check_point.mgmt.cp_mgmt_set_global_properties 模块 – 编辑全局属性。
注意
此模块是 check_point.mgmt 集合 (版本 6.2.1) 的一部分。
如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install check_point.mgmt。
要在 playbook 中使用它,请指定: check_point.mgmt.cp_mgmt_set_global_properties。
check_point.mgmt 3.0.0 中的新增功能
概要
编辑全局属性。
所有操作均通过 Web 服务 API 执行。
参数
参数 |
注释 |
|---|---|
配置高级全局属性。强烈建议在修改这些值之前咨询 Check Point 技术支持。 |
|
配置证书和 PKI 属性。 |
|
在证书验证中强制执行密钥长度(仅限 R80+ 网关)。 选项
|
|
选择主机证书的 ECDSA 密钥大小。 选项
|
|
选择主机证书的密钥大小。 选项
|
|
安装 OPSEC 应用程序后,远程管理 (RA) 实用程序使 OPSEC 产品能够自行完成注册,而无需访问 SmartConsole。如果设置为 true,则包括应用程序主机在内的任何主机都可以运行该实用程序。否则,只能从安全管理主机运行 RA 实用程序。 选项
|
|
定义所有用户以及 Check Point 安全网关请求密码的各种方式(用户、客户端和会话身份验证)通用的身份验证属性。 |
|
内部用户身份验证的后缀。 |
|
强制执行内部用户身份验证的后缀。 选项
|
|
将每次身份验证尝试延迟指定数量的毫秒。在此字段中可以输入 1 到 25000 之间的任何值。 |
|
除基于证书的身份验证之外的所有身份验证都将延迟指定的时间。应用此延迟将阻止暴力破解身份验证攻击。延迟适用于失败和成功的身份验证尝试。 选项
|
|
会话终止前允许的失败客户端身份验证尝试次数。在此字段中可以输入 1 到 800 次尝试之间的任何值。 |
|
已启动但未提取的用户证书将在指定天数后过期。在此字段中可以输入 1 到 60 天之间的任何值。 |
|
会话终止前允许的失败 rlogin 尝试次数。在此字段中可以输入 1 到 800 次尝试之间的任何值。 |
|
会话终止前允许的失败会话身份验证尝试次数。在此字段中可以输入 1 到 800 次尝试之间的任何值。 |
|
会话终止前允许的失败 telnet 尝试次数。在此字段中可以输入 1 到 800 次尝试之间的任何值。 |
|
如果任务完成后已进行更改,则发布当前会话。 选项
|
|
指定系统范围的属性。选择 GTP 内隧道检查选项,包括反欺骗;跟踪和日志记录选项以及完整性测试。 |
|
如果为 true,则启用配置积极老化阈值和超时值。 选项
|
|
积极超时。仅当 aggressive-aging 为 true 时才可用。 |
|
允许来自与发送请求的 IP 地址不同的 IP 地址的 GTP 信令回复(仅适用于 R80 以下的网关)。 选项
|
|
防止 GTP 数据包封装在 GTP 隧道内。选中此选项后,此类数据包将被丢弃并记录。 选项
|
|
如果设置为 false,则不强制执行序列检查,并且将接受所有顺序错误的 G-PDU。 选项
|
|
允许运营商安全网关接受从 GGSN 发送到 SGSN 的 PDU,在先前建立的 PDP 上下文中,即使这些 PDU 发送到与已建立 PDP 上下文的端口不匹配的端口上。 选项
|
|
验证 G-PDU 是否使用在 PDP 上下文激活过程中已商定的最终用户 IP 地址。选中此选项后,不使用此 IP 地址的数据包将被丢弃并记录。 选项
|
|
指定仅当其序列号与其预期序列号之间的差异小于或等于允许的偏差时才接受 G-PDU。 |
|
与 GSN 网络对象的“运营商安全”窗口中找到的属性“强制执行 GTP 信号数据包速率限制”相关联。例如,使用默认的 1 秒速率限制采样间隔,并且网络对象强制执行默认的每秒 2048 个 PDU 的 GTP 信号数据包速率限制,则每秒将进行一次采样,或者在两次连续采样之间有 2048 个信令 PDU。 |
|
内存激活阈值。仅当 aggressive-aging 为 true 时才可用。 |
|
内存停用阈值。仅当 aggressive-aging 为 true 时才可用。 |
|
设置每个路径上每个配置时间段允许的 GTP 回显交换次数。超过此速率的回显请求将被丢弃并记录。将值设置为 0 将禁用此功能,并允许在任何间隔内每个路径无限数量的回显请求。 |
|
使用运营商安全性的扩展 GTP 相关日志字段记录先前规则不匹配的 GTP 数据包。这些日志为棕色,其“操作”属性为空。默认设置已选中。 选项
|
|
选择将此隐式规则放在最后之前还是作为最后一个规则。 选项
|
|
设置检测到协议冲突(格式错误的数据包)时要使用的适当跟踪或警报选项。 选项
|
|
隧道激活阈值。仅当aggressive-aging为true时可用。 |
|
隧道停用阈值。仅当aggressive-aging为true时可用。 |
|
检查每个数据包的流标签是否与GTP信令定义的流标签匹配。此选项仅适用于GTP版本0。 选项 |
|
配置与ConnectControl服务器负载均衡相关的设置。 |
|
设置负载测量代理与ConnectControl通信的端口号。 |
|
设置负载测量代理向ConnectControl报告其负载状态的频率(以秒为单位)。 |
|
设置客户端一旦被定向到特定服务器后,将继续定向到同一服务器的时间量(以秒为单位)。 |
|
设置ConnectControl检查负载均衡服务器是否正在运行并响应服务请求的频率(以秒为单位)。 |
|
设置ConnectControl在停止向服务器定向流量之前尝试联系服务器的次数。 |
|
配置从Check Point自动下载数据并匿名共享产品数据。此处选择的选项适用于此管理服务器管理的所有安全网关、集群和VSX设备。 |
|
自动下载并安装软件刀片合同、安全更新和其他重要数据(强烈推荐)。 选项
|
|
自动下载软件更新和新功能(强烈推荐)。 选项 |
|
通过发送匿名信息帮助Check Point改进产品。 选项
|
|
批准共享核心转储文件和其他相关的崩溃数据,这些数据可能包含个人信息。所有共享数据都将根据Check Point的隐私政策进行处理。 选项 |
|
响应中某些字段的详细程度可以从仅显示对象的UID值到对象的完整详细表示形式不等。 选项
|
|
指示要对哪些域处理命令。它不能与details-level full一起使用,必须仅从系统域运行,并且ignore-warnings为true。有效值为CURRENT_DOMAIN、ALL_DOMAINS_ON_THIS_SERVER。 |
|
向防火墙规则库添加隐式规则或从中删除隐式规则。确定隐式规则在规则库中的位置,以及是否记录它们。 |
|
用于: 选项
|
|
通过TCP接受域名(DNS)查询和回复,以允许下载用于服务器之间区域传输的域名解析表。对于客户端,只有在要传输的表非常大的情况下,才使用TCP上的DNS。 选项
|
|
隐式规则在规则库中的位置。 选项 |
|
通过UDP接受域名(DNS)查询和回复。 选项
|
|
隐式规则在规则库中的位置。 选项 |
|
接受动态地址模块的传出互联网连接。接受DAIP(动态分配IP地址)网关的DHCP流量。在小型办公设备网关中,此规则允许传出DHCP、PPP、PPTP和L2TP互联网连接(无论它是否是DAIP网关)。 选项
|
|
接受互联网控制消息协议消息。 选项
|
|
隐式规则在规则库中的位置。 选项 |
|
接受身份感知的分布式环境配置中安全网关之间的流量。 选项
|
|
隐式规则在规则库中的位置。 选项 |
|
允许小型办公设备网关提供DHCP中继、DHCP服务器和DNS代理服务,而不管规则库如何。 选项
|
|
接受IPS-1连接。 选项 |
|
接受来自Connectra网关的传出数据包。 选项 |
|
接受来自在Check Point安全网关处发起的连接的所有数据包。 选项
|
|
隐式规则在规则库中的位置。 选项 |
|
允许安全网关访问Check Point在线服务。支持R80.10网关及更高版本。 选项 |
|
隐式规则在规则库中的位置。 选项 |
|
接受远程访问连接。 选项 |
|
接受路由信息协议(RIP),使用UDP端口520。 选项
|
|
隐式规则在规则库中的位置。 选项 |
|
接受SmartUpdate连接。 选项
|
|
选择此选项会在安全策略规则库中创建一个隐式规则,该规则接受来自集群成员的VRRP入站和出站流量。 选项
|
|
接受小型办公设备网关的Web和SSH连接。 选项
|
|
为与从本窗口中定义的属性在规则库中生成的隐式规则匹配的通信生成日志记录。 选项
|
|
控制用户登录到Check Point安全网关后面的服务器时将看到的欢迎消息。 |
|
客户端身份验证欢迎文件是一个文件的文件名,其内容将在用户使用手动登录方法开始客户端身份验证会话(可选)时显示。由手动登录启动的客户端身份验证会话不受安全服务器调解。 |
|
FTP欢迎消息文件是一个文件的文件名,其内容将在用户开始经过身份验证的FTP会话时显示。 |
|
HTTP下一个代理主机是Check Point安全网关HTTP安全服务器后面的HTTP代理的主机名(如果存在)。更改HTTP下一个代理字段将在安全网关数据库下载到进行身份验证的网关后或安全策略重新安装后生效。 |
|
HTTP下一个代理端口是Check Point安全网关HTTP安全服务器后面的HTTP代理的端口(如果存在)。更改HTTP下一个代理字段将在安全网关数据库下载到进行身份验证的网关后或安全策略重新安装后生效。 |
|
此列表指定HTTP服务器。定义HTTP服务器允许您限制传入HTTP。 |
|
HTTP服务器的主机名。 |
|
HTTP服务器的唯一逻辑名称。 |
|
HTTP服务器的端口号。 |
|
指定用户访问特定服务器时是否必须重新进行身份验证。 选项
|
|
MDQ欢迎消息是在用户开始MDQ会话时要显示的消息。MDQ欢迎消息应包含符合RFC 1035的字符,并且必须遵循ARPANET主机名规则: |
|
Rlogin欢迎消息文件是一个文件的文件名,其内容将在用户开始经过身份验证的RLOGIN会话时显示。 |
|
来自http-servers的空请求服务器的逻辑名称。 |
|
SMTP欢迎消息是在用户开始SMTP会话时要显示的消息。 |
|
Telnet欢迎消息文件是一个文件的文件名,其内容将在用户开始经过身份验证的Telnet会话时显示。 |
|
启用命中计数功能,该功能跟踪每个规则匹配的连接数。 |
|
选择启用或清除以禁用所有安全网关监控每个规则匹配的连接数。 选项
|
|
选择一个时间范围选项。数据在此期间保留在安全管理服务器数据库中,并在“命中”列中显示。 选项
|
|
忽略错误应用更改。您将无法发布此类更改。如果忽略ignore-warnings标志,则警告也将被忽略。 选项
|
|
忽略警告应用更改。 选项
|
|
定义系统范围的日志记录和警报参数。 |
|
管理通知指定在发生管理事件(例如,证书即将过期)时要采取的操作。 选项
|
|
定义警报日志的行为和用于系统警报日志的警报类型。 |
|
设置系统警报的默认跟踪选项。 选项
|
|
运行邮件告警脚本 当在规则中将“邮件”指定为跟踪选项时要执行的操作系统脚本。默认值为 internal_sendmail,它不是脚本,而是内部安全网关命令。 |
|
运行弹出式告警脚本 当发出告警时要执行的操作系统脚本。例如,设置另一种通知形式,例如电子邮件或用户自定义命令。 |
|
将邮件告警发送到 SmartView Monitor 当发出邮件告警时,它也会发送到 SmartView Monitor。 选项
|
|
将弹出式告警发送到 SmartView Monitor 当发出告警时,它也会发送到 SmartView Monitor。 选项
|
|
将 SNMP 陷阱告警发送到 SmartView Monitor 当发出 SNMP 陷阱告警时,它也会发送到 SmartView Monitor。 选项
|
|
将用户自定义告警 1 发送到 SmartView Monitor 当发出告警时,它也会发送到 SmartView Monitor。 选项
|
|
将用户自定义告警 2 发送到 SmartView Monitor 当发出告警时,它也会发送到 SmartView Monitor。 选项
|
|
将用户自定义告警 3 发送到 SmartView Monitor 当发出告警时,它也会发送到 SmartView Monitor。 选项
|
|
运行 SNMP 陷阱告警脚本 当在规则中将“SNMP 陷阱”指定为跟踪选项时要执行的命令。默认情况下使用 internal_snmp_trap。此命令由 fwd 进程执行。 |
|
运行用户自定义脚本 当在规则中将“用户自定义”指定为跟踪选项,或选择“用户自定义告警 1”作为跟踪选项时要运行的操作系统脚本。 |
|
运行用户自定义脚本 2 当在规则中将“用户自定义”指定为跟踪选项,或选择“用户自定义告警 2”作为跟踪选项时要运行的操作系统脚本。 |
|
运行用户自定义脚本 3 当在规则中将“用户自定义”指定为跟踪选项,或选择“用户自定义告警 3”作为跟踪选项时要运行的操作系统脚本。 |
|
SAM 匹配的连接 指定 SAM(可疑活动监控)阻止连接时要采取的操作。 选项
|
|
动态对象解析失败 指定无法解析动态对象时要采取的操作。 选项
|
|
IP 选项丢弃 指定遇到包含 IP 选项的数据包时要采取的操作。Check Point 安全网关始终丢弃这些数据包,但您可以记录它们或发出告警。 选项
|
|
记录每个经过身份验证的 HTTP 连接 指定应为每个经过身份验证的 HTTP 连接生成日志条目。 选项
|
|
记录流量 指定是否记录流量。 选项
|
|
数据包标记不正确。 选项
|
|
数据包标记暴力攻击。 选项
|
|
SLA 违规 指定发生 SLA 违规时要采取的操作,如“虚拟链路”窗口中所定义。 选项
|
|
配置与系统范围的日志记录和告警参数相关的时钟设置。 |
|
指定连续记录类似数据包之间最短时间(以秒为单位)。如果两个数据包具有相同的源地址、源端口、目标地址和目标端口;并且使用了相同的协议,则认为它们是类似的。在第一个数据包之后,在宽限期内遇到的类似数据包将根据安全策略进行处理,但只有第一个数据包会生成日志条目或告警。在此字段中可以输入 0 到 90 秒之间的任何值。 |
|
指定在显示日志页面而不解析名称并仅显示 IP 地址之前的时间量(以秒为单位)。在此字段中可以输入 0 到 90 秒之间的任何值。 |
|
指定安全管理服务器查询 Check Point 安全网关、Check Point QoS 及其管理的其他网关以获取状态信息的频率。在此字段中可以输入 30 到 900 秒之间的任何值。 |
|
指定记录虚拟链路统计信息的频率(以秒为单位)。此参数仅与在虚拟链路窗口的“SLA 参数”选项卡中启用了 SmartView Monitor 统计信息的虚拟链路相关。在此字段中可以输入 60 到 3600 秒之间的任何值。 |
|
VPN 配置和密钥交换错误 指定记录配置或密钥交换错误时要采取的操作,例如,尝试与同一加密域内的网络对象建立加密通信时。 选项
|
|
VPN 数据包处理错误 指定发生加密或解密错误时要采取的操作。日志条目包含执行的操作(丢弃或拒绝)以及错误原因的简短说明,例如方案或方法不匹配。 选项
|
|
VPN 密钥交换成功 指定成功交换 VPN 密钥时要采取的操作。 选项
|
|
配置适用于所有 NAT 连接的设置。 |
|
指定是否记录从 IP 池分配和释放每个 IP 地址。 选项
|
|
指定如果 IP 池耗尽要采取的操作。 选项
|
|
适用于 NAT 规则库中的自动 NAT 规则,并允许两条自动 NAT 规则匹配连接。如果没有双向 NAT,则只有一条自动 NAT 规则可以匹配连接。 选项
|
|
确保 Check Point 安全网关会响应针对已转换(NATed)的计算机、网络或地址范围的 ARP 请求。 选项
|
|
适用于源自客户端、目标为服务器的数据包。服务器的静态 NAT 在客户端执行。 选项
|
|
适用于源自客户端、目标为服务器的数据包。服务器的静态 NAT 在客户端执行。 选项
|
|
适用于源自客户端、目标为服务器的数据包。服务器的静态 NAT 在客户端执行。 选项
|
|
合并自动和手动 ARP 配置。手动静态 NAT 规则需要手动代理 ARP 配置。 选项
|
|
指定非唯一 IP 地址范围。 |
|
IP 地址的类型。 选项
|
|
范围内的第一个 IPV4 地址。 |
|
范围内的第一个 IPV6 地址。 |
|
范围内的最后一个 IPV4 地址。 |
|
范围内的最后一个 IPV6 地址。 |
|
指示在假定对数据包标记进行攻击并撤销客户端密钥之前,将容忍多少个签名不正确的数据包。 |
|
选择当服务器、网关或客户端需要访问互联网以使用某些 Check Point 功能时是否使用代理服务器,并设置将使用的默认代理服务器。 |
|
指定代理服务器的 URL 或 IP 地址。 |
|
指定将访问服务器的端口。 |
|
如果设置为 true,则当功能需要访问互联网时使用代理服务器。 选项
|
|
定义服务质量 (QoS) 的常规参数并将其应用于 QoS 规则。 |
|
定义 QoS 的身份验证超时。此超时以分钟为单位设置。在经过身份验证的 IP 中,在指定的时间限制内打开的所有连接都将保证带宽,但在时间限制之后将不会保证带宽。 |
|
定义将保证带宽的权重。为规则设置默认权重。 |
|
定义将保证带宽的权重。为规则设置最大权重。 |
|
定义 QoS 的身份验证超时。此超时以分钟为单位设置。 |
|
定义 QoS 的身份验证超时。此超时以分钟为单位设置。 |
|
定义将保证带宽的数据包传输速率。设置度量单位。 选项
|
|
配置远程访问属性。 |
|
通常,必须由客户端启动与远程客户端的通信。但是,一旦客户端打开连接,VPN 后面的主机就可以向客户端打开返回连接或反向连接。对于反向连接,必须在客户端和网关之间的所有设备以及网关本身上维护客户端的详细信息。确定是否启用了反向连接。 选项
|
|
您可以确定是否通过 VPN 隧道传递远程客户端发送到位于公司 LAN 上的 DNS 服务器的 DNS 查询。如果客户端必须在连接到组织但未使用 SecuRemote 客户端时向公司 LAN 上的 DNS 服务器发出 DNS 查询,则禁用此选项。 选项
|
|
配置 Endpoint Connect 全局设置。这些设置适用于所有网关。 |
|
缓存密码超时时间(以分钟为单位)。 |
|
选择一个选项来确定客户端如何升级。 选项
|
|
启动与网关连接的方法。 选项
|
|
启用此功能会在与网络的连接丢失时将用户与网关断开连接。 选项
|
|
如果在定义的时间段内没有发送任何流量,启用此功能将断开用户与网关的连接。 选项
|
|
如果输入的用于身份验证的密码保存在用户的本地机器上。 选项
|
|
广泛影响,也适用于 Check Point GO 客户端! 选项
|
|
配置客户端如何确定其相对于内部网络的位置。 |
|
通过创建已知为外部的 DNS 后缀列表,可以提高将位置分类为内部或外部的速度。启用此选项可以定义不会被视为外部的 DNS 后缀。 选项
|
|
通过创建已知为外部的无线网络列表,可以提高将位置分类为内部或外部的速度。无线网络由其服务集标识符 (SSID) 标识,SSID 是用于标识特定 802.11 无线局域网的名称。 选项
|
|
此处未定义的 DNS 后缀将被视为外部。如果此列表为空,则 consider-undefined-dns-suffixes-as-external 将自动设置为 false。 |
|
排除指定的内部网络名称 (SSID)。 |
|
VPN 客户端连接到的网络或组的名称或 UID。 |
|
通过缓存(在客户端)先前确定为外部的网络名称,可以提高将位置分类为内部或外部的速度。 选项
|
|
当 VPN 客户端位于内部网络中时,内部资源可用,并且应断开 VPN 隧道连接。确定何时将 VPN 客户端视为位于内部网络中, 选项
|
|
用户凭据重新发送到网关以验证授权的时间长度(以分钟为单位)。 |
|
以集线器模式运行客户端,将所有流量发送到 VPN 服务器进行路由、过滤和处理。 选项
|
|
配置无线热点和酒店互联网接入注册的设置。 |
|
将“启用注册”设置为 true 以配置设置。将“启用注册”设置为 false 以取消注册(下面的配置将不可用)。启用此功能后,您有几分钟的时间完成注册。 选项
|
|
仅限本地子网访问。 选项
|
|
注册期间允许访问的地址最大数量。 |
|
注册期间要打开的端口(最多 10 个端口)。 |
|
完成注册的最长时间(以秒为单位)。 |
|
跟踪日志。 选项
|
|
通常,必须由客户端初始化与远程客户端的通信。但是,一旦客户端打开了连接,VPN 后面的主机就可以向客户端打开返回连接或回程连接。对于回程连接,必须在客户端和网关之间的所有设备以及网关本身上维护客户端的详细信息。确定客户端发送的保持活动数据包的频率(以秒为单位),以便保持与网关的连接。 |
|
定义安全配置验证过程的属性。 |
|
确定网关是否验证远程访问客户端是否已安全配置。仅当安全策略在简化模式中定义时才在此处设置。如果安全策略在传统模式中定义,则每个规则都会进行验证。 选项
|
|
指定即使未验证客户端,也可以使用所选服务访问的主机。 |
|
指定要从 SCV 中排除的主机。 |
|
指定要访问的服务。 |
|
如果客户端识别到安全配置已被违反,请选择是否由远程访问客户端生成日志并发送到安全管理服务器。 选项
|
|
不要对来自不支持它的 Check Point VPN 客户端(例如 SSL 网络扩展器、GO、Capsule VPN/Connect、低于 R75 的 Endpoint Connect 或 L2TP 客户端)的连接应用安全配置验证。 选项
|
|
如果客户端识别到安全配置已被违反,请选择是否应通知用户。 选项
|
|
大多数 SCV 检查都是通过 SCV 策略配置的。指定是否要验证是否仅使用 TCP/IP 协议。 选项
|
|
大多数 SCV 检查都是通过 SCV 策略配置的。指定是否要验证桌面安全策略是否已安装在客户端的所有接口上。 选项
|
|
如果网关验证了客户端的配置,请确定网关应如何处理安全配置验证失败的客户端的连接。可以丢弃连接或接受连接并记录它。 选项
|
|
定义 SecureClient Mobile 的属性。 |
|
选中后,客户端将在尝试建立 VPN 连接之前启动 GPRS 拨号连接。请注意,如果通过其他网络接口已经可以获得本地 IP 地址,则不会启动 GPRS 拨号。 选项
|
|
缓存密码超时时间(以分钟为单位)。 |
|
启动与网关连接的方法。 选项
|
|
如果在定义的时间段内没有发送任何流量,启用此功能将断开用户与网关的连接。 选项
|
|
如果输入的用于身份验证的密码保存在用户的本地机器上。 选项
|
|
广泛影响,也适用于 SSL 网络扩展器客户端! |
|
以集线器模式运行客户端,将所有流量发送到 VPN 服务器进行路由、过滤和处理。 选项
|
|
广泛影响,也适用于 SSL 网络扩展器客户端! 选项
|
|
广泛影响,也适用于 SSL 网络扩展器客户端和 Check Point GO 客户端。 选项
|
|
选择同时登录模式。 选项
|
|
定义 SSL 网络扩展器用户的属性。 |
|
选择发送保持活动数据包的时间间隔。 |
|
选择客户端在与网关断开连接时是否应自动卸载 SSL 网络扩展程序。 选项
|
|
当客户端使用 SSL 网络扩展程序连接到网关时,客户端会自动检查升级。选择客户端是否应自动升级。 选项
|
|
广泛影响,适用于 SecureClient Mobile! |
|
如果希望扫描端点机器以符合端点合规性策略,则设置为 true。 选项
|
|
广泛影响,也适用于 SecureClient Mobile 设备! 选项
|
|
广泛影响,也适用于 SecureClient Mobile 设备和 Check Point GO 客户端! 选项
|
|
配置远程访问客户端的加密方法和接口解析。 |
|
断开连接时的 SecuRemote/SecureClient 行为 - 远程访问 VPN 客户端未连接到站点时如何处理 VPN 域的流量。流量可以被丢弃或以明文形式发送,无需加密。 选项
|
|
多入口点配置的负载分发 - 远程访问客户端将从入口点列表中随机选择一个网关。确保为要作为入口点的所有安全网关定义相同的 VPN 域。 选项
|
|
对站点所有网关的连接使用首个分配的办公模式 IP 地址。远程用户连接并从网关接收办公模式 IP 地址后,到该网关加密域的每个连接都将使用办公模式 IP 作为内部源 IP 发送。办公模式 IP 是加密域中的主机将识别为远程用户 IP 地址的内容。特定网关分配的办公模式 IP 地址可以在其自身的加密域以及相邻的加密域中使用。相邻的加密域应位于与分配网关属于同一 VPN 社区的网关之后。由于远程主机的连接取决于其接收到的办公模式 IP 地址,因此如果发出 IP 的网关不可用,则所有到站点的连接都将终止。 选项
|
|
配置对远程访问客户端支持的加密和身份验证方法。 |
|
选择在 IKE 阶段 2 中协商并在 IPSec 连接中使用的算法。 |
|
配置 IKE 阶段 1 设置。 |
|
选择将与远程主机支持的哈希算法,以确保数据完整性。 |
|
选择是否将与远程主机支持 AES-XCBC 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 MD5 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA1 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA256 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA384 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA512 哈希算法以确保数据完整性。 选项
|
|
选择将与远程主机支持的 Diffie-Hellman 组。 |
|
选择是否将与远程主机支持 Diffie-Hellman 组 1 (768 位)。 选项
|
|
选择是否将与远程主机支持 Diffie-Hellman 组 14 (2048 位)。 选项
|
|
选择是否将与远程主机支持 Diffie-Hellman 组 2 (1024 位)。 选项
|
|
选择是否将与远程主机支持 Diffie-Hellman 组 5 (1536 位)。 选项
|
|
选择将与远程主机支持的加密算法。 |
|
选择是否将与远程主机支持 AES-128 加密算法。 选项
|
|
选择是否将与远程主机支持 AES-256 加密算法。 选项
|
|
选择是否将与远程主机支持 DES 加密算法。 选项
|
|
选择是否将与远程主机支持 3DES 加密算法。 选项
|
|
如果提供多个选择,则此处选择的哈希算法将具有最高优先级。 选项
|
|
SecureClient 用户使用在此字段中选择的 Diffie-Hellman 组。 选项
|
|
选择将具有所选算法最高优先级的加密算法。如果可以选择多个加密算法,则将使用在此字段中选择的算法。 选项
|
|
配置 IPSec 阶段 2 设置。 |
|
对所有用户强制执行加密算法和数据完整性。 选项
|
|
选择将与远程主机支持的哈希算法,以确保数据完整性。 |
|
选择是否将与远程主机支持 AES-XCBC 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 MD5 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA1 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA256 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA384 哈希算法以确保数据完整性。 选项
|
|
选择是否将与远程主机支持 SHA512 哈希算法以确保数据完整性。 选项
|
|
选择将与远程主机支持的加密算法。 |
|
选择是否将与远程主机支持 AES-128 加密算法。 选项
|
|
选择是否将与远程主机支持 AES-256 加密算法。 选项
|
|
选择是否将与远程主机支持 DES 加密算法。 选项
|
|
选择是否将与远程主机支持 3DES 加密算法。 选项
|
|
如果提供多个选择,则此处选择的哈希算法将具有最高优先级。 选项
|
|
选择将具有所选算法最高优先级的加密算法。如果可以选择多个加密算法,则将使用在此字段中选择的算法。 选项
|
|
选择加密方法。 选项
|
|
输入预共享密钥。 |
|
用户密码在用户的 IKE 属性(在用户属性窗口中,加密选项卡>编辑)的身份验证选项卡中指定。 选项
|
|
对 IKE 使用集中管理的预共享密钥。 选项
|
|
支持 SC(混合模式)、L2TP(PAP)和诺基亚客户端(CRACK)的传统身份验证。 选项
|
|
支持传统 EAP(可扩展身份验证协议)。 选项
|
|
调整状态检测参数。 |
|
接受引用其他非 ICMP 连接(例如,到规则库已接受的正在进行的 TCP 或 UDP 连接)的 ICMP 错误数据包。 选项
|
|
接受规则库已接受的 ICMP 请求的 ICMP 回复数据包。 选项
|
|
接受针对其他未定义服务(即,不是以下服务之一的服务:TCP、UDP、ICMP)的回复数据包。 选项
|
|
指定是否要接受针对未知服务的 UDP 回复。 选项
|
|
丢弃与连接当前状态不一致的 ICMP 数据包。 选项
|
|
丢弃与连接当前状态不一致的 SCTP 数据包。 选项
|
|
丢弃与连接当前状态不一致的 TCP 数据包。 选项
|
|
ICMP 虚拟会话将在此时间段(以秒为单位)后被认为已超时。 |
|
丢弃这些非状态性 ICMP 数据包时生成日志条目。 选项
|
|
丢弃这些非状态性 SCTP 数据包时生成日志条目。 选项
|
|
丢弃这些非状态性 TCP 数据包时生成日志条目。 选项
|
|
在此未明确配置的服务的虚拟会话将在此时间段(以秒为单位)后被认为已超时。 |
|
连接结束后或重置后,SCTP 连接将在这么多秒后结束,以便允许延迟到达的连接的杂散 ACK。 |
|
空闲连接将保留在安全网关连接表中的时间(以秒为单位)。 |
|
如果第一个数据包到达与连接建立之间的时间间隔超过此值(以秒为单位),则 SCTP 连接将超时。 |
|
TCP 连接将仅在两个 FIN 数据包(一个在每个方向上,客户端到服务器和服务器到客户端)或一个 RST 数据包后 TCP 结束超时秒后终止。当 TCP 连接结束(发送 FIN 数据包或连接重置)时,Check Point 安全网关将把连接保留在连接表中另一个 TCP 结束超时秒,以允许延迟到达的连接的杂散 ACK。 |
|
TCP 连接将仅在两个 FIN 数据包(一个在每个方向上,客户端到服务器和服务器到客户端)或一个 RST 数据包后 TCP 结束超时秒后终止。当 TCP 连接结束(发送 FIN 数据包或连接重置)时,Check Point 安全网关将把连接保留在连接表中另一个 TCP 结束超时秒,以允许延迟到达的连接的杂散 ACK。 |
|
允许非状态数据包的网关和集群的名称或 UID。 |
|
空闲连接将保留在安全网关连接表中的时间长度(以秒为单位)。 |
|
如果第一个数据包到达与连接建立(TCP 三次握手)之间的时间间隔超过 TCP 开始超时秒,则 TCP 连接将超时。 |
|
指定 UDP 回复通道在没有任何数据包返回的情况下可以保持打开状态的时间量(以秒为单位)。 |
|
设置用户帐户的到期时间并配置“即将到期”警告。 |
|
帐户在您选择的天数后到期。 |
|
使用以下格式指定到期日期,YYYY-MM-DD。 |
|
选择到期日期方法。 选项
|
|
激活“已过期帐户”链接,以打开“已过期帐户”窗口。 选项
|
|
决定是否显示和访问 WebAccess 规则库。此策略定义哪些用户(即哪些 Windows 域)可以访问组织的内部站点。 |
|
指定是否显示 WebAccess 规则库。此规则库用于 UserAuthority。 选项
|
|
指定哪些 Windows 域可以访问组织的内部站点。 |
|
在将防火墙用户名与 Windows 域用户名匹配以进行单点登录时,选择是信任所有域还是指定要信任的 Windows 域。 选项
|
|
如果无法确定用户浏览器中的语言设置,则设置 UserCheck 消息的语言。 |
|
新的 UserCheck 消息的首选语言。 选项
|
|
发送电子邮件的邮件服务器名称或 UID。 |
|
用户可以启用 LDAP 用户目录并为 LDAP 指定全局参数。如果启用了 LDAP 用户目录,则意味着用户是在外部 LDAP 服务器上管理的,而不是在内部 Check Point 安全网关用户数据库上。 |
|
允许缓存的最大用户数。缓存采用 FIFO(先进先出)方式。当向已满的缓存添加新用户时,将删除第一个用户为新用户腾出空间。Check Point 安全网关不会查询缓存中已有的用户对应的 LDAP 服务器,除非缓存已超时。 |
|
决定登录时是否显示用户的 DN。如果选择显示用户 DN,则可以选择在用户登录时提示输入密码时显示它,或者在身份验证方案请求时显示它。当帐户单元中存在多个同名用户时,此属性是一个有用的诊断工具。在这种情况下,将选择第一个用户,而忽略其他用户。 选项
|
|
对于使用 MS 活动目录的组织,此设置允许密码已过期的用户自动创建新密码。 选项
|
|
启用密码有效期天数的配置。 选项
|
|
在创建或修改 Check Point 密码时,对 LDAP 用户强制执行密码强度规则。 选项
|
|
指定密码的最小长度(以字符为单位)。 |
|
指定密码有效的几天。用户使用特殊的 LDAP 密码进行身份验证。如果此密码过期,则必须定义一个新密码。 |
|
密码必须包含一个数字。 选项
|
|
密码必须包含一个符号。 选项
|
|
密码必须包含一个小写字符。 选项
|
|
密码必须包含一个大写字符。 选项
|
|
缓存用户超时的时间段,之后需要再次从 LDAP 服务器获取。 |
|
Check Point 版本。如果没有给出版本,则采用最新版本。 |
|
配置与 VPN 相关的设置。 |
|
输入将用于网关 DNS 查询的域名。使用的 DNS 主机名是“gateway_name.domain_name”。 |
|
启用备份网关。 选项
|
|
启用对网关到网关流量的解密接受。这仅与传统模式下的策略相关。在传统模式下,“接受”操作确定允许连接,而“加密”操作确定允许并加密连接。选择 VPN 是否接受与具有“接受”操作的规则匹配的加密数据包或将其丢弃。 选项
|
|
启用多个入口点配置(站点到站点连接)的负载分发。VPN 多个入口点 (MEP) 功能为 Check Point 安全网关提供高可用性和负载分发。MEP 以四种模式工作,
选项
|
|
在 VPN 列中启用 VPN 双向匹配。 选项
|
|
建立 VPN 隧道时,对等体会出示其证书进行身份验证。网关机器上的时钟必须与证书颁发机构机器上的时钟同步。否则,用于验证对等体证书的证书吊销列表 (CRL) 可能被认为无效,从而导致身份验证失败。为了解决时钟时间不同的问题,宽限期允许 CRL 有效性更宽的窗口。 |
|
建立 VPN 隧道时,对等体会出示其证书进行身份验证。网关机器上的时钟必须与证书颁发机构机器上的时钟同步。否则,用于验证对等体证书的证书吊销列表 (CRL) 可能被认为无效,从而导致身份验证失败。为了解决时钟时间不同的问题,宽限期允许 CRL 有效性更宽的窗口。 |
|
处理远程客户端时,需要延长宽限期。远程客户端有时依赖于对等网关来提供 CRL。如果客户端的时钟与网关的时钟不同步,则网关认为有效的 CRL 可能被客户端认为无效。 |
|
当同时处理的 IKE 协商数量超过 VPN 容量的阈值时,网关得出结论,它要么处于高负载下,要么正在遭受拒绝服务攻击。VPN 可以过滤出可能是潜在拒绝服务攻击源的对等体。有两种保护类型,
由于这些类型的攻击涉及对 IKE 协议的新专有添加,因此启用这些保护机制可能会导致与非 Check Point VPN 产品或旧版本的 VPN 出现问题。 选项
|
|
当同时处理的 IKE 协商数量超过 VPN 容量的阈值时,网关得出结论,它要么处于高负载下,要么正在遭受拒绝服务攻击。VPN 可以过滤出可能是潜在拒绝服务攻击源的对等体。有两种保护类型,
由于这些类型的攻击涉及对 IKE 协议的新专有添加,因此启用这些保护机制可能会导致与非 Check Point VPN 产品或旧版本的 VPN 出现问题。 选项
|
|
为所有新的安全策略决定简化模式还是传统模式,或者决定每个策略使用哪种模式。 选项
|
|
等待任务结束。例如发布任务。 选项
|
|
在抛出超时错误之前等待多少分钟。 默认: |
示例
- name: set-global-properties
cp_mgmt_set_global_properties:
firewall:
security_server:
http_servers:
- host: host name of server
logical_name: unique logical name
port: 8080
reauthentication: post request
返回值
常见的返回值已在此处记录 此处,以下是此模块特有的字段
键 |
描述 |
|---|---|
Check Point set-global-properties 输出。 返回:始终。 |