SA删除中删除IPsec SA

在IKE SA删除中删除IPsec SA。

隧道测试失败时删除隧道SA

当永久VPN隧道被启用且隧道测试失败时,删除相关对等体的隧道SA。

不对来自本地网关的连接进行加密

原始源或目标IP地址是本地网关的互联网连接IP地址的数据包将不会通过VPN隧道。这个参数在隐藏NAT后的网关可能很有用。

不对本地DNS请求进行加密

当启用时,来自设备的DNS请求将不被加密。当配置的DNS服务器在VPN对等体的加密域中时相关。

启用加密数据包的重新路由

指示加密数据包是否根据对等体的IP地址或探测,通过最佳接口重新路由。我们不建议将此值改为false。

CRL不再有效后的宽限期

需要CRL宽限期来解决设备和远程CA之间不同的时钟时间问题。

宽限期允许扩大CRL有效期的窗口。

表示远程站点被废止的证书保持有效的时间(以秒为单位)。

CRL生效前的宽限期

需要CRL宽限期来解决设备和远程CA之间不同的时钟时间问题。

宽限期允许扩大CRL有效期的窗口。

表示在CA设定的时间之前,证书被认为是有效的时间窗口(单位:秒)。

来自已知站点的 IKE DoS 保护

表示是否激活已知IP地址的IKE DoS保护以及检测潜在攻击者的方法。

来自未知站点的IKE DoS保护

表示是否激活来自未识别IP地址的IKE DoS保护以及检测潜在攻击者的方法。

来自同一IP的IKE回复

指示在IKE会话中使用的源IP地址是基于回复传入连接时的目的地,还是基于一般的源IP地址链接选择配置。

IKEV2钥匙类型

IKEV2通信使用的密钥类型。

选项:

在IKE快速模式下加入相邻的子网

表示是否在IKE快速模式下加入相邻子网。

在数据包上保留DF标志

表示在加密/解密过程中是否在数据包上保留 "不要碎片 "标志。

保存IKE的SA密钥

保留IKE的SA密钥。

关键的交换错误跟踪

表示如何记录VPN配置错误或密钥交换错误。

匹配出站规则基础关闭 在一个特定的安全策略中配置的所有规则。同义词。规则基地。上的互联网流量

从VPN对等体到互联网的流量如果全部通过该网关路由,将在出站规则库中匹配。

最大并发的IKE谈判

表示并发的VPN IKE协商的最大数量。

最大并发隧道

表示并发的VPN隧道的最大数量。

开放的SAs限制

表示每个VPN对等体开放SA的最大数量。

出站链接跟踪

表示如何记录流出的VPN链接:"记录","不记录",或 "告警"。

覆盖 "将所有流量路由到远程VPN站点 "的配置,以便管理员访问设备

选择该选项可以防止管理员对该设备的访问被路由到远程站点,即使配置了 "路由所有流量到远程VPN站点"。

数据包处理错误跟踪

指示如何记录VPN数据包处理错误:"记录","不记录",或 "告警"。

使用一个内部IP地址进行隧道测试

隧道测试可确保对等VPN网关关闭 管理VPN域成员之间流量加密和解密的网关,通常位于VPN隧道的一端(远程访问VPN)或两端(站点到站点VPN)。之间的VPN隧道是正常的。

默认情况下,测试是通过确保对等VPN网关的所有外部IP地址之间存在连接来完成的。

你可以配置这个选项,使用属于本地加密域的网关的内部IP地址进行隧道测试。

你可以在日志和监控标签中看到VPN隧道的状态。

永久性隧道下行追踪

表示当隧道发生故障时如何记录:记录,不记录,或提醒。

永久性隧道向上追踪

表示在隧道启动时如何记录:记录,不记录,或提醒。

RDP数据包回复超时

RDP数据包回复的超时(以秒为单位)。

来自传入接口的回复

当隧道从远程站点启动时,适用时从相同的传入接口回复(IKE和RDP会话)。

成功的密钥交换跟踪

表示当有一个成功的密钥交换时,如何记录:记录,不记录,或提醒。

在IKE中使用集群IP地址

表示是否使用集群IP地址进行IKE(适用时)。

使用内部IP地址进行本地网关的加密连接

源自本地网关的加密连接将使用一个内部接口的IP地址作为连接源。

VPN隧道共享

表示在什么条件下创建新的隧道:每个主机对、每个子网(行业标准)、或每个远程站点/网关的单个隧道:这控制了创建的隧道的数量。

表: VoIP属性

VoIP属性

描述

接受对注册端口的MGCP连接

表示MGCP流量的深度检查是否自动接受MGCP连接到注册的端口。

接受SIP连接到注册的端口

指示SIP流量的深度检查是否自动接受SIP连接到注册端口。

延长SIP服务超时

表示在禁用服务检查时是否延长SIP服务超时。默认情况下,超时的增强适用。

当你在VoIP向导中禁用SIP检查并将SIP_UDP服务的超时设置为默认的TCP连接超时时,就会发生激活。

表:网络界面设置和自定义属性

网络界面设置和定制属性

描述

多个参数

在设备的Web界面中选择使用公司标志,以显示不同的标志(不是Check Point默认标志)。

公司标志中,点击上传公司标志链接,浏览到标志文件,并点击应用

公司URL中,输入公司的URL。当你点击网页界面中的公司标志时,它会打开这个URL。