管理系統服務

使用者與物件>服務」頁面會列出系統中設定的系統服務。在此頁面中,您可以新增服務、編輯服務和刪除服務。

您可以使用服務物件輕鬆定義不同的網路通訊協定。這通常與 IP 協議和連接埠(由 TCP 和 UDP IP 協議使用)。

這些物件可用來定義您的安全性原則,以及以原則為基礎的路由規則關閉 規則庫中的一群組流量參數和其他條件,可導致針對通訊工作階段採取指定的動作。。許多服務物件都是隨系統預先定義的,因此無法刪除。這些預先定義的「系統服務」代表設備出於連線和安全原因,能夠對這些服務執行深度檢查的能力。系統服務有時會有額外的組態選項。

若要建立新服務:

  1. 點擊新增.

  2. 在「服務」頁籤中,在適用於所選服務類型的欄位中輸入資訊。請注意,並非所有欄位都會顯示:

    • 名稱-輸入服務的名稱。

    • 類型-從清單中選取服務類型:

      • TCP

      • UDP

      • ICMP-如果需要代表 ICMP 通訊協定中的特定選項,請選取此選項。請注意,這是進階選項。

      • 其他-選取此選項可代表 TCP 或 UDP 以外的任何 IP 通訊協定。

    • 連線埠-如果您選取 [類型]-[TCP] 或 [UDP],請輸入連線埠。輸入特定的通訊埠號碼或連線埠範圍。

    • IP 通訊協定-如果在 [類型] 欄位中選取 [其他],請輸入 IP 通訊協定。

    • ICMP 類型ICMP 代碼-輸入您希望服務物件代表的 ICMP 類型和代碼,如RFC 792中所列。僅當您在「類型」欄位中選取 ICMP 時,此選項才有關。

    • 附註-輸入選擇性附註。

    • 停用此服務的檢查 — 選取此核取方塊可停用符合此服務之流量的深度檢查。此選項僅適用於內建服務。

  3. 在 [進] 索引標籤中,在適用於所選服務類型的欄位中輸入資訊。請注意,視服務類型而定,並非所有欄位都會顯示。

    一般

    • 工作階段逾時 (以秒為單位)-工作階段逾時前的時間 (以秒為單位)。

    • 使用來來源連線埠-選取此選項並輸入使用者端服務的連線埠號碼。如果有指定,則在檢查此服務的封包時,只會接受、捨棄或拒絕這些來來源通訊埠號碼。否則,將不會檢查來來源連線埠。

    • 接受回覆 (與非 TCP 服務相關)-清除時,伺服器到使用者端封包會被視為不同的連線。

    • 匹配(僅由 Check Point 支援使用的進階選項)。

    連線處理

    • 安裝政策之後保持連線開啟狀態-即使在新政策下不允許這些連線也是如此。如果您變更此設定,變更不會影響開啟的連線,而只會影響未來的連線。

    • 同步叢集上的連線-在叢集關閉 兩個Quantum Spark 設備相互連線,以實現高可用性。上啟用狀態同步的高可用性或負載共用。在規則庫關閉 在給定的安全政策中設定的所有規則。Synonym:規則庫。允許的服務中,只有叢集上具有同步連線的服務會在穿過叢集時進行同步處理。依預設,所有新服務和現有服務都會同步處理。

    • 動連線後 X 秒開始同步處理-對於 TCP 服務,啟用此選項可延遲告知 Quantum Spark 設備有關連線的相關資訊,以便僅在連線起始後 X 秒內仍然存在時才會同步連線。某些 TCP 服務(例如 HTTP)的特徵在於持續時間非常短的連線。同步處理這些連線是沒有意義的,因為每個同步連線都會耗用閘道資源,而且連線可能會在容錯移轉發生時完成。

    Aggressive Aging

    您可以從 [設備>進階] 頁面設定此功能。當設備處於負載狀態時,較舊的連線會更快地從記憶體中移除,以騰出空間供新連線使用。

    • 啟用Aggressive Aging -選取此選項可管理連線表格容量,並減少閘道記憶體消耗量,以提高耐用性和穩定性。

    • 啟用Aging逾時 (以秒為單位)-工作階段逾時之前的時間 (以秒為單位)。

  4. 點擊套用

若要編輯服務:

  1. 從清單中選取服務。

  2. 單擊 編輯.

  3. 進行必要的變更。請注意,並非所有欄位都可以編輯。

  4. 點擊套用

若要刪除服務:

  1. 從清單中選取服務。請注意,您只能刪除使用者定義的服務。

  2. 點擊刪除.

  3. 在確認訊息中單擊

若要過濾指定的服務:

  1. 要過濾的類型方塊中,輸入服務名稱或部分服務名稱。

  2. 當您輸入文字時,會過濾清單並顯示相符的結果。

內建系統服務

一些內置服務代表 Check Point 對特定協議進行深度檢查的能力。無法刪除這些系統服務。當您編輯它們時,您設定的連線埠會決定何時進行深度檢查,您可以新增或變更預設連線埠。某些系統服務具有額外的設定,這些設定會影響深度檢查的執行方式。

  • HTTP-IPS 設定索引標籤可讓您設定執行 HTTP 深度檢查的方式和時間。選擇相關選項。

  • HTTPS-[網址過濾關閉 安全閘道上的 Check Point 軟體blade允許精細控制特定使用者群組、裝置或網路可以訪問哪些網站。Acronym:網址。] 設定索引標籤可讓您依憑證中的資訊對 HTTPS 網站進行分類。

  • FTP-防火牆設定頁籤可讓您設定防火牆如何自動偵測關閉 UserCheck 規則動作,允許流量和檔案進入內部網路並記錄它們。資料連線。您可以選取下列其中一個選項:

    • 任何-防火牆會偵測並允許所有模式下的 FTP 資料連線。

    • 作用中-防火牆只會在使用中模式下偵測並允許 FTP 資料連線。

    • 被動-防火牆僅在被動模式下偵測並允許 FTP 資料連線。

  • PPTP_TCP-[IPS 設定] 索引標籤可讓您設定執行 PPTP 深度檢查的方式。

    • 格式錯誤連線的動作-選擇解析失敗時要對連線執行的動作。

    • 追蹤-選擇解析失敗時要發出的記錄檔類型。

    • 強制執行嚴格的 PPTP 解析-選取此選項可強制嚴格遵守通訊協定。

  • SNMP-防火牆設定標籤可讓您將防火牆設定為在 SNMP 中強制執行唯讀模式。

  • SSH-防火牆設定索引標籤可讓您將防火牆設定為封鎖舊版 SSH 通訊協定 (1.x)。

  • Citrix-[防火牆設定] 索引標籤可讓您設定要在設定的連線埠上支援哪些通訊協定。預設連接埠 1494 通常由兩種不同的協議使用-Winframe 或Citrix ICA。