管理系统服务

用户&对象 > 服务页面列出了系统中配置的系统服务。在这个页面中,你可以添加新的服务,编辑服务,以及删除服务。

你使用服务对象来轻松定义不同的网络协议。这通常是与IP协议和端口(由TCP和UDP IP协议使用)。

这些对象可以用来定义你的安全策略关闭 一组安全规则的集合,用于控制网络流量,并通过数据包检查强制执行数据保护和资源访问的组织规则。,以及基于策略的路由规则关闭 规则库中的一组流量参数和其他条件,导致对一个通信会话采取指定的行动。。许多服务对象是系统预定义的,不能被删除。那些预定义的 "系统服务 "代表了该设备出于连接和安全原因对这些服务进行深度检查的能力。系统服务有时会有额外的配置选项。

要创建一个新的服务:

  1. 点击“新建”.

  2. 服务选项卡中,在适用于你所选择的服务类型的字段中输入信息。请注意,并非所有字段都会显示。

    • 名称- 输入服务的名称。

    • 类型- 从列表中选择服务类型。

      • TCP

      • UDP

      • ICMP- 如果有必要在ICMP协议中表示一个特定的选项,请选择这个选项。请注意,这是一个高级选项。

      • 其他- 选择此选项代表除TCP或UDP以外的任何IP协议。

    • 端口- 如果你选择类型 - TCP或UDP,请输入端口。输入一个特定的端口号或端口范围。

    • IP协议- 输入IP协议,如果你在类型栏中选择了其他

    • ICMP类型ICMP代码- 输入您希望服务对象代表的ICMP类型和代码,如RFC 792中所列。这个选项只有在你在类型字段中选择了ICMP时才有意义。

    • 备注- 输入一个可选的备注。

    • 禁用此服务的检查- 选择此复选框以禁用匹配此服务的流量的深度检查。这个选项只适用于内置服务。

  3. "高级"选项卡中,在适用于你选择的服务类型的字段中输入信息。注意,根据服务类型的不同,可能不会显示所有的字段。

    一般

    • 会话超时(单位:秒)--会话超时前的时间,单位:秒。

    • 使用源端口- 选择该选项并输入客户端服务的端口号。如果指定,在检查此服务的数据包时,只接受、放弃或拒绝这些源端口号。否则,源端口不被检查。

    • 接受回复(与非TCP服务有关)--清除后,服务器到客户端的数据包被视为不同的连接。

    • 匹配(仅由Check Point支持部门使用的高度高级选项)。

    连接处理

    • 在策略安装后保持连接开放- 即使在新策略下不允许连接。如果你改变了这个设置,这个改变并不影响开放的连接,而只影响未来的连接。

    • 在集群上同步连接- 在集群关闭 两个Quantum Spark设备相互连接,实现高可用性。上启用状态同步的高可用性或负载共享。在规则库关闭 在一个特定的安全策略中配置的所有规则。同义词:规则基地。允许的服务中,只有那些在集群上有同步连接的服务在通过集群时被同步。默认情况下,所有新的和现有的服务都是同步的。

    • 在连接启动后X秒开始同步- 对于TCP服务,启用该选项以延迟告诉Quantum Spark设备关于连接的信息,这样只有在连接启动后X秒内仍然存在的情况下才会同步连接。一些TCP服务(例如HTTP)的特点是连接时间非常短。同步这些连接是没有意义的,因为每个同步连接都会消耗网关资源,而且在故障切换发生时,连接很可能已经结束。

    主动老化

    这个功能可以从设备 > 高级页面进行配置。当设备处于负载状态时,旧的连接会更快地从内存中删除,以便为新的连接腾出空间。

    • 启用积极的老化- 选择该选项以管理连接表容量,减少网关内存消耗,以提高耐用性和稳定性。

    • 主动老化超时 (秒)- 会话超时前的时间(秒)。

  4. 点击“应用

要编辑一个服务。

  1. 从列表中选择一项服务。

  2. 点击“编辑”.

  3. 进行必要的修改。请注意,不是所有的字段都可以编辑。

  4. 点击“应用

要删除一项服务:

  1. 从列表中选择服务。注意,你只能删除一个用户定义的服务。

  2. 点击“删除”.

  3. 在确认信息中点击“”。

要对指定的服务进行过滤。

  1. 在 "要过滤的类型"框中,输入服务名称或其部分内容。

  2. 当你输入文本时,列表会被过滤并显示匹配的结果。

内置系统服务

一些内置服务代表Check Point对特定协议进行深度检查的能力。这些系统服务不能被删除。当你编辑它们时,你配置的端口决定了何时发生深度检查,你可以添加或改变默认端口。一些系统服务有额外的配置,会影响深度检查的执行方式。

  • HTTP- IPS设置选项卡让你配置HTTP深度检查的方式和时间。选择相关选项。

  • HTTPS- URL过滤关闭 Check Point软件刀片在安全网关上,允许对特定用户组、计算机或网络可访问的网站进行细化控制。缩略词:URLF。设置选项卡让你根据证书中的信息对HTTPS网站进行分类。

  • FTP- 防火墙设置选项卡让你配置防火墙如何自动检测关闭 UserCheck规则动作,允许流量和文件进入内部网络,并记录它们。数据连接。你可以选择其中一个选项:

    • 任何 - 防火墙检测并允许所有模式下的FTP数据连接。

    • 活动 - 防火墙仅在活动模式下检测并允许FTP数据连接。

    • 被动 - 防火墙仅在被动模式下检测并允许FTP数据连接。

  • PPTP_TCP- IPS设置标签让你配置如何进行PPTP深度检查。

    • 对畸形连接的行动 - 选择在解析失败时对连接执行的行动。

    • 追踪 - 选择解析失败时要发布的日志类型。

    • 强制执行严格的PPTP解析 - 选择此项以强制执行严格遵守协议。

  • SNMP- 防火墙设置选项卡可以让你配置防火墙,使其在SNMP中执行只读模式。

  • SSH- 防火墙设置选项卡让你配置防火墙以阻止旧版本的SSH协议(1.x)。

  • Citrix- 防火墙设置选项卡让你配置在配置的端口上支持哪种协议。默认的1494端口通常被两个不同的协议使用--Winframe或Citrix ICA。