这部分包括以下内容:
高级设置包含防火墙的各种设置,涉及结构整体测试每个包要进行的包尺寸限制,连接超时等。很多情况下,这部分指定的缺省值适合大多数安装。高级设置使高级安装能够配置防火墙的几乎所有的项目。
可能用的比较多的设置表部分包括以下各项:
设置部分的有些值可以通过列表框指定。最常用的值描述如下:
ValidateSilent–确认满足规定的要求。如果没有满足要求,则丢弃数据包而不做记录。
ValidateLogBad–确认满足规定的要求。如果没有满足要求,则记录丢弃的数据包。
ValidateLog –确认满足规定的要求。如果没有满足要求,则丢弃数据包。无论是否满足要求都要记录数据包。这可能对不常用的TCP等选项有用。
StripSilent–如果出现规定的数据包信息,则加以删除而不做记录。有的情况下,要象确认ValidateSilent的正确性一样确认指定信息。
StripLogBad –确认指定信息的正确性,如果不正确,则删除并记录数据包。总是删除包里的信息。
StripLog–如果出现规定的数据包信息,则加以删除。总要对这样的包进行记录。有的情况下,要象确认ValidateLog的正确性一样确认指定信息。
Drop–总是丢弃数据包,而不做记录。
DropLog–总是记录丢弃的数据包。
Reject–总是丢弃数据包。向发送者发送答复,说明包已被拒绝。不做记录。
RejectLog–总是记录丢弃的数据包。向发送者发送答复,说明包已被拒绝。
Ignore–忽略出现的规定信息。
Log–只记录出现的规定信息。
如前所述,这些值出现在多个列表框里。可是,请注意没有一个列表框同时包含所有数值,而且列表框能够根据不同设置稍做改动。每个项目项下有关于改动的更多信息。
下面对设置部分的每个设置进行更进一步的描述。
记录含有错误校验和IP包的突发事件。通常,记录在网络传输中损坏的包。所有网络设备,路由器和工作站都会丢弃含有校验和错误的IP包。可是,基于非法校验和攻击的可能性微乎其微。
缺省值:ENABLED
记录非版本4的IP包突发事件。阿姆瑞特防火墙只接收版本4的IP包,其他数据包都将被丢弃。
缺省值:ENABLED
记录用设置为零的TTL值接收的IP包突发事件。任何情况下,任何网络设备不应该用零值的TTL发送包。
缺省值:ENABLED
阻塞源地址0.0.0.0。
缺省值:ENABLED
阻塞0.* 源地址和目的地址。
缺省值:DropLog。
阻塞127.* 源地址和目的地址。
缺省值:DropLog。
服务器接受的最低TTL值。
缺省值:3。
对低于规定TTLMin值的包采取行动的决定。
缺省值:DropLog。
发出包时,阿姆瑞特防火墙指示使用哪个TTL。这些值在64到255之间。
缺省值:255。
确认每层(以太网, IP, TCP, UDP, ICMP)中包含的大小信息是否与其他层的大小一致。
缺省值:ValidateLogBad。
确认“IP选项”的大小。这些选项是可以添加到每个IP端头的小信息块。此功能检查熟知选项类型的大小,确保所有选项不超过IP头本身规定的大小。
缺省值:ValidateLogBad。
指示是否允许源路由选项。这些选项允许包的发送者控制如何通过每个路由器和防火墙转发包。这承担着巨大的安全风险。不论设置怎样,阿姆瑞特防火墙都不遵守这些选项规定的源路由。
缺省值:DropLog
时间标记选项通知包经过的每个路由器和防火墙指示沿路由转发包的时间。这些选项不出现在正常的数据流中。时间标记也可以用来记录包从发送者到最终目的经过的路由。不论设置怎样,阿姆瑞特防火墙都不把信息输入这些选项。
缺省值:DropLog
除上面规定之外的所有选项。
缺省值:DropLog
指示防火墙是否转发发给与网络直接连接的广播地址的包。从功能上讲,为了简单起见,给规则部分添加行便可做到这一点。因为这种形式的确认更专业,所以比规则部分的目录快。
缺省值:DropLog
指示如果IP头保留字段有数据,防火墙将如何工作。常规情况下,使用OS指纹识别方式时,这些字段的读数应该为0。
缺省值:DropLog
剥去小于或等于此设置指定大小的包无碎片标志。
缺省值:500字节
确认TCP选项的大小。此功能工作方式与上述IPOptionSizes的方式相同。
缺省值:ValidateLogBad
决定允许的最小尺寸的TCP MSS。含有低于此限制的最大数据段包按照下一个设置进行处理。
缺省值:100字节
决定对TCP MSS选项低于规定TCPMSSMin值的包采取的行动。
缺省值:DropLog
决定允许的最大尺寸的TCP MSS。含有低于此限制的最大数据段包按照下一个设置进行处理。
缺省值: 1460 bytes.
与TCPMSSMax一样,这是允许的最大数据段。但是,此设置仅控制VPN连接里的MSS。这样,阿姆瑞特防火墙能够减小所有VPN连接里TCP使用的有效数据段尺寸,即使主机不知道如何发现MTU,也会减少VPN连接里的TCP碎片。
缺省值:1400字节
决定对TCP MSS选项超出TCPMSS Max规定值的包采取的行动。太大的数值会对书写混乱的TCP堆栈造成问题,或形成大量碎片包,从而对性能产生严重影响。
缺省值:Adjust
如果TCPMSSOnHigh不记录的话,确定什么时候记录过大的TCP MSS。
缺省值:7000字节
决定如果不使用ACK顺序号,是否应该将防火墙TCP包里的ACK顺序号字段设置为零。有的操作系统就是这样显示顺序号信息的,这使入侵者更易攻击已建立的连接。
缺省值:ENABLED。
决定防火墙如何处理窗口选项。这些设置用来增加使用TCP窗口的尺寸,即发送者期望ACK之前发送的信息量。OS指纹识别系统也使用这些设置。WSOPT是现代网络中常见的事件。
缺省值:ValidateLogBad
决定防火墙如何处理选择的确认选项。这些选项是用于各ACK包的,而不是整个系列,它们能够增强大量丢包的连接的性能。OS指纹识别系统也使用这些设置。SACK是现代网络中常见的事件。
缺省值:ValidateLogBad
决定防火墙如何处理时间标志选项。按照PAWS(防范封装顺序号)规定的方法,用TSOPT防止顺序号(32位的数字)在接收者不发觉的情况下超出顺序号的上限。这通常不会成为问题。有的TCP堆栈用TSOPT,通过测量包前往目的地址和从目的地址发出的时间优化连接。然后用此信息生成比常规情况更快的重发速度。OS指纹识别系统也使用这些设置。TSOPT是现代网络中常见的事件。
缺省值:ValidateLogBad
决定防火墙如何处理预备的校验和请求选项。最初的意图是用这些选项协商更好地使用TCP校验和的方法。可是,目前的任何标准系统都不理解这些选项。因为与校验和算法相比,阿姆瑞特防火墙更理解标准算法,所以从不接受这些选项。现代网络上通常看不到ALTCHKREQ选项。
缺省值:StripLog
决定防火墙如何处理预备的校验和数据选项。这些选项用于传输上面ALTCHKREQ允许的预备校验和。现代网络通常看不这些选项。
缺省值:StripLog
决定防火墙如何处理连接计数器选项。
缺省值:StripLogBad
指定防火墙如何处理上面设置未涉及的TCP选项。这些选项通常不出现在现代网络上。
缺省值:StripLog
指定防火墙如何处理同时打开SYN(同步)和URG(紧急数据)标志的TCP包。SYN标志的出现表明一个新连接正在打开的过程中,URG标志意味着数据包含有要求紧急重视的数据。这两个标志不能在一个包里同时打开,因为它们是专门用实施不良的TCP堆栈攻击计算机的。
缺省值:DropLog
指定防火墙如何处理同时打开SYN和PSH(推)标志的TCP包。PSH标志意味着接收堆栈应该立即把包里的信息发送给计算机的目的地址。这两个标志不能同时打开,因为这样可能对实施不良的TCP堆栈造成攻击。但是,许多Macintosh计算机实施的TCP不正确,这意味着它们总是用打开的PSH标志向外发送SYN包。这就是阿姆瑞特防火墙不管正常设置应该丢弃这样数据包的决定,而是通常删除PSH标志,允许包通过的原因。
缺省值:StripSilent
指定防火墙如何处理同时打开FIN(完成,关闭连接)和URG(紧急数据)标志的TCP包。通常不应该出现这种情况,因为通常不会在发送重要数据的同时关闭一个连接。这种组合的标志能够用来攻击实施不良的TCP堆栈,也可被OS指纹系统使用。
缺省值:DropLog
指定防火墙不管其他标志的设置,如何处理打开URG标志的TCP包。很多TCP堆栈和应用处理URG标志的方式不正确,而且,在最糟糕的情况下,会终止工作。注意有些程序如FTP 和MS SQL服务器几乎总是使用URG标志。
缺省值:StripLog
指定防火墙如何在打开Xmas 或Ymas标志的情况下处理TCP包。目前最常使用这些标志的是OS指纹系统。
注意:即将出台的“明确阻塞通知”也使用这些TCP标志,但是只要少数操作系统支持此标准,就应该剥离这些标志。
缺省值:StripLog
指定防火墙如何处理TCP包头保留字段出现的信息,通常情况下应该为零。该字段与Xmas 和Ymas标志不同。是OS指纹系统使用的字段。
缺省值:DropLog
指定防火墙如何处理没有打开SYN, ACK, FIN或RST中任何一个标志的TCP包。按照TCP标准,这些包都是非法的,由OS指纹识别系统和盗窃端口扫描仪使用,因为有些防火墙无法探测这种包。
缺省值:DropLog
指定阿姆瑞特防火墙每秒可以生成的最大ICMP信息数,包括ping回应,不可达目的信息,以及TCP RST包。换言之,此设置是限制规则部分规则Reject规则每秒可以生成的Reject规则。
缺省值:20个/秒
指定防火墙是否应该悄悄地丢弃与状态跟踪打开的连接有关的ICMP错误。如果此设置未丢弃这些错误,则应与其他包一样转到规则集加以评估。
缺省值:ENABLED
决定防火墙是否要求以太网级的发送地址与ARP数据报告的硬件地址一致。
缺省值:DropLog
如何处理发送IP为0.0.0.0的ARP询问。这样的发送IP在响应中都是无效的,但是,不知道其IP地址的网络设备有时提出“未指定”发送IP的ARP问题。
缺省值:DropLog
决定IP发送地址是否必须与访问部分的规则一致。
缺省值:Validate
决定防火墙如何处理未经防火墙询问的ARP响应。根据ARP的规定,接收者应该接收这些响应。可是,因为这样做为攻击本地连接打开了方便之门,所以,一般是不允许的。
缺省值:DropLog
决定防火墙是否自动把ARP请求里的数据添加到ARP表里。ARP规则声明应该添加,可是,因为这样做为攻击本地连接打开了方便之门,所以,一般是不允许的。即使把ARP请求设置为Drop(意味着不储存就丢弃包),如果其他规则同意此请求,防火墙也应该做出响应。
缺省值:DropLog
决定防火墙在接收的ARP响应或ARP请求改变ARP表中已有项目的情况下应如何处理。这么做会方便对本地连接的攻击。可是,禁止这么做,如果更换网卡也会产生问题,因为防火墙在ARP表目录在超时时才能接受新地址。
缺省值:AcceptLog
决定防火墙在接收的ARP响应或ARP请求改变ARP表中静态项目的情况下应如何处理。当然,决不允许这种情况发生。但是,此设置的确允许指定是否记录这种情况。
缺省值:DropLog
指定ARP表里正常动态项目在删除前在表中保留的时间。
缺省值:900秒(15分钟)
指定防火墙记忆无法到达地址的时间。这能够保证防火墙间断询问此类地址的现象。
缺省值:15秒
决定防火墙如何处理声称为多播地址的ARP请求和ARP响应。这种声明通常是错误的,某些负载平衡和冗余设备例外,因为它们使用的是硬件层多播地址。
缺省值:DropLog
决定防火墙如何处理声称为广播地址的ARP请求和ARP响应。这种声明通常是不正确的。
缺省值:DropLog
缓存里总共能够保留多少ARP目录。
缺省值:4096
所谓的hash表是用来快速查看表中目录的。为了到达最大效率,hash表应为标定指数的尺寸的2倍,所以如果直接连接的最大LAN拥有500个IP地址,那么ARP hash目录的尺寸至少应有1000条目录。
缺省值:1000
如果没有可用空间时,允许给防火墙连接列表添加新连接,以取代旧连接。
缺省值:ReplaceLog
某些情况下,规则部分的决定允许包通过,状态检查机制随后决定不得打开新连接。这种情况中的一个例子是关闭SYN标志的TCP包,规则允许其通过,但不能成为建立的连接。这样的包永远都无法打开新连接。此外,新连接都是用ICMP ECHO(Ping)而不是ICMP信息打开的。此设置决定防火墙是否记录出现的这种包。
缺省值:ENABLED
决定防火墙是否记录试图通过已经打开的连接打开一个新连接的包。这种做法仅适用于打开SYN标志的TCP包和ICMP ECHO包。在其他如UDP协议中,无法决定远端主机是否正试图打开一个新连接。
缺省值:ENABLED
决定防火墙是否记录违反连接切换图的期望状态的包,如对TCP SYN包响应做出的TCP FIN包
缺省值:ENABLED
指定防火墙一次可以打开的连接数。每个连接消耗大约150字节的RAM。
缺省值:4096个迸发连接
决定防火墙是否要求在发出原始请求的接口上接收响应。通常,如果Access列表的设置方式是指定IP地址仅允许某特定接口作为发送地址,那么此功能不会对系统造成影响。
缺省值:ENABLED
指定防火墙在动态NAT(NAT隐藏)中使用的第一个源端口。使用端口值从此开始,连续增加直至到达最大连接数设置规定的数值。
缺省值:32768
指定防火墙怎样记录连接:
NoLog–不记录任何连接;因此,不论Allow或NAT规则是否允许记录都没有关系;不会对它们进行记录。可是,按照规则设置规定将记录FwdFast, Drop和Reject规则。
Log–以简短的形式记录连接;对连接做简短描述,允许的规则和适用的任何SAT规则。连接关闭时也会被记录。
LogOC–用于日志的,但是,包括使连接打开、关闭的两个包。如果连接因超时关闭,则不记录结尾包。
LogOCAll–记录所有涉及打开和关闭连接的包。如果是TCP包,则包括打开SYN,FIN或RST标志的所有包。
LogAll–记录连接中的所有包。
缺省值:Log
这部分的设置规定可保持连接空闲的时间,即在连接关闭前,不通过连接发送数据。请注意每个连接具有两个超时值:每个方向各一个。如果两个值当中的任何一个值达到零,连接则关闭。
指定一个未完全建立的TCP连接在关闭前空闲的时间。
缺省值:60秒
指定一个建立完全的TCP连接在关闭前空闲的时间。只要关闭SYN标志的包在两个方向上传输,连接便完全建立了。
缺省值:3600秒(60分)
指定在最终关闭前将要关闭TCP连接可以空闲的时间。打开FIN标志的包单向通过时,连接便达到这种状态。
缺省值:8 0秒
指定UDP连接在关闭前空闲的时间。其超时值通常很低,因为UDP在连接即将关闭时,无法发出信号。
缺省值: 130秒
指定Ping(ICMP ECHO)连接在关闭前可以保持空闲的时间。
缺省值:8秒
指定使用未知协议连接在关闭前能够保持空闲的时间。
缺省值:130秒
这部分包括的信息是关于IP级(即TCP, UDP, ICMP等)下对协议直接作用的大小限制。
此处规定的数值与包中包含的IP数据相关。在以太网上,单一一个包可以含有多达1480个字节的IP数据而不分段。而且,还有与1514字节以太网网络上的最大媒体传输设备对应的20个字节的IP头和14字节的以太网头。
指定包括头在内的TCP包的最大尺寸。此值通常与未分段包提供的IP数据量有关,因为TCP经常调节发出的数据段以适应最大的包尺寸。可是,在某些不常用的VPN系统上,需要给此数值增加20-50字节。
缺省值:1480字节。
指定含有包头的UDP包的最大尺寸。此数值可以很高,因为许多实时硬件使用巨大的分段UDP包。如果没有使用这样的协议,对UDP包的尺寸限制可以降至1480字节。
缺省值:6000字节。
指定ICMP包的最大尺寸。ICMP错误信息报不应超出600个字节,虽然,如果要求,Ping包可以大一些。如果不希望使用大的Ping包,可以把此数值降至1000字节。
缺省值:10000字节。
指定GRE包的最大尺寸。GRE(通用路由封装)有各种用途,包括传输PPTP,点到点通道协议,数据。不论原始协议多出大约50个字节,此数值应该设置为允许通过VPN连接的最大包尺寸。
缺省值:2000字节。
指定ESP包的最大尺寸。ESP(封装安全净荷)是应用封装时,Ipsec使用的。不论原始协议多出大约50个字节,此数值应该设置为允许通过VPN连接的最大包尺寸。
缺省值:2000字节。
指定AH包的最大尺寸。AH(验证头)是验证时,Ipsec使用的。不论原始协议多出大约50个字节,此数值应该设置为允许通过VPN连接的最大包尺寸。
缺省值:2000字节。
指定SKIP包的最大尺寸。
缺省值:2000字节。
指定OSPF包的最大尺寸。OSPF是主要使用在较大LAN的路由协议。
缺省值:148 0字节。
指定IP-in-IP包的最大尺寸。IP-in-IP是不使用Ipsec时,Checkpoint防火墙-1 VPN连接使用的。不论原始协议多出大约50个字节,此数值应该设置为允许通过VPN连接的最大包尺寸。
缺省值:2000字节。
指定IPComp包的最大尺寸。
缺省值:2000字节。
指定第二层通道协议包的最大尺寸。
缺省值:2000字节。
指定不属于上述协议规定的包的最大尺寸。
缺省值:148 0字节。
规定防火墙是否记录超大尺寸的包。
缺省值:ENABLED。
IP能够传输高达65536个字节的数据。但是,大多数媒体如以太网无法携带如此巨大的数据包。为了补偿,IP堆栈把数据分离为独立的包发送,每个包有各自的IP头和信息,便于接收方正确地重组原始包。
但是,很多IP堆栈不能正确处理分离的数据包,使入侵者能够利用这个机会攻击系统。阿姆瑞特防火墙具有几种防范数据段攻击的手段。
迸发数据段重组的最大数。
缺省值:1024
决定防火墙怎样处理错误组建的数据段。“错误组建”这个词指数据段重叠,用不同的数据复制数据段,数据段尺寸有误等。可能进行的设置包括:
Drop–不记录,丢弃非法数据段。切记将被重组的数据包是不可信的,可以加以记录做进一步跟踪。
DropLog–丢弃并记录非法数据段。切记将被重组的数据包是不可信的,可以加以记录做进一步跟踪。
DropPacket–丢弃非法数据段和以前存储的所有数据段。不允许ReassIllegalLinger时间内该包更多的数据段通过。
DropLogPacket–作为丢弃包,但要记录事件。
DropLogAll–作为DropLogPacket,但要记录ReassIllegalLinger时间内到达的属于该包的更多数据段。
是否放弃某个数据段或不允许整个包的选择由两个因素决定:
放弃整个包更安全。
如果是,因为可能接收非法数据段,所以选择放弃整个包,攻击者能够在重组过程中用发送非法数据段的方法,中断通讯,并用此法阻断几乎所有通讯。
缺省值:DropLog –放弃某个数据段并记住重组试图是不可信的。
如果同一个数据段多次到达,意味着在前往接收方途中的某一点该数据段已被复制,或是攻击者试图中断包重组。为了准确地确定其中的可能性,阿姆瑞特防火墙对数据段的数据组成进行对比。对比可在数据段2~512的位置随机进行,抽样的每个位置4个字节。如果对比的抽样数更大,发现复制数据段不匹配的可能性更大。对比越多,CPU的负荷就越大。
缺省值:Check8 –对比8个随机位置,共32个字节。
下面的一个原因都可能导致重组失败:
某些数据段未在ReassTimeout或ReassTimeLimit规定的时间内到达。这意味着一或多个数据段在通过Internet的途中丢失了,这是十分常见的现象。
防火墙因新到达的分离数据包而被迫中断重组,防火墙资源暂时耗尽。这种情况下,旧的重组企图或被放弃或标记为“失败”。
攻击者试图发送错误的分段包。
正常情况下,在失败频繁出现时,不希望对失败进行记录。可是,记录可疑数据段的失败可能很有用。IllegalFrags设置为Drop而不是DropPacket时,会出现这种失败。
FragReassemblyFail具有以下设置:
NoLog –重组试图失败时,不进行记录
LogSuspect–只要涉及可疑数据段,就记录失败重组企图。
LogSuspectSubseq –作为LogSuspect,但在包到达时,也记录该包后来的数据段。
LogAll–记录所有的失败重组企图。
LogAllSubseq–作为LogAll,但也但在包到达时,也记录该包后来的数据段。
缺省值:LogSuspectSubseq
如果包因规则设置而被拒绝进入系统,那么也值得记录该包的各个数据段。DroppedFrags设置指定防火墙采取的措施。该规则的可能设置如下:
NoLog–不记录规则集中未规定上述规则的事件。
LogSuspect–记录受可疑数据段影响而被丢弃的重组尝试的数据段。
LogAll–记录所有被丢弃的数据段。
缺省值:LogSuspect
如果同一数据段多次到达,意味着在前往接收方途中的某一点该数据段已被复制,或是攻击者试图中断包重组。DuplicateFrags决定是否记录这样的数据段。注意如果数据段里包含的数据不符,DuplicateFragData也能够对它们进行记录。可能的设置如下:
NoLog–正常情况下不做记录
LogSuspect –如果重组过程受到可疑数据段的影响,则记录复制的数据段。
LogAll–记录所有被复制的数据段。
缺省值:LogSuspect
与ICMP ECHO(Ping)不同,ICMP信息因为含有不必要数据段的细小数据,所以不能进行常规分段。FragmentedICMP决定当防火墙接收到非ICMP ECHO或ECHOREPLY分段ICMP信息时,采取的行动。
缺省值:DropLog
MinimumFragLength决定所有数据段的大小,数据包的最后一个数据段例外。尽管过小的太多数据段的到达会对IP堆栈造成问题,但不能经常把此限制设得太高。发送者创建极小数据段的情况十分少见。但是,发送者可以发送1480个字节的数据段,前往接收者途中的路由器或VPN通道随后将有效MTU减少到1440个字节。这样会产生许多1440个字节的数据段和同样数量的40个字节的数据段。因为存在潜在问题,所以阿姆瑞特防火墙的缺省设置设计为允许最小的7个字节的数据段通过。内部使用时,所有媒体的大小是人所共知的,因此,可以把此值上升到200个字节或更高。
缺省值:8字节
在以前数据段接收的ReassTimeout时间内,如果没有其他数据段到达,重组试图将被打断。
缺省值:65秒
第一个接收的数据段到达后,重组试图总会被打断ReassTimeLimit的时间。
缺省值:90秒
包一旦被重组,防火墙能够对此做短暂记忆以防该把更多的数据段,即复制的旧数据段到达。
缺省值:20秒
整个包一旦标有非法标志,防火墙能够对此做短暂记忆以防该把更多的数据段到达。
缺省值:60秒
本地迸发重组的最大数。
缺省值:256
本地重组包的最大尺寸。
缺省值:10000
以上尺寸的本地庞大(2K以上)重组缓存器的数目。
缺省值:32
如何处理标有未知ID的VLAN包。
缺省值:DropLog
每秒将处理最多SNMP请求数。
缺省值:100
管理节点的联系人。
缺省值:"N/A"
管理节点的名称。
缺省值:"N/A"
节点的物理位置。
缺省值:"N/A"
SNMP MIB-II ifDescr变量里显示的内容。
缺省值:Name
SNMP ifMIB ifAlias变量里显示的内容。
缺省值:Hardware
从DHCP服务器接收的最短的租赁期(秒)
缺省值:60
要求分配的广播地址是指定网络中的最大地址。
缺省值:Enabled
允许DHCP服务器把255.255.255.255分配为广播地址。(非标准)
缺省值:Disabled
同时交易的最大数。
缺省值:32
DHCP交易能够发生的时间。
缺省值:10秒
一分钟内客户端通过防火墙给DHCP服务器能够发送的DHCP包数。
缺省值:500个包
DHCP请求在客户端和DHCP服务器之间发生的跳数。
缺省值:5
允许通过防火墙最长的租赁期,如果DHCP服务器的租赁期比此值高,则要降低到此值。
缺省值:10000秒
同时能够激活的中继数
缺省值:256
DHCP服务器_保存租期策略
使用什么样的策略以保存租期数据库到磁盘,可能的设置为Disabled、ReconfShut或ReconfShutTimer。
缺省值: ReconfShut
DHCP服务器_自动保存租期的间隔
如果DHCP服务器保存租期策略被设置为ReconfShutTimer时,间隔多长时间向磁盘保存一次租期数据库。
缺省值: 86400
决定IKE是否应该发送“初始联系”通报信息。当连接向此信息打开,而且以前的IPsec SA也没有使用远程网关时,便把此信息发给每个远程网关。
缺省值:ENABLED
指示应该把CRL(证书撤回列表)作为IKE交换的一部分发送。通常应该设置为ENABLE,远程主机不知道CRL净荷的情况例外。
缺省值:ENABLED
CRL含有“下次更新”字段,指示从CA下载新CRL的时间和日期。根据CA的配置,CRL更新之间的时间可以从几小时到更多时间。多数CA软件允许CA管理员在任何时间发布CRL,因此,即使“下次更新”字段声明12个小时之后才可获得新CRL,但已经可以下载新CRL了。
此设置限定认为CRL有效的时间。当IKECRLVailityTime到期或出现“下次更新”的时间时,无论哪一个先出现都要下载新CRL。
缺省值:90000
在确认用户证书签名时,防火墙查看用户证书的“发布者姓名”字段以找出签名的CA证书。此CA证书可由另一个CA签名,而此CA签名又可由另一个CA来签名,如此等。每个证书都将得到确认直至找到标记为可信的证书,或确定没有可信的证书为止。
如果该通道上的证书比此设置规定的证书多,则认为此用户证书无效。
缺省值:15
内部证书缓存中可保留的最多证书/CRL数。证书缓存充满时,按照LRU(最新使用)算法删除目录。
缺省值:1024
Pass IKE & IPsec (ESP/AH) traffic sent to the firewall directly to the IPsec engine without consulting the ruleset.
缺省值:Enabled
此设置限定阿姆瑞特防火墙每秒可以发送的日志包数。因为可能导致漏记重要事件的情况出现,所以不可把此值设置的太低。但也不可设置的太高,有一种将数值设置的太高而造成损坏的情况是防火墙向日志服务器没有激活的服务器发送日志信息的时候。服务器反馈ICMP不可达信息,这使防火墙再发出一条日志信息,相应地产生另一条ICMP不可达信息,如此不段重复。通过限制防火墙每秒发送的日志数,可以避免这中消耗带宽的情况发生。
缺省值:每秒100条信息
阿姆瑞特防火墙定期将打开连接和网络负载的信息发给日志服务器。UsageLogInterval指定发送频率。
缺省值:3600秒,1小时一次
用于识别HA防火墙组别的本地唯一的HA集群ID。
缺省值:0
等待同HA集群中防火墙认可时缓存中保存的同步数据(单位:KB)。
缺省值:1024
突发时,最多发送同步状态包的数目。
缺省值:20
启动时或配置后保持静止的时间
缺省值:5
每次重新保持同步的时间(以秒计)
缺省值:86400
允许调节服务器最长的时间间隔。
缺省值:3600
根据服务器响应所分组的间隔。
缺省值:10
Timeserver 1的IP地址。
缺省值:none
Timeserver 2的IP地址。
缺省值:none
Timeserver 3的IP地址。
缺省值:none
DNS主服务器
缺省值:none
DNS辅服务器
缺省值:none
DNS第三服务器
缺省值:none
上传新配置时,防火墙试图建立到防火墙管理器的双向通讯以保证到达防火墙。此设置指定防火墙恢复以前设置的前等待的时间。
缺省值:30秒
对于到防火墙的netcon数据流:先查看Remotes部分,再考虑规则集。
缺省值:Enabled
对于到防火墙的SNMP数据流:先查看Remotes部分,再考虑规则集。
缺省值:Disabled
HTTPPoster_URL1, HTTPPoster_URL2, HTTPPoster_URL3
这里指定的URL将会在防火墙引导时被按顺序发送。
HTTPPoster_RepDelay
决定发送器间隔多久后重新发送上面的URL,以秒为单位。
Ringsize_e1000_rx
e1000卡上的rx缓冲区大小。
缺省值: 64
Ringsize_e1000_tx
e1000止上的tx缓冲区大小。
缺省值: 256
Ringsize_e100_rx
e100卡上的rx缓冲区大小。
缺省值: 32
Ringsize_e100_tx
e100卡上的rx缓冲区大小。
缺省值: 128
作为最后一招,防火墙在缓存长时间充溢时,会自动重启。此设置指定充溢的时间。
缺省值:3600秒
经过若干秒后,防火墙自动进行屏幕保护。屏幕保护可根据系统CPU当前负载自行调节行为。负载大时,每秒更新一次,只占用一小部分CPU负载。
缺省值:300秒(5分钟)
1MB限制以上的RAM中分配的缓存器数。
分配的最多管道用户数。由于管道用户仅被跟踪1/20秒,因此这个数字不必是接近实际用户数或状态跟踪连接数的任何值。如果管道未经配置,那么无论此设置如何,都不分配管道用户。关于管道和管道用户更多信息,请参考第十章:流量分配。
缺省值:512