進階設定

“ 設備 > 進階設定 ”頁面適用於進階管理者或 Check Point Support。您可以為各種邊欄選項卡的多個進階設定設定值。

重要事項 - 在不完全瞭解這些進階設定的情況下更改這些設定可能會損害此設備的穩定性、安全性和性能。僅當您確定瞭解所需的更改時，才繼續。

有關屬性的更多詳細資訊，請在必要時諮詢 Check Point Support 。

過濾屬性清單：

在要過濾的類型欄位中輸入文字。

搜尋結果會在您鍵入時動態顯示。
要取消過濾器，請按下搜索字串旁邊的 X 。

要設定設備屬性：

選擇一個屬性。
單擊編輯.

屬性視窗隨即打開。
設定設定，或點擊恢復預設值將屬性重置為預設設定。有關屬性的更多詳細資訊，請參閱後續部分。
點擊套用.

要將設備屬性重置為預設設定：

在「進階設定」視窗中，點擊恢復預設值。

將打開「確認」視窗。
點擊「是」.

所有設備屬性都將重置為預設設定。

表：管理者鎖定屬性
管理者鎖定屬性	描述
管理者鎖定 - 手機應用程式session超時	執行自動登出之前允許的行動應用程式工作階段（以天為單位）預設值為 30。

表：管理者RADIUS身份驗證屬性
管理者RADIUS身份驗證屬性	描述
本地身份驗證（RADIUS 伺服器）	僅當RADIUS伺服器未設定或無法訪問 UserCheck 規則動作可封鎖流量和檔案，並顯示 UserCheck 訊息。使用者可以同意允許該活動。時，才執行本地管理者身份驗證。

表：Aggressive Aging屬性
Aggressive Aging屬性	描述
多個參數	Aggressive Aging有助於管理防火牆的連線表容量和記憶體消耗，以提高持久性和穩定性。 Aggressive Aging引入了一群組具有共用屬性的物件集合，例如使用者帳號。新的短超時，稱為主動超時。當連線空閒超過其主動超時時，它將被標記為“符合刪除條件”。當連線表或記憶體消耗達到使用者定義的閾值時，Aggressive Aging開始刪除“符合刪除條件”的連線，直到記憶體消耗或連線容量減少回所需級別。 Aggressive Aging允許閘道電腦處理大量意外流量，尤其是在拒絕服務攻擊期間。如果超過定義的閾值，則每個傳入連線將觸發從“符合刪除條件”列表中刪除十個連線。每個新連線都會刪除另外十個連線，直到記憶體消耗或連線容量低於強制限制。如果沒有「符合刪除條件」的連線，則此時不會刪除任何連線，但在每次超過閾值的後續連線後都會檢查清單。超時設定是記憶體消耗設定中的關鍵因素。當超時值較低時，從表中刪除連線的速度更快，從而使防火牆能夠同時處理更多連線。當記憶體消耗超過其閾值時，最好使用較短的超時，以保持絕大多數流量的連線。 Aggressive Aging的主要好處是，當裝置仍有可用記憶體並且連線表未完全滿時，它開始運行。這樣，它減少了在資源匱乏的情況下可能發生的連線問題的可能性。
	要設定Aggressive Aging：選擇在設備負載不足時啟用連線的Aggressive Aging。若要記錄Aggressive Aging事件，請選擇“ 記錄Aggressive Aging事件”。紀錄顯示在「IPS」邊欄選項卡下的「與監視 > 安全日誌紀錄」中。選中要強制執行的Aggressive Aging超時的複選框，然後輸入Aggressive Aging超時。確保主動超時低於預設超時。可以在「設備 > 進階設定 > 連線狀態檢查」屬性中查看和設定預設超時。要設定何時強制實施Aggressive Aging超時，請執行以下操作：在「強制計時」部分下，選擇在連線表超過限制、記憶體超過限制或兩者均超過其限制時是否強制執行這些超時。輸入要定義為連線表或記憶體消耗限制的百分比。如果同時選擇兩者，則套用其他選項的百分比欄位中的值。預設值為 80%，如果連線表或記憶體消耗超過此限制，則會刪除“符合刪除條件”清單中的連線。

表：反ARP欺騙屬性
反ARP欺騙屬性	描述
反ARP欺騙模式	反ARP欺騙保護模式。保護可以關閉、打開或處於僅偵測 UserCheck 規則動作，允許流量和檔案進入內部網路並記錄它們。模式。
指定攻擊的偵測視窗時間	分配給同一 MAC 位址的 IP 位址指定 ARP 欺騙攻擊的時間段（以秒為單位）。
指定攻擊的IP位址數	在「偵測」視窗期間分配給同一 MAC 位址的 IP 位址數，該 IP 位址將指定 ARP 欺騙攻擊。
可疑的 MAC 阻止期	可疑 MAC 位址保留在阻止清單中的時間段（以秒為單位）。

表：反垃圾郵件政策屬性
反垃圾郵件政策屬性	描述
所有郵件追蹤	不被視為垃圾郵件或可疑垃圾郵件的電子郵件的追蹤選項。追蹤此類電子郵件可能會影響性能。
允許的郵件追蹤	在「威脅防護 > 反垃圾郵件例外」頁中手動允許的電子郵件的追蹤選項。
基於內容的反垃圾郵件超時	指定在基於內容的反垃圾郵件檢查期間等待來自雲的回應的超時（以秒為單位）。
電子郵件大小掃描	指定要掃描的電子郵件內容的最大大小（以 KB 為單位）
IP 信譽失效開放	指定在反垃圾郵件 IP 信譽測試期間對內部錯誤執行的操作。
IP 信譽超時	指定等待IP信譽測試結果的超時時間（以秒為單位）。
掃描外發電子郵件	掃描從本地網路發送到網際網路的電子郵件內容。
透明代理	對檢查的電子郵件連線使用透明代理。禁用後，需要在使用者端裝置上設定代理位址和埠。

表：反欺騙屬性
反欺騙屬性	描述
啟用全網域反欺騙	指定是否根據所有介面的區域網路在所有介面上自動啟用反欺騙。

表：應用程式與 URL 過濾屬性
應用程式與 URL 過濾屬性	描述
服務不可用時阻止	指定當Check Point分類和小群組件定義連線 Web 服務不可用時是否阻止 Web 請求。
對快取和已轉換的頁面進行分類	指定是否對搜尋引擎創建的快取頁和已轉換頁執行 URL 分類。
基於 HTTPS 的自訂應用程式	指定是否將使用 SNI 欄位透過 HTTPS 流量匹配自訂 URL 和應用程式。重要說明：由於 HTTPS 流量中的 SNI 區域依賴於瀏覽器且混雜，因此它不保證 100% 匹配。
強制實施安全搜索	指定 URL 過濾政策是否覆蓋使用者瀏覽器中的安全搜尋設定。無論使用者選擇了什麼，都會套用最嚴格的安全搜索設定。明確的色情內容會從搜尋引擎的結果中過濾掉。
故障模式	指定在發生內部系統錯誤或過載時對流量執行的操作。
追蹤瀏覽時間	在日誌中顯示使用者連線到 HTTP 工作階段中不同網站和應用程式的總時間
使用 HTTP 引用標頭	指定檢查引擎是否使用 HTTP“反向連結”標頭（最初是引用器的拼寫錯誤）來改進應用程式標識。
網站分類模式	指定用於網站分類的模式：背景 - 在分類完成之前允許請求。當無法使用快取回應對請求進行分類時，將收到未分類的回應。允許訪問該網站。在後台，Check Point在線 Web 服務繼續分類過程。然後，回應將在本地快取以備將來請求使用（預設）。此選項可減少分類過程中的延遲。保留 - 在分類完成之前，將阻止請求。當無法對請求使用快取的回應進行分類時，它將保持阻止狀態，直到Check Point連線 Web 服務完成分類。

表：容量優化屬性
容量優化屬性	描述
連線hash表大小	指定連線hash表的大小（以位元群組為單位）。此值必須是指數冪的整數，大約是最大併發連線參數的四倍。
最大併發連線數	指定併發連線總數的最大數量。

表：雲端服務韌體升級屬性
雲端服務韌體升級屬性	描述
服務訪問最大重試次數	指定使用服務升級失敗時的最大重試次數。
重試前的服務訪問超時	指定下次重試之前服務連線失敗時等待的時間（以秒為單位）。

表：叢集屬性
叢集屬性	描述
同步	指定是否啟用了同步機制。將標籤從切換到 `falsetrue` 可能會導致故障轉移將流量控制 (封包過濾) 從遭遇失敗的叢集成員傳輸至另一個叢集成員 (根據內部叢集演算法)。Synonym：容錯移轉。。違約： `false`
使用虛擬 MAC	指定所有成員是否使用虛擬 MAC 位址，以允許網路交換機更快地進行故障轉移。使用虛擬 MAC 位址：最大限度地減少故障轉移期間的潛在流量中斷。無需對 NAT 處理的 IP 位址使用 G-ARP。

表：DDNS 屬性
DDNS 屬性	描述
反覆運算	DNS 更新數。

表：DHCP 橋接器屬性
DHCP 新娘屬性	描述
MAC 分配	指定 DHCP 橋接器的 MAC 位址是從內部埠（LAN）還是外部埠（WAN、DMZ）獲取的。

表：DHCP 中繼屬性
DHCP 中繼屬性	描述
使用內部IP位址作為來源	如果來自設備的 DHCP 中繼數據包來源自內部 IP 位址，請選擇使用內部 IP 位址作為來源。如果 DHCP 伺服器位於遠端 VPN 網站後面，則可能需要這樣做。

表：DSL 全網域屬性
DSL 全網域屬性	描述
DSL globals - VDSL2	支援 ITU G.993.2 VDSL2。
DSL globals - ADSL DMT （G.992.1）	支援國際電聯G.992.1 ADSL（G.dmt）。
DSL globals - ADSL lite （G.992.2）	支援ITU G.992.2 ADSL Lite（G.lite）。
DSL 全網域 - ADSL2 （G.992.2）	支援國際電聯G.992.3 ADSL2。
DSL 全網域 - ADSL2+ （G.992.5）	支援國際電聯G.992.5附件M ADSL2+M。
DSL 全網域 - T1.413	支援 ANSI T1.413-1998 第 2 期 ADSL。
DSL 全球 - 附件 J/M	在附件 A 設備中：結合支援的ADSL2+，它指定附錄M ADSL2+。在附件 B 設備中：結合支援的 ADSL2，它指定附錄 J ADSL2。
DSL 全球 - 附件 L	在附件 A 設備中：結合啟用的 ADSL2 （G.992.3）指定對附錄 L 的支援。
DSL 全網域 - 8a	支援 VDSL 設定檔 8a。
DSL 全網域 - 8b	支援 VDSL 設定檔 8b。
DSL 全網域 - 8c	支援 VDSL 設定檔 8c。
DSL 全網域 - 8D	支援 VDSL 設定檔 8d。
DSL 全網域 - 12a	支援 VDSL 設定檔 12a。
DSL 全網域 - 12b	支援 VDSL 設定檔 12b。
DSL 全球 - 17a	支援 VDSL 設定檔 17a。
DSL 全網域 - 無縫速率自適應（SRA）	實現無縫速率自適應。
DSL globals - G.INP	增強的脈衝雜訊保護。
DSL 全球 - US0	允許在 VDSL 中使用第一個上行頻帶。

注意 - 當所有 ADSL 標準在進階設定中關閉並且您只能使用 VDSL2 標準進行連線時，即使 VPI、VCI 和封裝選項不用於打開網際網路連線，它們仍然會顯示。

表：防火牆政策屬性
防火牆政策屬性	描述
阻止的數據包操作	對被阻止資料包的操作：丟棄、拒絕或自動（從外部丟棄並從內部拒絕）。
日誌隱含規則規則庫中的一群組流量參數和其他條件，可導致針對通訊工作階段採取指定的動作。	為與隱含規則匹配的連線產生日誌記錄。

表：常規臨時目錄大小屬性
常規臨時目錄大小屬性	描述
常規臨時目錄大小	控制常規臨時目錄的大小（以 MB 為單位）。
系統臨時目錄大小	控制系統使用的臨時目錄的大小（以 MB 為單位）。

表：硬體選項屬性
硬體選項屬性	描述
重置為出廠預設值超時	按住設備後面板上的出廠預設設定按鈕以恢復為出廠預設設定映像所需的時間（以秒為單位）。

表：熱點屬性
熱點屬性	描述
啟用門戶	選擇禁用以完全禁用熱點透過連線至網際網路服務供應商之連結的路由器，提供可存取網際網路的無線區域網路網路的區域網路。功能。
防止 UserCheck 規則動作可封鎖流量和檔案，並可顯示 UserCheck 訊息。同時登錄	不允許同一使用者通過熱點門戶從多台裝置並行登錄。

表：IP 片段參數
IP 片段參數屬性	描述
多個參數	這些參數允許您設定設備處理IP片段的方式。它可以阻止分段的IP數據包，也可以在達到設定的閾值時丟棄分段。選擇以下選項之一：禁止的IP片段 - 丟棄分段的IP數據包。允許IP分段 - 如果分段 IP 資料包不超過設定的閾值，則允許它們。選擇此選項時，您可以設定接受的不完整資料包的最大數量。您還可以設定超時（以秒為單位），以便在丟棄未群組裝的分段數據包之前保留它們。

表：IP 解析屬性
IP 解析屬性	描述
IP 解析 - IP 解析啟動	啟用/禁用IP解析日誌擴充。
IP 解析 - IP 解析 TTL	使用主機名解析的時間（以秒為單位）。預設值為3600。

表：IPS 附加參數
IPS 附加參數屬性	描述
最大 ping 限制	指定「最大 ping 大小」保護處於活動狀態時允許的最大 ping 數據包大小。
非標準 HTTP 埠	在 IPS blade式伺服器的非標準埠上啟用 HTTP 檢查。

表：IPS 引擎設定
IPS 引擎設定屬性	描述
允許協定未知指令	通常，IPS 引擎會阻止它無法識別的協定（例如 POP3、IMAP 等）指令。當進階設定設定為“ 時`true`，IPS 允許流量。
套用篩檢程式	過濾 IPS 保護以提高性能。類型：boolean 預設值：真
為支援的 Web 保護設定錯誤頁選項 - 多個參數	某些基於 Web 的保護可能會在偵測到時顯示錯誤頁面。此錯誤頁面是可設定的。支援錯誤頁面的保護：惡意代碼保護程式跨網站腳本 LDAP 注入 SQL 注入指令注入目錄traversal 目錄清單錯誤隱藏 HTTP 格式大小僅 ASCII 請求僅 ASCII 回應標頭 HTTP方法選擇適用於所有此類保護的以下選項之一：不顯示顯示預定義的 HTML 錯誤頁面 - 您可以設定在偵測到攻擊時開啟的 HTML 頁面。要設定頁面，請到進階設定 > IPS 引擎設定 > HTML 錯誤頁面設定。重指向到另一個 URL - 輸入偵測到攻擊時將使用者重指向到的 URL 。您還可以選擇新增錯誤代碼，以提供有關偵測到的攻擊的詳細資訊。不建議這樣做，因為攻擊者可能會濫用該資訊。
HTML 錯誤頁面設定 - 多個參數	這些設定允許您設定預定義的 HTML 錯誤頁，當錯誤頁進階設定設定為「顯示預定義的 HTML 錯誤頁」時，會看到該頁。選擇以下選項之一：標籤 URL - （可選）輸入指向公司標籤的 URL。 HTML 錯誤頁面設定 - 顯示錯誤代碼，提供有關偵測到的攻擊的詳細資訊。不建議這樣做，因為攻擊者可能會濫用該資訊。傳送詳細的錯誤代碼 - 您可以輸入 HTML 頁面中顯示的手動定義的文字。在「說明」框中輸入文字。例如，「由於違反 IPS 政策而拒絕訪問」。

表：內部證書設定屬性
內部證書設定屬性	描述
設定內部 CA 證書過期	內部 CA 證書的有效期。這適用於下次重新初始化證書時。

表：網際網路屬性
網際網路屬性	描述
在LSI錯誤上重置Sierra USB	指定 Sierra 型 USB 數據機在發送未啟用的 LSI 信號時是否將重置
路徑 MTU 發現模式	從以下選項中進行選擇：禁用運行一次 - 建立網際網路連線後運行一次，並嘗試偵測路徑 MTU。作為守護程式運行 - 在後台運行並嘗試偵測路徑 MTU。

表：網際網路連線類型
網際網路連線類型	描述
IPv4 over IPv6 （IPIP）	指定是否啟用了基於 IPv6 的 IPv4 （IPIP）網際網路連線。預設值：假

表：物聯網統計屬性
物聯網統計屬性	描述
物聯網統計啟動	啟用/禁用IoT收集統計資訊。違約：啟用

表：MAC 過濾屬性
MAC 過濾屬性	描述
MAC 過濾狀態	MAC 過濾狀態
記錄阻止的 MAC 位址	指定是否應記錄被阻止的 MAC 位址。
日誌暫停	指定管理者是否可以從刪除的Security Management Server 執行 Check Point 軟體以管理單一管理網域內 Check Point 環境中的物件和原則的專用 Check Point 伺服器。Synonym：單網域Security Management Server。訪問設備，而無需輸入管理者名稱。

表：託管服務屬性
託管服務屬性	描述
允許管理者從遠端管理伺服器進行無縫訪問	指定管理者是否可以從遠端Security Management Server訪問設備，而無需輸入管理者使用者名和密碼。
在登錄中顯示設備詳細資訊	指定管理者訪問設備時是否顯示設備詳細資訊。

表：移動設定屬性
移動設定屬性	描述
移動設定 - 通知雲伺服器網址	用於發送移動通知的雲端伺服器 URL。
移動設定 - 配對代碼過期	配對代碼過期的時間（以小時為單位）。類型：整數
移動設定 -驗證 SSL 證書	向雲伺服器發送移動通知時驗證SSL證書

表：多個 ISP 路由刷新屬性
多個 ISP 路由刷新屬性	描述
多個 ISP 路由刷新模式	指定加速是否將刷新多個 ISP 設定中的路由。

表：NAT 屬性
NAT 屬性	描述
ARP 手動文件合併	指定啟用自動 ARP 偵測後，在具有更高優先順序的本地檔中使用 ARP 定義。手動靜態 NAT 規則需要手動代理 ARP 設定。如果在local.arp檔案中定義了手動ARP設定並啟用自動ARP設定，則會保留這兩個定義。如果定義之間存在clish（兩個定義中都出現相同的 NAT IP 位址），則使用手動設定。
多個參數 - IP pool NAT	IP pool是可路由到閘道的IP位址範圍（位址範圍、網路或這些物件之一的群組）。打開與伺服器的連線時，閘道會將IP pool中的IP位址替換為來源IP位址。來自伺服器的回復數據包返回到閘道，閘道將恢復原始來源IP位址並將數據包轉發到來源。使用IP pool NAT時，請選擇現有的IP位址範圍物件。它必須事先在「使用者與物件 > 網路物件」頁面中定義。IP pool NAT 機制從此範圍分配IP位址。將IP pool NAT 用於 VPN 使用者端連線 - 適用於從 VPN 遠端存取使用者端到閘道的連線。將IP pool NAT 用於閘道到閘道連線 - 適用於網站到網站 VPN 連線。首選IP pool NAT 而不是隱藏 NAT - 指定IP pool NAT優先於隱藏 NAT（如果兩者匹配同一連線）。僅當IP pool用完時才套用隱藏NAT。將 pool中的IP位址重用於不同的目標 - 選擇此選項可將 pool中的IP位址重用於不同的目標。未使用的位址間隔 - 設定未使用的位址返回到IP位址 pool所需的時間間隔（以分鐘為單位）。位址耗盡追蹤 - 指定在IP pool耗盡時要發出的日誌類型。位址分配和釋放追蹤 - 指定是否記錄IP pool中IP位址的每次分配和釋放。
自動 ARP 偵測	使用靜態 NAT 定義本地網路中的內部設備時，設備必須確保發送到靜態 NAT IP 位址的數據包到達它。此選項使設備能夠自動回應這些IP位址的ARP請求。
增加隱藏能力	指定是否為隱藏NAT容量提供了額外的空間。
NAT啟用	指定是否啟用了設備的 NAT 功能。
NAT 快取過期	指定 NAT 快取條目的過期時間（以分鐘為單位）。
NAT 快取條目數	指定 NAT 快取條目的最大數量。
NAT hash大小	指定 NAT 表的hash儲存桶大小。
NAT限制	指定與 NAT 的最大連線數。
執行叢集兩個Quantum Spark 設備相互連線，以實現高可用性。隱藏摺疊	指定本地IP位址是否隱藏在叢集IP位址後面（如果適用），而不是隱藏在每個叢集成員屬於叢集一部分的安全閘道。的物理IP位址後面。
在客戶端轉換目的地	在客戶端轉換目標 IP 位址（用於自動產生的 NAT 規則）。
在使用者端轉換目標（手動規則）	轉換客戶端的目標 IP 位址（對於手動設定的 NAT 規則）。

表：通知原則屬性
通知原則屬性	描述
通知語言	通知語言
通知政策 - 發送推送通知	指定是否將通知發送到手機應用程式。
通知原則 - 每小時發送的最大通知數	每小時發送到行動設備的最大通知數。

表：操作系統屬性
操作系統屬性	描述
操作系統 - 作業系統	tmpDirSize
操作系統 - 系統暫存目錄大小	控制系統使用的臨時目錄的大小（以 MB 為單位）。

表：操作系統進階設定
操作系統進階設定屬性	描述
IPv6 前置選擇模式	在動態 IPv6 網際網路連線中設定 IPv6 前置選擇模式。選擇具有最高優先順序的 IPv6 前置綴。如果有多個前置文字具有相同的喜好選項，請根據以下選項進行選擇：路由器首選項 - 最舊。選擇最早的前綴，除非其剩餘存留期小於一小時。（預設）路由器首選項 - 最新。選擇最新的前綴。首選壽命 - 最舊。選擇具有最早的首選存留期的前綴。首選生命週期 - 最新。選擇具有最新首選存留期的前置綴。
Cellular Backoff演算法模式	設定手機網路退避演算法模式（自動、強制禁用或強制啟用）。在自動模式下，Backoff演算法僅適用於Rogers cellular carrier。
禁用 DHCP 選項從廣域網路網傳輸到Lan	指定是否禁用從廣域網路網到 LAN 的 DHCP 選項傳輸。類型：boolean 預設值：假
在Lan上啟用廣域網路網	指定廣域網路網功能是否打開類型： boolean 值預設值：假。
啟用無線上網顯示器	指定WiFi監視器是否打開。類型： boolean 值預設值：假
啟用自動WiFi頻道更改	指定WiFi在操作期間是否自動切換頻道。類型： boolean 值預設值：假
在PPPoE上啟用目的地檢查	指定是否啟用 PPP0E 目標檢查。類型： boolean 值預設值：假
為網路交換機啟用流量控制	指定是否為網路交換機啟用了flow-control。類型： boolean 值預設值：假
強制行動數據模組使用 4G 網路	禁用後，數據機將使用所有可用的頻段。啟用後，數據機僅使用 4G 頻段。類型： boolean 值預設值：假

表：隱私設定
隱私設定屬性	描述
説明Check Point通過發送數據來改進其產品	客戶同意
定位服務需要將您的IP位址發送給第三方	使用自動時區功能需要將您的位置發送給第三方。

表：QoS blade屬性
QoS blade屬性	描述
日誌記錄	指定啟用 QoS 邊欄選項卡時設備是否記錄 QoS 事件。

表：訪問我的設備屬性
訪問我的設備屬性	描述
忽略 SSL 證書	指定在運行訪問服務時是否應忽略 SSL 證書。
伺服器位址	指定遠端伺服器的位址，即使位於NAT後面，也允許從Internet管理訪問設備。

表：報表設定屬性
報表設定屬性	描述
報告設定 - 最長週期	收集和監視數據的最長期限。您必須重新啟動設備才能套用更改。
報表設定 - 報表雲伺服器網址	用於產生報告 PDF 的報告雲伺服器 URL。

表：Rest API 屬性
Rest API 屬性	描述
Rest API 模式	指定啟用或不啟用 REST API 的位置

表：序列埠屬性
序列埠屬性	描述
多個參數	使用序列埠參數，您可以在設備的後面板上設定控制台埠。如有必要，您可以完全禁用它（清除啟用序列埠複選框），並設定埠速度和流量控制設定。請注意，這些設定必須與連線到控制台埠的設備的設定匹配。使用此連線埠有三種模式：主控台 - 這是設定的預設模式。該埠用於訪問設備的控制台。活動 - 數據不是通過埠連線到設備的控制台，而是中繼到指定的 telnet 伺服器，現在可以通過此埠查看該伺服器。輸入遠端登錄伺服器的伺服器 TCP 連線埠和伺服器的 IP 位址。可以設定兩個不同的IP伺服器IP位址（主伺服器和輔助伺服器）。被動 - 在此模式下，數據流被反轉，設備通過序列埠連線到所連線設備的控制台。可通過與設備上已設定埠的 telnet 連線存取此控制台。在「偵聽 TCP 埠」中，輸入埠, 號。要設定允許從任何來源到此埠的流量的隱藏規則，請確保選中「隱藏允許流量到此埠」。如果未創建隱藏規則，則必須在防火牆規則庫在給定的安全政策中設定的所有規則。Synonym：規則庫。中手動定義訪問規則。兩個設備（一個處於積極模式，另一個處於被動模式）可以允許使用者端使用 telnet 連線通過 Internet 遠端連線到以被動模式連線到設備的控制台。

表：Smart Accel 服務屬性
Smart Accel 服務屬性	描述
已啟用安全日誌	指定是否啟用Smart Accel 安全日誌）。

表：Smart Accel 設定
Snart Accel 設定屬性	描述
僅加速受信任的 HTTPS 網域	指定是否僅加速受信任的 HTTPS 網域。
忽略錯誤	忽略與Smart Accel 和防火牆政策規則相關的clish。

表：SSL 檢查屬性
SSL 檢查屬性	描述
其他 HTTPS 連線埠	用於 SSL 檢查的其他 HTTPS 連線埠（以逗號分隔的埠/範圍清單）。
記錄空的 SSL 連線	記錄客戶端在發送數據之前終止的連線。這可能表示使用者端未安裝 CA 證書。
檢索中間 CA 證書	指定 SSL 檢查機制是否將對證書鏈中的所有中間 CA 證書執行驗證。
追蹤驗證錯誤	選擇是否追蹤 SSL 檢查驗證。
驗證CRL	指定 SSL 檢查機制是否會丟棄提供已吊銷證書的連線。
驗證過期時間	指定 SSL 檢查機制是否會丟棄提供過期證書的連線。
驗證無法訪問的CRL	指定 SSL 檢查機制是否會丟棄提供具有無法存取 CRL 的證書的連線。
驗證不受信任的證書	指定 SSL 檢查機制是否會丟棄提供不受信任的伺服器證書的連線。

表：連線狀態檢查屬性

連線狀態檢查屬性

描述

接受狀態外的 TCP 數據包

指定是丟棄（設定為 0 時）還是接受（設定為任何其他值時）與 TCP 連線的當前狀態不一致的 TCP 數據包。

接受有狀態ICMP錯誤

接受引用規則庫接受的另一個非ICMP連線（例如，正在進行的TCP或UDP連線）的ICMP錯誤數據包。

接受有狀態的ICMP回復

接受規則庫接受的ICMP請求的ICMP回覆數據包。

接受未知服務的有狀態 UDP 回復

指定是否接受未知服務的 UDP 答覆。在每個 UDP 服務物件中，可以設定如果服務在接受流量的規則上匹配，是否接受它的 UDP 回復。此參數引用服務物件未涵蓋的所有連線。

接受未知服務的有狀態其他IP協議回復

接受未知服務的有狀態其他IP協議回復。在每個服務物件中，可以設定如果服務與接受流量的規則匹配，是否接受對它的回復。此參數是指服務物件未涵蓋的所有無 TCP/UDP 連線。

Allow LAN-DMZ DPI

允許在內部網路和 DMZ 網路之間的流量中進行深度數據包偵測。

注意 - 1530 / 1550 設備不支援 DMZ。

允許Lan DPI

允許在內部網路之間的流量中進行深度數據包偵測。

丟棄狀態ICMP數據包

丟棄不在「虛擬session」上下文中的ICMP數據包。

ICMP 虛擬session超時

ICMP 虛擬session被視為在此時間段（以秒為單位）後超時。

日誌從狀態ICMP數據包中丟失

指定丟棄狀態ICMP資料包是否產生日誌。請參閱「丟棄狀態 ICMP 數據包」參數。

日誌從狀態 TCP 數據包中丟失

指定丟棄狀態的 TCP 數據包是否產生日誌。請參閱「接受狀態外的 TCP 數據包」參數。

其他IP協議虛擬session超時

非 TCP、UDP 或 ICMP 服務的虛擬session被視為在此時間段（以秒為單位）後超時。

TCP 結束超時

指定 TCP 工作階段結束的超時（以秒為單位）。TCP session被視為在兩個 FIN 數據包（每個方向一個）或 RST 數據包之後“結束”。

TCP session超時

指定 TCP 工作階段的超時（以秒為單位）。如果連線在此時間段（以秒為單位）後保持空閒狀態，則 TCP 工作階段將超時。

TCP 啟動超時

指定 TCP 工作階段啟動的超時（以秒為單位）。如果第一個數據包到達和建立連線（TCP 三次握手）之間的間隔超過此時間段（以秒為單位），則 TCP 連線將超時。

UDP 虛擬session超時

UDP 虛擬session在此時間段後超時（以秒為單位）。

表：Streaming Engine設定屬性
Streaming Engine設定屬性	描述
多個參數	這些設定確定各種深度檢查邊欄選項卡（IPS、應用程式控制、反殭屍、防病毒等）使用的 TCP 流引擎如何處理協定clish和阻止Streaming Engine進一步檢查的事件。我們強烈建議這些設定始終處於阻止模式。在偵測模式下使用這些設定可能會顯著降低安全性，因為當發生事件或違規時，檢查將停止。當設定設定為記錄此類事件時，日誌將顯示在 IPS 邊欄選項卡下的「日誌監視> 安全日誌與」中。對於每個違規或事件，設定操作和追蹤模式。
TCP 分段限制實施	對於通過閘道的每個 TCP 分段，閘道將保留該分段的副本，直到收到已收到分段的確認。此緩衝數據佔用閘道記憶體中的空間。這將對每個連線的緩衝段的數量和大小實施限制。當連線達到這些限制之一時，閘道不接受此連線的新分段，直到確認緩衝分段。
TCP 亂序	TCP 流的接收主機緩衝段，並僅保留指定視窗中的那些段。接收主機不會處理此視窗之外的分段。閘道不應處理 TCP 接收視窗之外的 TCP 段。視窗外的 TCP 段中的所有資料都將被刪除或刪除。如果段靠近視窗，則剝離數據。如果段遠離視窗，則會丟棄該段。
TCP 未啟用重新傳輸	對於通過閘道的每個 TCP 分段，閘道將保留該分段的副本，直到閘道收到已收到分段的確認。如果未收到確認，來源裝置將再次發送分段，閘道將其與其副本進行比較，以驗證新數據包是否與原始數據包匹配。傳遞與原始數據不同的重新傳輸允許未經檢查的數據到達目標應用程式。這可以阻止與原始分段不同的分段重新傳輸，這可確保閘道檢查接收應用程式處理的所有數據。當設定為偵測時，此類重新傳輸會導致流量繞過深度偵測blade。
TCP 校驗和未啟用	閘道不需要檢查具有未啟用 TCP 校驗和的數據包，因為這些數據包會被接收主機的 TCP 堆疊丟棄。這將阻止校驗和未啟用的 TCP 數據包。由於網路設備故障，在網路上看到一些校驗和不正確的數據包是正常的。這並不表示有人企圖攻擊，因此，預設設定是不記錄此類事件。
TCP SYN 修改重傳	TCP SYN 資料包可能會使用更改的序列號重新傳輸，以嘗試啟動 IPS 不檢查的連線。這將阻止序列號已修改的SYN重新傳輸。當設定為偵測時，此類重新傳輸會導致流量繞過深度偵測blade。
TCP 緊急數據實施	某些 TCP 協定（如 Telnet）使用 TCP URG 位作為協定語法的一部分發送帶外數據，而大多數協定不使用 TCP 帶外功能。允許使用 URG 位的數據包可能會阻止閘道確定接收應用程式將處理哪些資料。這可能會導致閘道檢查的數據不是接收應用程式處理的數據的情況，從而允許繞過 IPS 保護。當在不支援帶外功能的協定中接收到 URG 位的數據包時，閘道無法確定接收應用程式是否處理數據。這會從不支援 TCP 帶外功能的協議中設定 URG 位的 TCP 段中刪除 URG 位。設定為偵測時，使用 URG 位會導致流量繞過深度偵測blade。
Stream Inspection超時	由專用程序檢查的連線可能會延遲，直到檢查完成。如果未在時間限制內完成檢查，則會斷開連線，以便資源不會保持打開狀態。這將阻止檢查超時已過期的連線。設定為偵測時，超過超時會導致流量繞過深度偵測邊欄選項卡。

表：威脅防護反殭屍程式政策屬性
威脅防護反殭屍政策屬性	描述
資源分類模式	指定反殭屍引擎用於資源分類的模式：保留 - 在分類完成之前，連線將被阻止。當無法使用快取的回應對連線進行分類時，它將保持阻擋狀態，直到Check Point連線 Web 服務完成分類。背景 - 在分類完成之前允許連線。當無法使用快取的回應對連線進行分類時，將收到未分類的回應。允許連線。在後台，Check Point在線 Web 服務繼續分類過程。然後，在本地快取回應以備將來請求。此選項可減少分類過程中的延遲。

表：威脅防護防病毒政策屬性
威脅防護防病毒政策屬性	描述
檔掃描大小限制	指定反病毒安全閘道上的 Check Point 軟體blade使用來自 ThreatCloud 的實時病毒簽名和基於異常的保護，在使用者受到影響之前偵測並阻止安全閘道中的惡意軟體。Acronym：AV.引擎掃描的檔的大小限制（以 KB 為單位）。若要不指定任何限制，請設定為 0。
MIME 最大嵌套級別	對於包含嵌套 MIME 內容的電子郵件，請設定 ThreatSpect 引擎在電子郵件中掃描的最大級別數。
超出操作的MIME嵌套級別	如果 MIME 內容的嵌套級別多於設定的數量，請選擇「阻止」或「允許電子郵件檔」。
優先掃描	根據安全和性能優先順序進行掃描，以實現最大優化。
資源分類模式	指定反病毒引擎用於資源分類的模式：保留 - 在分類完成之前，連線將被阻止。當無法使用快取的回應對連線進行分類時，它將保持阻擋狀態，直到Check Point連線 Web 服務完成分類。背景 - 在分類完成之前允許連線。當無法使用快取的回應對連線進行分類時，將收到未分類的回應。允許連線。在後台，Check Point在線 Web 服務繼續分類過程。然後，在本地快取回應以備將來請求。此選項可減少分類過程中的延遲。

表：威脅防護威脅模擬政策屬性
威脅防護威脅模擬政策屬性	描述
模擬連線處理模式 - IMAP	指定 IMAP 上威脅模擬安全閘道上的 Check Point 軟體blade監控沙箱中文件的行為以確定它們是否是惡意的。Acronym：TE。引擎的嚴格模式：後台 - 在檔案類比運行時允許連線（如果需要），直到模擬處理完成。保留 - 在檔案類比完成之前，連線將被阻止
模擬連線處理模式 - POP3	指定 POP3 上威脅模擬引擎的嚴格模式：後台 - 檔案執行時允許連線（如果需要）保留 - 在檔案類比完成之前，將阻止連線。
模擬連線處理模式 - SMTP	指定 SMTP 上威脅模擬引擎的嚴格模式：後台 - 檔案模擬執行時允許連線（如果需要）保留 - 在檔案類比完成之前，將阻止連線。
模擬位置	指定是在Public ThreatCloud 還是遠端（私有）SandBlast 上執行模擬。
主模擬閘道	主遠端模擬閘道的IP位址。

表：威脅防禦政策屬性

威脅防禦政策屬性

描述

服務不可用時阻止

當Check Point威脅雲在線 Web 服務不可用時阻止 Web 請求流量。

故障模式

指定在發生內部系統錯誤或過載時對流量執行的操作（允許所有請求或阻止所有請求）。

檔檢查大小限制

指定威脅防護引擎檢查的檔的大小限制（以 KB 為單位）。

注意 - 限制過低可能會影響「應用程式控制」邊欄選項卡的功能。若要不指定任何限制，請設定為 0。

跳過 HTTP 檢查的方法

警告 - 將設定更改為「完整」會產生嚴重的安全影響。

HTTP 連線可以由許多工作階段群組成。作為 HTTP 連線一部分的檔在一個 HTTP 工作階段中傳遞。

如果設定了非零文件檢查大小限制， Default 則跳過 HTTP 檢查的方法設定為檔檢查跳到session末尾，並在下一個 HTTP session中恢復。

如果設定了非零文件檢查大小限制，並且跳過 HTTP 檢查的方法更改為，則檔檢查將跳到連線末尾，並在下一個連線中恢復。 Full, 這可以提高性能，因為連線的其餘部分已完全加速。但是，不建議將設定更改為Full，因為存在嚴重的安全影響：不檢查連線的其餘session。

威脅防護政策 - 使用完整包更新威脅防護

使用最新的軟體包更新威脅防護。

允許我在User Center帳戶中查看攻擊統計資訊

允許在您的User Center帳戶中查看攻擊統計資訊。有關詳細資訊，請參閱威脅預防-Infinity SOC。

允許攻擊統計資訊中的IP位址資訊

自選：啟用攻擊報告中的真實IP位址資訊（請參閱 sk164332 - “對受害者的真實IP進行去混淆”一節）：

表：USB 數據機Watchdog屬性
USB 數據機Watchdog屬性	描述
間隔	指定USB數據機監視器偵測網際網路的頻率（以分鐘為單位）。
模式	指定在啟用網際網路偵測時是否啟用USB數據機監視器監視器，以及重置類型。要在網際網路偵測指定無法存取網際網路時啟用 USB 數據機watchdog監視器，請選擇以下重置選項之一：已關閉 - 預設。硬重置 - 關閉 USB 數據機的電源，然後再次打開。閘道重置 - 重新啟動設備。強制閘道重置 - 首先重新啟動閘道，如果不成功，請重新啟動設備。
僅USB	僅監視 USB 數據機連線，而不監視其他網際網路連線。在此模式下，當監視其他網際網路連線時，僅當所有網際網路連線（而不僅僅是USB數據機）偵測失敗時，才會發生閘道重置。類型：boolean

表：更新服務排程屬性
更新服務排程屬性	描述
最大重試次數	指定雲端服務不可用時單個更新的最大重試次數
重試直到超時	指定重試更新之前的超時（以秒為單位）。

表：使用者識別屬性
使用者識別屬性	描述
活動目錄關聯超時	指定快取使用者與IP位址之間的關聯的超時（以分鐘為單位）。
允許未知使用者使用 DNS	指定在「使用者與物件 >使用者感知> 基於瀏覽器的身份驗證 > 標識」選項卡中選擇「無法實現強制網路門戶時阻止未經身份驗證的使用者」時，不會阻止來自未經身份驗證的使用者的 DNS流量。如果沒有 DNS 流量，最終使用者的瀏覽器可能不會顯示強制網路門戶。
假設每個IP位址只有一個使用者	在「使用者與物件 >使用者感知」中啟用活動目錄查詢時，該參數指定只能從單個設備中識別一個使用者。當兩個或更多使用者從設備連線時，僅標識最後一個登錄的使用者。
日誌阻止的未知使用者	指定在「使用者與物件 >使用者感知> 基於瀏覽器的身份驗證 > 標識」選項卡-中選擇「無法實施強制網路門戶時阻止未經身份驗證的使用者」時，是否記錄被阻止的未經身份驗證的使用者。

表：使用者管理屬性
使用者管理屬性	描述
自動刪除過期的本地使用者	每24小時（午夜後）自動刪除所有過期的本地使用者。

表：VPN 遠端存取屬性

VPN 遠端存取屬性

描述

斷開連線時允許清除流量

指定當遠端存取 VPN 遠端存取使用者端（例如端點安全 VPN）和安全閘道之間的加密通道。使用者端未連線到網站時，是否處理發往 VPN 網域由一個 VPN 閘道連線到 VPN 通道的一群組電腦和網路，用於處理加密並保護 VPN 網域成員。的流量，而不加密（清除）或丟棄。

允許同時登錄

指定使用者是否可以登錄到多個工作階段。如果禁用該選項，並且使用者使用相同的憑據再次登錄，則上一個session將斷開連線。

身份驗證超時

指定啟用超時時遠端客戶端的密碼保持有效的時間量（以分鐘為單位）。

啟用身份驗證超時

指定遠端客戶端的密碼是否僅在設定的時間內保持有效（身份驗證超時屬性）。

在 VPN 網域中自動斷開連線

指定使用者端在從受保護的內部網路（本地加密網域安全閘道所保護的網路，以及加密和解密 VPN 流量的網路。）內部連線時是否自動斷開連線以節省資源。

後連線啟用

啟用從閘道後面的加密網域到使用者端的反向連線。

反向連線保持活動間隔

指定閘道到使用者端反向連線所需的閘道保持活動狀態數據包之間的間隔（以秒為單位）。

在所有介面上啟用訪客模式

在此介面上啟用訪客模式

此對話框允許您為訪客模式設定指定的介面。訪客模式允許設備偵聽指定埠（預設埠 443）上的 TCPT 流量，作為從遠端存取使用者端備份到 IKE 連線的備份。

此模式通常用於允許從限制性環境（如酒店）後面進行 VPN 遠端存取連線。

不建議將訪客模式修改為僅在特定介面上啟用。

加密 DNS 流量

指定遠端使用者端發送到位於加密網域中的 DNS 伺服器的 DNS 查詢是否透過 VPN 隧道傳遞。

加密方法

指定用於 IKE 階段 1 和 2 的 IKE 加密方法（版本）。

端點連線重新身份驗證超時

指定終結點連線使用者的憑據重新發送到閘道以驗證授權的時間（以分鐘為單位）。

IKE IP 壓縮支援

指定是否壓縮來自遠端存取使用者端的IPSec資料包。

IKE Over TCP

啟用對基於 TCP 的 IKE 的支援。

IKE 重新啟動恢復

處理遠端存取使用者端時，設備無法啟動 IKE 第 1 階段協商，因為使用者端位址未知。如果設備具有具有遠端存取使用者端的活動 SA 並且重新啟動，則 SA 將丟失，並且設備無法啟動 IKE 階段 1。但是，如果選擇了重新啟動選項，設備將每分鐘保存一次隧道詳細資訊。當第一個加密數據包在設備重新啟動後到達時，設備會發送「刪除 SA」訊息。這會導致遠端使用者端丟棄舊 SA 並啟動 IKE 階段 1 以重新打開隧道。

舊版 NAT traversal

指定是否為安全使用者端啟用了Check Point專有 NAT traversal機制（UDP 封裝）。

僅在內部規則庫上匹配

來自遠端存取使用者端的流量將始終在傳入/內部/VPN 規則庫上匹配，包括到 Internet 的流量

SSL VPN 門戶中的最低 TLS 版本支援

指定 SSL VPN 門戶支援的最低 TLS 協定版本。出於安全原因，我們建議支援 TLS 1.2 及更高版本。

支援多個介面的辦公模式

指定是否啟用了用於改善遠端存取使用者端與具有多個外部介面的設備之間連線的機制（具有性能影響）。

辦公模式執行反欺騙

每個網站的單一辦公室模式

Office 模式執行反欺騙 - 如果選擇此選項，VPN 將驗證封裝的 IP 位址為 Office 模式 IP 位址的數據包是否確實來自在 Office 模式下工作的客戶端的位址。如果位址是由 DHCP 伺服器分配的，則 VPN 必須知道 DHCP 作用網域中分配的位址範圍，反欺騙功能才能正常工作。定義表示 DHCP 作用網域的網路物件代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。，並在此處選擇它。
每個網站的單一辦公室模式 - 遠端使用者連線並從閘道接收 Office 模式 IP 位址後，與該閘道加密網域的每個連線都將以辦公室模式 IP 作為內部來源 IP 發出。Office 模式 IP 是加密網域中的主機識別為遠端使用者的 IP 位址。特定閘道分配的 Office 模式 IP 位址可以在其自己的加密網域中使用，也可以在相鄰的加密網域中使用。相鄰的加密網域應位於與分配閘道屬於同一 VPN 社區已命名的 VPN 網域集合，每個網域都受到 VPN 閘道保護。成員的閘道後面。由於遠端主機連線依賴於它收到的 Office 模式 IP 位址，因此，如果頒發 IP 的閘道不可用，則與網站的所有連線都將終止。

從 RADIUS 分配的辦公模式

指定是否從用於對使用者進行身份驗證的RADIUS伺服器獲取Office模式分配的IP位址。

辦公室模式禁用

指定是否禁用 Office 模式（為遠端存取使用者端分配 IP 位址）。不建議這樣做。

使用者端上的密碼快取

指定是否使用密碼快取。這代表著當客戶端嘗試存取多個閘道時，不需要重新進行身份驗證。

阻止IP NAT pool

防止將IP pool NAT 設定套用於辦公模式使用者。使用安全使用者端以及其他 VPN 使用者端時需要執行此操作（請參閱 sk20251）。

RADIUS重新傳輸超時

每次RADIUS伺服器連線嘗試的超時間隔（秒為單位）。

遠端存取埠

保留埠 443 用於埠轉發

預設遠端存取埠為埠 443。如果與使用此埠號的另一台伺服器發生clish，請設定其他遠端存取埠。如果啟用了Check Point VPN 使用者端、行動使用者端或 SSL VPN 遠端存取方法，則必須更改預設遠端存取埠，因為它們預設使用埠 443。如果更改預設埠號 443，請確保選擇 “為埠轉發保留埠 443”。

SNX 保持活動狀態間隔

指定 SSL Network Extender使用者端保持活動狀態數據包之間的時間（以秒為單位）。

SNX 重新身份驗證超時

指定 SSL 網路擴展程式遠端存取使用者重新進行身份驗證之間的時間（以分鐘為單位）。

SNX 支援 3DES

指定 SSL 使用者端和預設演算法是否支援 3DES 加密演算法。

SNX 支援 RC4

指定 SSL 使用者端和預設演算法是否支援 RC4 加密演算法。

SNX 卸載

此參數允許您設定 SSL Network Extender使用者端在哪些條件下自行卸載。選項包括：不要自動卸載（建議預設），始終在斷開連線時卸載，並在斷開連線時詢問使用者。

SNX 升級

此參數允許您設定 SSL Network Extender使用者端在哪些條件下自行安裝。選項包括：不自動升級，始終升級，並詢問使用者（預設）。

拓撲更新手動間隔

指定手動設定的使用者端拓撲更新間隔（以小時為單位）。僅當覆蓋設定設定為 true 時才適用。

拓撲更新覆蓋

指定設定的拓撲更新設定是否覆蓋預設的“每週一次”政策。

僅在啟動時更新拓撲

指定拓撲更新是否僅在使用者端啟動時進行。僅當覆蓋設定設定為 true 時才適用。

雙因素身份驗證

選取或清除複選框：
- 已清除 - 設備通過簡訊和電子郵件發送 OTP（這是預設設定）。
- 已選擇 - 最終使用者在其遠端存取 VPN 使用者端中點擊一個視窗中，最終使用者必須輸入手機號碼才能通過簡訊獲取 OTP，或輸入電子郵件才能通過電子郵件獲取 OTP。
點擊套用.

注意 - 此設定不會影響VPN 遠端存取控制頁面上 Web UI中的選擇螢幕。使用者仍必須設定為通過電子郵件、簡訊或這兩個選項接收密碼。

驗證設備證書

遠端存取客戶端根據吊銷清單驗證設備的證書。

在未經許可的情況下阻止至少屬於一個群組的使用者

指定是否啟用了嚴格群組許可權 - 如果使用者至少屬於一個沒有遠端存取權限的群組，則使用者將沒有遠端存取權限。

表：VPN 網站到網站全網域設定屬性
VPN 網站到網站全網域設定屬性	描述
接受 NAT traversal	指定是否啟用了行業標準 NAT traversal（UDP 封裝）。即使遠端站點位於NAT 設備後面，也可以建立 VPN 隧道。
管理通知	指定如何記錄管理事件（例如，當證書即將過期時）
檢查IPSec回復數據包的有效性	指定是否檢查IPSec回復數據包的有效性。
叢集 SA 同步數據包閾值	當數據包數達到此閾值時，將 SA 與其他叢集成員同步。
從加密/解密的IPSec資料包中複製DiffServ標記	從加密/解密的IPSec資料包中複製DiffServ標記。
將 DiffServ 標記複製到加密/解密的 IPSec 資料包	將 DiffServ 標記複製到加密/解密的 IPSec 資料包。
DPD 觸發新的 IKE 協商	DPD 觸發新的 IKE 協商。
從失敗的對點中刪除 IKE SA	從失敗的對點中刪除 IKE SA。
從已刪除的 IKE SA 上刪除 IPsec SA。	從已刪除的 IKE SA 上刪除 IPsec SA。
隧道測試失敗時刪除隧道 SA	啟用永久 VPN 隧道且隧道測試失敗時，請刪除相關對點的隧道 SA。
不加密來自本地閘道的連線	原始來源或目標 IP 位址是本地閘道的網路連線 IP 位址的數據包不會通過 VPN 隧道。當後面的閘道隱藏 NAT 時，此參數可能很有用。
不加密本地 DNS 請求	啟用後，來自設備的 DNS 請求將不會加密。當設定的 DNS 伺服器位於 VPN 對點使用虛擬通道介面連線至不同閘道的閘道。的加密網域中時相關。
啟用加密數據包重新路由	指定加密數據包是否根據對點的IP位址或偵測通過最佳介面重新路由。建議不要將此值更改為 false。
CRL 後的寬限期不再有效	需要CRL寬限期來解決設備和遠端 CA 之間時鐘時間不同的問題。寬限期允許CRL有效性的視窗更寬。指定遠端站點的已吊銷證書保持有效的時間（以秒為單位）。
CRL 生效前的寬限期	需要CRL寬限期來解決設備和遠端 CA 之間時鐘時間不同的問題。寬限期允許CRL有效性的視窗更寬。指定證書在 CA 設定的時間之前被視為有效的時間視窗（以秒為單位）。
來自已知網站保護的 IKE DoS	指定來自已知IP位址保護的IKE DoS是否處於活動狀態，以及它偵測潛在攻擊者的方法。
來自未知網站的 IKE DoS 保護	指定來自未識別IP位址的IKE DoS保護是否處於活動狀態，以及它偵測潛在攻擊者的方法。
來自同一IP的IKE回復	指定 IKE 工作階段中使用的來源 IP 位址是基於回覆傳入連線時的目標，還是基於常規來源 IP 位址連結選擇設定。
IKEV2 金鑰類型	用於 IKEV2 通信的金鑰類型。選項：金鑰 ID （預設） IP位址 FQDN - 選擇以支援金鑰類型 FQDN 的 IKEv2。這使您可以與Harmony Connect設定VPN 連線。有關如何設定此連線的詳細資訊，請參見 Harmony Connect Administration Guide 和 Harmony Connect for SMB Gateways Integration Guide。
在 IKE 快速模式下加入相鄰子網	指定是否在 IKE 快速模式下加入相鄰子網。
在數據包上保留 DF 標籤	指定在加密/解密期間數據包上是否保留“不分段”標籤。
保留 IKE SA 金鑰	保留 IKE SA 金鑰。
金鑰交換錯誤追蹤	指定如何記錄 VPN 設定錯誤或金鑰交換錯誤。
匹配傳出規則庫上的網際網路流量	來自通過此閘道路由其所有流量的 VPN 對點發往 Internet 的流量將在傳出規則庫上匹配。
最大併發 IKE 協商數	指定併發 VPN IKE 協商的最大數量。
最大併發隧道數	指定併發 VPN 隧道的最大數量。
開放 SA 限制	指定每個 VPN 對點的最大打開 SA 數。
傳出連結追蹤	指定如何記錄傳出 VPN 連結：“日誌”、“不記錄”或“警報”。
覆蓋“將所有流量路由到遠端 VPN 網站”設定，以便管理者訪問設備	選擇此選項可防止管理者對此設備的訪問路由到遠端站點，即使設定了“將所有流量路由到遠端 VPN 網站”。
數據包處理錯誤追蹤	指定如何記錄 VPN 資料包處理錯誤：“日誌”、“不記錄”或“警報”。
使用內部IP位址執行隧道測試	隧道測試可確保對點 VPN 閘道管理 VPN 網域成員之間流量加密和解密的閘道，通常位於 VPN 通道的一端 (遠端存取 VPN) 或兩者 (站台對站台 VPN)。之間的 VPN 隧道已啟動。預設情況下，通過確保對點 VPN 閘道的所有外部 IP 位址之間存在連線來完成測試。您可以將此選項設定為使用屬於本地加密網域的閘道的內部 IP 位址執行隧道測試。您可以在日誌和監控選項卡中查看 VPN 隧道的狀態。
永久隧道向下追蹤	指定隧道關閉時如何記錄：記錄、不記錄或警報。
永久隧道向上追蹤	指定隧道啟動時如何記錄：記錄、不記錄或警報。
RDP 數據包回復超時	RDP 數據包回復的超時（以秒為單位）。
來自傳入介面的回復	從遠端站點啟動隧道時，如果適用，請從同一傳入介面（IKE 和 RDP session）進行回復。
成功的金鑰交換追蹤	指定在金鑰交換成功時如何記錄：記錄、不記錄或警報。
對 IKE 使用叢集 IP 位址	指定是否使用叢集IP位址執行IKE（如果適用）。
使用內部IP位址從本地閘道進行加密連線	來源自本地閘道的加密連線將使用內部介面的IP位址作為連線來源。
VPN 隧道共用	指定在什麼條件下創建新隧道：每個主機對、每個子網（行業標準）或每個遠端站點/閘道的單個隧道。這控制創建的隧道數。

表：網路語音屬性
網路語音屬性	描述
接受與已註冊埠的 MGCP 連線	指定對 MGCP 流量的深度檢查是否自動接受與已註冊埠的 MGCP 連線。
接受與註冊埠的SIP連線	指定對 SIP 流量的深度檢查是否自動接受與已註冊埠的 SIP 連線。
延長 SIP 服務超時	指定禁用服務檢查時是否延長 SIP 服務超時。預設情況下，超時增強功能適用。當您在 VoIP 設定精靈中禁用 SIP 檢查並將服務的超時設定為預設 TCP 連線超時SIP_UDP，就會發生啟動。

表：Web 介面設定和自訂屬性
Web 介面設定和自訂屬性	描述
多個參數	在設備的 Web 介面中選擇使用公司標籤以顯示其他標籤（不是Check Point預設標籤）。在「公司標籤」中，點擊「上載公司標籤」連結，流覽到標籤，檔，然後點擊「套用」。在“公司 URL”中，輸入公司的 URL, 。當您在 Web 介面中點擊公司標籤時，它會打開此 URL。