check_point.mgmt.cp_mgmt_set_global_properties 模块 – 编辑全局属性。
注意
此模块是 check_point.mgmt 集合 (版本 6.2.1) 的一部分。
如果您使用的是 ansible 软件包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install check_point.mgmt。
要在剧本中使用它,请指定: check_point.mgmt.cp_mgmt_set_global_properties。
check_point.mgmt 3.0.0 中的新增功能
概要
编辑全局属性。
所有操作都是通过 Web 服务 API 执行的。
参数
参数 |
注释 |
|---|---|
配置高级全局属性。强烈建议在修改这些值之前咨询 Check Point 的技术支持。 |
|
配置证书和 PKI 属性。 |
|
在证书验证中强制执行密钥长度(仅限 R80+ 网关)。 选项
|
|
选择主机证书 ECDSA 的密钥大小。 选项
|
|
选择主机证书的密钥大小。 选项
|
|
安装 OPSEC 应用程序后,远程管理 (RA) 实用程序使 OPSEC 产品能够完成自身注册,而无需访问 SmartConsole。如果设置为 true,则包括应用程序主机在内的任何主机都可以运行该实用程序。否则,只能从安全管理主机运行 RA 实用程序。 选项
|
|
定义对所有用户以及 Check Point 安全网关请求密码的各种方式(用户、客户端和会话身份验证)都通用的身份验证属性。 |
|
内部用户身份验证的后缀。 |
|
强制执行内部用户身份验证的后缀。 选项
|
|
将每次身份验证尝试延迟指定的毫秒数。此字段可以输入 1 到 25000 之间的任何值。 |
|
除基于证书的身份验证之外的所有身份验证都将延迟指定的时间。应用此延迟将阻止暴力破解身份验证攻击。延迟适用于失败和成功的身份验证尝试。 选项
|
|
会话终止前允许的客户端身份验证失败尝试次数。此字段可以输入 1 到 800 次尝试之间的任何值。 |
|
已启动但未提取的用户证书将在指定天数后过期。此字段可以输入 1 到 60 天之间的任何值。 |
|
会话终止前允许的 rlogin 失败尝试次数。此字段可以输入 1 到 800 次尝试之间的任何值。 |
|
会话终止前允许的会话身份验证失败尝试次数。此字段可以输入 1 到 800 次尝试之间的任何值。 |
|
会话终止前允许的 telnet 失败尝试次数。此字段可以输入 1 到 800 次尝试之间的任何值。 |
|
如果任务完成后进行了更改,则发布当前会话。 选项
|
|
指定系统范围的属性。选择 GTP 内隧道检查选项,包括反欺骗;跟踪和日志记录选项以及完整性测试。 |
|
如果为 true,则启用配置激进老化阈值和超时值。 选项
|
|
激进超时。仅当 aggressive-aging 为 true 时可用。 |
|
允许来自与发送请求的 IP 地址不同的 IP 地址的 GTP 信令回复(仅适用于低于 R80 的网关)。 选项
|
|
防止 GTP 数据包封装在 GTP 隧道内。选中此选项后,此类数据包将被丢弃并记录。 选项
|
|
如果设置为 false,则不强制执行序列检查,并且将接受所有乱序 G-PDU。 选项
|
|
允许运营商安全网关接受从 GGSN 发送到 SGSN 的 PDU,在先前建立的 PDP 上下文中,即使这些 PDU 是通过与已建立的 PDP 上下文的端口不匹配的端口发送的。 选项
|
|
验证 G-PDU 是否使用在 PDP 上下文激活过程中已商定的最终用户 IP 地址。选中此选项后,不使用此 IP 地址的数据包将被丢弃并记录。 选项
|
|
指定只有当G-PDU的序列号与预期序列号的差小于或等于允许的偏差时才接受该G-PDU。 |
|
与GSN网络对象“载波安全”窗口中找到的“强制执行GTP信令分组速率限制”属性相关联。例如,如果速率限制采样间隔默认为1秒,并且网络对象强制执行默认的每秒2048个PDU的GTP信令分组速率限制,则每秒将进行一次采样,或者在两次连续采样之间会有2048个信令PDU。 |
|
内存激活阈值。仅当aggressive-aging为true时可用。 |
|
内存停用阈值。仅当aggressive-aging为true时可用。 |
|
设置每个配置的时间段内每个路径允许的GTP回显交换次数。超过此速率的回显请求将被丢弃并记录。将值设置为0将禁用此功能,并允许在任何间隔内每个路径无限数量的回显请求。 |
|
使用载波安全的扩展GTP相关日志字段记录以前规则未匹配的GTP分组。这些日志为棕色,其“操作”属性为空。默认设置已选中。 选项
|
|
选择将此隐式规则放置在“最后之前”或作为“最后”规则。 选项
|
|
检测到协议违规(格式错误的分组)时,设置要使用的适当跟踪或警报选项。 选项
|
|
隧道激活阈值。仅当aggressive-aging为true时可用。 |
|
隧道停用阈值。仅当aggressive-aging为true时可用。 |
|
查看每个分组的流标签是否与GTP信令定义的流标签匹配。此选项仅与GTP版本0相关。 选项
|
|
配置与ConnectControl服务器负载均衡相关的设置。 |
|
设置负载测量代理与ConnectControl通信的端口号。 |
|
设置负载测量代理向ConnectControl报告其负载状态的频率(以秒为单位)。 |
|
设置客户端一旦定向到特定服务器后,将继续定向到同一服务器的时间量(以秒为单位)。 |
|
设置ConnectControl检查负载均衡服务器是否正在运行并响应服务请求的频率(以秒为单位)。 |
|
设置ConnectControl在停止向服务器定向流量之前尝试联系服务器的次数。 |
|
配置从Check Point自动下载并匿名共享产品数据。此处选择的选项适用于此管理服务器管理的所有安全网关、集群和VSX设备。 |
|
自动下载并安装软件刀片合同、安全更新和其他重要数据(强烈推荐)。 选项
|
|
自动下载软件更新和新功能(强烈推荐)。 选项
|
|
通过发送匿名信息帮助Check Point改进产品。 选项
|
|
批准共享核心转储文件和其他相关的崩溃数据,这些数据可能包含个人信息。所有共享数据将根据Check Point的隐私政策进行处理。 选项
|
|
响应中某些字段的详细程度可以从仅显示对象的UID值到对象的完整详细表示形式不等。 选项
|
|
指示要在此处处理命令的域。它不能与details-level full一起使用,必须仅从系统域运行并且ignore-warnings为true。有效值为CURRENT_DOMAIN、ALL_DOMAINS_ON_THIS_SERVER。 |
|
向防火墙规则库添加隐式规则或从中删除隐式规则。确定规则库中隐式规则的位置,以及是否记录它们。 |
|
用于:
选项
|
|
接受通过TCP的域名(DNS)查询和回复,以允许下载用于服务器之间区域传输的域名解析表。对于客户端,只有在要传输的表非常大的情况下才使用TCP上的DNS。 选项
|
|
规则库中隐式规则的位置。 选项
|
|
接受通过UDP的域名(DNS)查询和回复。 选项
|
|
规则库中隐式规则的位置。 选项
|
|
接受动态地址模块的传出Internet连接。接受DAIP(动态分配IP地址)网关的DHCP流量。在小型办公设备网关中,此规则允许传出的DHCP、PPP、PPTP和L2TP Internet连接(无论它是否是DAIP网关)。 选项
|
|
接受互联网控制消息协议消息。 选项
|
|
规则库中隐式规则的位置。 选项
|
|
接受身份感知的分布式环境配置中安全网关之间的流量。 选项
|
|
规则库中隐式规则的位置。 选项
|
|
允许小型办公设备网关提供DHCP中继、DHCP服务器和DNS代理服务,而不管规则库如何。 选项
|
|
接受IPS-1连接。 选项
|
|
接受来自Connectra网关的传出数据包。 选项
|
|
接受来自在Check Point安全网关处发起的连接的所有数据包。 选项
|
|
规则库中隐式规则的位置。 选项
|
|
允许安全网关访问Check Point在线服务。支持R80.10网关及更高版本。 选项
|
|
规则库中隐式规则的位置。 选项
|
|
接受远程访问连接。 选项
|
|
接受路由信息协议(RIP),使用UDP端口520。 选项
|
|
规则库中隐式规则的位置。 选项
|
|
接受SmartUpdate连接。 选项
|
|
选择此选项会在安全策略规则库中创建一个隐式规则,该规则接受来自集群成员的VRRP入站和出站流量。 选项
|
|
接受小型办公设备网关的Web和SSH连接。 选项
|
|
为与从本窗口中定义的属性在规则库中生成的隐式规则匹配的通信生成日志记录。 选项
|
|
控制用户登录到Check Point安全网关后面的服务器时将看到的欢迎消息。 |
|
客户端身份验证欢迎文件是包含内容的文件的名称,当用户使用手动登录方法开始客户端身份验证会话(可选)时,将显示这些内容。由手动登录启动的客户端身份验证会话不受安全服务器调解。 |
|
FTP欢迎消息文件是包含内容的文件的名称,当用户开始经过身份验证的FTP会话时,将显示这些内容。 |
|
HTTP下一个代理主机是Check Point安全网关HTTP安全服务器(如果有)后面的HTTP代理的主机名。更改HTTP下一个代理字段将在安全网关数据库下载到身份验证网关后或重新安装安全策略后生效。 |
|
HTTP下一个代理端口是Check Point安全网关HTTP安全服务器(如果有)后面的HTTP代理的端口。更改HTTP下一个代理字段将在安全网关数据库下载到身份验证网关后或重新安装安全策略后生效。 |
|
此列表指定HTTP服务器。定义HTTP服务器允许您限制传入HTTP。 |
|
HTTP服务器的主机名。 |
|
HTTP服务器的唯一逻辑名称。 |
|
HTTP服务器的端口号。 |
|
指定用户在访问特定服务器时是否必须重新进行身份验证。 选项
|
|
MDQ欢迎消息是在用户开始MDQ会话时要显示的消息。MDQ欢迎消息应包含符合RFC 1035的字符,并且必须遵循ARPANET主机名规则, |
|
Rlogin欢迎消息文件是包含内容的文件的名称,当用户开始经过身份验证的RLOGIN会话时,将显示这些内容。 |
|
来自http-servers的空请求服务器的逻辑名称。 |
|
SMTP 欢迎消息是在用户开始 SMTP 会话时显示的消息。 |
|
Telnet 欢迎消息文件是包含在用户开始已认证 Telnet 会话时显示内容的文件名。 |
|
启用命中计数功能,该功能跟踪每个规则匹配的连接数。 |
|
选择启用或清除禁用所有安全网关以监控每个规则匹配的连接数。 选项
|
|
选择一个时间范围选项。数据将在此期间保存在安全管理服务器数据库中,并在“命中”列中显示。 选项
|
|
忽略错误应用更改。您将无法发布此类更改。如果忽略警告标志被忽略,警告也将被忽略。 选项
|
|
忽略警告应用更改。 选项
|
|
定义系统范围的日志记录和警报参数。 |
|
管理通知指定在发生管理事件(例如,证书即将过期)时要采取的操作。 选项
|
|
定义警报日志的行为和用于系统警报日志的警报类型。 |
|
设置系统警报的默认跟踪选项。 选项
|
|
运行邮件警报脚本,当将“邮件”指定为规则中的跟踪时要执行的操作系统脚本。默认为 internal_sendmail,它不是脚本,而是内部安全网关命令。 |
|
运行弹出窗口警报脚本,发出警报时要执行的操作系统脚本。例如,设置另一种通知形式,例如电子邮件或用户定义的命令。 |
|
向 SmartView Monitor 发送邮件警报,发出邮件警报时,也会将其发送到 SmartView Monitor。 选项
|
|
向 SmartView Monitor 发送弹出窗口警报,发出警报时,也会将其发送到 SmartView Monitor。 选项
|
|
向 SmartView Monitor 发送 SNMP 陷阱警报,发出 SNMP 陷阱警报时,也会将其发送到 SmartView Monitor。 选项
|
|
向 SmartView Monitor 发送用户自定义警报 1,发出警报时,也会将其发送到 SmartView Monitor。 选项
|
|
向 SmartView Monitor 发送用户自定义警报 2,发出警报时,也会将其发送到 SmartView Monitor。 选项
|
|
向 SmartView Monitor 发送用户自定义警报 3,发出警报时,也会将其发送到 SmartView Monitor。 选项
|
|
运行 SNMP 陷阱警报脚本命令,当将“SNMP 陷阱”指定为规则中的跟踪时要执行的命令。默认情况下使用 internal_snmp_trap。此命令由 fwd 进程执行。 |
|
运行用户定义的脚本,当将“用户定义”指定为规则中的跟踪时,或当选择“用户定义警报 1”作为跟踪选项时要运行的操作系统脚本。 |
|
运行用户定义的脚本 2,当将“用户定义”指定为规则中的跟踪时,或当选择“用户定义警报 2”作为跟踪选项时要运行的操作系统脚本。 |
|
运行用户定义的脚本 3,当将“用户定义”指定为规则中的跟踪时,或当选择“用户定义警报 3”作为跟踪选项时要运行的操作系统脚本。 |
|
由 SAM 匹配的连接指定当连接被 SAM(可疑活动监控)阻止时要采取的操作。 选项
|
|
动态对象解析失败指定在无法解析动态对象时要采取的操作。 选项
|
|
IP 选项丢弃指定遇到包含 IP 选项的数据包时要采取的操作。Check Point 安全网关始终丢弃这些数据包,但您可以记录它们或发出警报。 选项
|
|
记录每个已认证的 HTTP 连接指定应为每个已认证的 HTTP 连接生成日志条目。 选项
|
|
记录流量指定是否记录流量。 选项
|
|
数据包标记不正确。 选项
|
|
数据包标记暴力攻击。 选项
|
|
SLA 违规指定在发生 SLA 违规时要采取的操作,如“虚拟链接”窗口中定义的那样。 选项
|
|
配置与系统范围的日志记录和警报参数关联的时间设置。 |
|
指定连续记录相似数据包之间的最短时间(以秒为单位)。如果两个数据包具有相同的源地址、源端口、目标地址和目标端口;并且使用了相同的协议,则认为它们是相似的。在第一个数据包之后,在宽限期内遇到的相似数据包将根据安全策略进行处理,但只有第一个数据包会生成日志条目或警报。在此字段中可以输入 0 到 90 秒之间的任何值。 |
|
指定在显示日志页面而不解析名称并仅显示 IP 地址之后的时间量(以秒为单位)。在此字段中可以输入 0 到 90 秒之间的任何值。 |
|
指定安全管理服务器查询 Check Point 安全网关、Check Point QoS 及其管理的其他网关以获取状态信息的频率。在此字段中可以输入 30 到 900 秒之间的任何值。 |
|
指定记录虚拟链接统计信息的频率(以秒为单位)。此参数仅与在虚拟链接窗口的“SLA 参数”选项卡中启用了 SmartView Monitor 统计信息的虚拟链接相关。在此字段中可以输入 60 到 3600 秒之间的任何值。 |
|
VPN 配置和密钥交换错误指定在记录配置或密钥交换错误时要采取的操作,例如,当尝试与同一加密域内的网络对象建立加密通信时。 选项
|
|
VPN 数据包处理错误指定在发生加密或解密错误时要采取的操作。日志条目包含执行的操作(丢弃或拒绝)以及错误原因的简短说明,例如方案或方法不匹配。 选项
|
|
VPN 成功密钥交换指定成功交换 VPN 密钥时要采取的操作。 选项
|
|
配置适用于所有 NAT 连接的设置。 |
|
指定是否记录从 IP 池分配和释放每个 IP 地址。 选项
|
|
指定如果 IP 池耗尽要采取的操作。 选项
|
|
适用于 NAT 规则库中的自动 NAT 规则,并允许两个自动 NAT 规则匹配连接。如果没有双向 NAT,则只有一个自动 NAT 规则可以匹配连接。 选项
|
|
确保 Check Point 安全网关可以响应针对已转换(NATed)的机器、网络或地址范围的 ARP 请求。 选项
|
|
适用于源自客户端,目标为服务器的数据包。服务器的静态 NAT 在客户端执行。 选项
|
|
适用于源自客户端,目标为服务器的数据包。服务器的静态 NAT 在客户端执行。 选项
|
|
适用于源自客户端,目标为服务器的数据包。服务器的静态 NAT 在客户端执行。 选项
|
|
合并自动和手动 ARP 配置。手动静态 NAT 规则需要手动代理 ARP 配置。 选项
|
|
指定非唯一 IP 地址范围。 |
|
IP 地址的类型。 选项
|
|
范围内的第一个 IPV4 地址。 |
|
范围内的第一个 IPV6 地址。 |
|
范围内的最后一个 IPV4 地址。 |
|
范围内的最后一个 IPV6 地址。 |
|
指示在假定对数据包标记进行攻击并撤销客户端密钥之前,将容忍多少个签名不正确的数据包。 |
|
选择当服务器、网关或客户端需要访问互联网以获得某些 Check Point 功能时是否使用代理服务器,并设置将使用的默认代理服务器。 |
|
指定代理服务器的 URL 或 IP 地址。 |
|
指定访问服务器的端口。 |
|
如果设置为 true,则当功能需要访问互联网时使用代理服务器。 选项
|
|
定义服务质量 (QoS) 的常规参数并将其应用于 QoS 规则。 |
|
定义 QoS 的身份验证超时。此超时以分钟为单位设置。在已验证的 IP 中,在指定的时间限制内打开的所有连接都将保证带宽,但在时间限制后将不保证带宽。 |
|
定义将保证带宽的权重。为规则设置默认权重。 |
|
定义将保证带宽的权重。为规则设置最大权重。 |
|
定义 QoS 的身份验证超时。此超时以分钟为单位设置。 |
|
定义 QoS 的身份验证超时。此超时以分钟为单位设置。 |
|
定义将保证带宽的数据包传输速率。设置度量单位。 选项
|
|
配置远程访问属性。 |
|
通常,必须由客户端启动与远程客户端的通信。但是,一旦客户端打开连接,VPN 后面的主机就可以向客户端打开返回或反向连接。对于反向连接,必须在客户端和网关之间的所有设备以及网关本身维护客户端的详细信息。确定是否启用了反向连接。 选项
|
|
您可以决定是否将远程客户端发送到公司局域网上的 DNS 服务器的 DNS 查询通过 VPN 隧道传输。如果客户端需要在连接到组织但未使用 SecuRemote 客户端时向公司局域网上的 DNS 服务器发出 DNS 查询,请禁用此选项。 选项
|
|
配置 Endpoint Connect 的全局设置。这些设置适用于所有网关。 |
|
缓存密码超时时间(分钟)。 |
|
选择一个选项来确定客户端如何升级。 选项
|
|
启动与网关连接的方法。 选项
|
|
启用此功能会在网络连接丢失时将用户与网关断开连接。 选项
|
|
启用此功能会在定义的时间段内未发送任何流量时将用户与网关断开连接。 选项
|
|
如果输入的用于身份验证的密码保存在用户的本地机器上。 选项
|
|
广泛影响,也适用于 Check Point GO 客户端! 选项
|
|
配置客户端如何确定其相对于内部网络的位置。 |
|
通过创建已知为外部的 DNS 后缀列表,可以提高将位置分类为内部或外部的速度。启用此选项可以定义不会被视为外部的 DNS 后缀。 选项
|
|
通过创建已知为外部的无线网络列表,可以提高将位置分类为内部或外部的速度。无线网络由其服务集标识符 (SSID) 标识,SSID 是用于标识特定 802.11 无线局域网的名称。 选项
|
|
此处未定义的 DNS 后缀将被视为外部。如果此列表为空,则 consider-undefined-dns-suffixes-as-external 将自动设置为 false。 |
|
排除指定的内部网络名称 (SSID)。 |
|
VPN 客户端连接到的网络或组的名称或 UID。 |
|
通过缓存(在客户端)先前确定为外部的网络名称,可以提高将位置分类为内部或外部的速度。 选项
|
|
当 VPN 客户端位于内部网络中时,内部资源可用,并且应断开 VPN 隧道连接。确定何时将 VPN 客户端视为位于内部网络中。 选项
|
|
重新向网关发送用户的凭据以验证授权的时间长度(分钟)。 |
|
在集线器模式下操作客户端,将所有流量发送到 VPN 服务器进行路由、过滤和处理。 选项
|
|
配置无线热点和酒店互联网接入注册的设置。 |
|
为了配置设置,请将“启用注册”设置为 true。为了取消注册(以下配置将不可用),请将“启用注册”设置为 false。启用此功能后,您有几分钟时间完成注册。 选项
|
|
仅限本地子网访问。 选项
|
|
注册期间允许访问的地址最大数量。 |
|
注册期间要打开的端口(最多 10 个端口)。 |
|
完成注册的最长时间(秒)。 |
|
跟踪日志。 选项
|
|
通常,必须由客户端初始化与远程客户端的通信。但是,一旦客户端打开连接,VPN 后面的主机就可以向客户端打开返回连接或回程连接。对于回程连接,必须在客户端和网关之间的所有设备以及网关本身上维护客户端的详细信息。确定客户端发送的保持活动数据包的频率(秒),以便保持与网关的连接。 |
|
定义安全配置验证过程的属性。 |
|
确定网关是否验证远程访问客户端是否已安全配置。仅当安全策略在简化模式下定义时才在此处设置。如果安全策略在传统模式下定义,则每个规则都会进行验证。 选项
|
|
指定即使未验证客户端,也可以使用所选服务访问的主机。 |
|
指定要从 SCV 中排除的主机。 |
|
指定要访问的服务。 |
|
如果客户端识别到安全配置已被违反,请选择是否由远程访问客户端生成日志并将其发送到安全管理服务器。 选项
|
|
不要对来自不支持它的 Check Point VPN 客户端(例如 SSL 网络扩展器、GO、Capsule VPN/Connect、低于 R75 的 Endpoint Connect 或 L2TP 客户端)的连接应用安全配置验证。 选项
|
|
如果客户端识别到安全配置已被违反,请选择是否应通知用户。 选项
|
|
大多数 SCV 检查都是通过 SCV 策略配置的。指定是否要验证是否仅使用 TCP/IP 协议。 选项
|
|
大多数 SCV 检查都是通过 SCV 策略配置的。指定是否要验证桌面安全策略是否已安装在客户端的所有接口上。 选项
|
|
如果网关验证了客户端的配置,请决定网关应如何处理未能通过安全配置验证的客户端的连接。可以丢弃连接或接受连接并记录它。 选项
|
|
定义 SecureClient Mobile 的属性。 |
|
选中后,客户端将在尝试建立 VPN 连接之前启动 GPRS 拨号连接。请注意,如果通过另一个网络接口已提供本地 IP 地址,则不会启动 GPRS 拨号。 选项
|
|
缓存密码超时时间(分钟)。 |
|
启动与网关连接的方法。 选项
|
|
启用此功能会在定义的时间段内未发送任何流量时将用户与网关断开连接。 选项
|
|
如果输入的用于身份验证的密码保存在用户的本地机器上。 选项
|
|
广泛影响,也适用于 SSL 网络扩展器客户端! |
|
在集线器模式下操作客户端,将所有流量发送到 VPN 服务器进行路由、过滤和处理。 选项
|
|
广泛影响,也适用于 SSL 网络扩展器客户端! 选项
|
|
广泛影响,也适用于 SSL 网络扩展器客户端和 Check Point GO 客户端。 选项
|
|
选择同时登录模式。 选项
|
|
定义 SSL 网络扩展器用户的属性。 |
|
选择发送保持活动数据包的时间间隔。 |
|
选择客户端是否应在与网关断开连接时自动卸载 SSL 网络扩展器。 选项
|
|
当客户端使用SSL网络扩展器连接到网关时,客户端会自动检查升级。选择客户端是否应自动升级。 选项
|
|
广泛影响,适用于SecureClient Mobile! |
|
如果要扫描端点设备以检查是否符合端点合规性策略,则设置为true。 选项
|
|
广泛影响,也适用于SecureClient Mobile设备! 选项
|
|
广泛影响,也适用于SecureClient Mobile设备和Check Point GO客户端! 选项
|
|
配置远程访问客户端的加密方法和接口解析。 |
|
远程访问VPN客户端未连接到站点时SecuRemote/SecureClient的行为 - 处理VPN域流量的方式。流量可以被丢弃或以明文方式发送,无需加密。 选项
|
|
多入口点配置的负载均衡 - 远程访问客户端将从入口点列表中随机选择一个网关。确保为要作为入口点的所有安全网关定义相同的VPN域。 选项
|
|
对站点所有网关的连接使用第一个分配的办公模式IP地址。远程用户连接并从网关接收办公模式IP地址后,到该网关加密域的所有连接都将使用办公模式IP作为内部源IP。加密域中的主机将办公模式IP识别为远程用户的IP地址。特定网关分配的办公模式IP地址可以在其自己的加密域和相邻加密域中使用。相邻加密域应位于与分配网关属于同一VPN社区的网关之后。由于远程主机的连接依赖于它接收到的办公模式IP地址,如果发出IP的网关不可用,则站点的所有连接都将终止。 选项
|
|
配置远程访问客户端支持的加密和身份验证方法。 |
|
选择在IKE阶段2中协商并在IPSec连接中使用的算法。 |
|
配置IKE阶段1设置。 |
|
选择将与远程主机支持的散列算法,以确保数据完整性。 |
|
选择是否支持AES-XCBC散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持MD5散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA1散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA256散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA384散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA512散列算法与远程主机,以确保数据完整性。 选项
|
|
选择将与远程主机支持的迪菲-赫尔曼组。 |
|
选择是否支持迪菲-赫尔曼组1(768位)与远程主机。 选项
|
|
选择是否支持迪菲-赫尔曼组14(2048位)与远程主机。 选项
|
|
选择是否支持迪菲-赫尔曼组2(1024位)与远程主机。 选项
|
|
选择是否支持迪菲-赫尔曼组5(1536位)与远程主机。 选项
|
|
选择将与远程主机支持的加密算法。 |
|
选择是否支持AES-128加密算法与远程主机。 选项
|
|
选择是否支持AES-256加密算法与远程主机。 选项
|
|
选择是否支持DES加密算法与远程主机。 选项
|
|
选择是否支持3DES加密算法与远程主机。 选项
|
|
如果提供多个选择,则此处选择的散列算法将具有最高优先级。 选项
|
|
SecureClient用户使用在此字段中选择的迪菲-赫尔曼组。 选项
|
|
选择具有最高优先级的加密算法。如果有多个加密算法可供选择,则将使用在此字段中选择的算法。 选项
|
|
配置IPSec阶段2设置。 |
|
对所有用户强制执行加密算法和数据完整性。 选项
|
|
选择将与远程主机支持的散列算法,以确保数据完整性。 |
|
选择是否支持AES-XCBC散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持MD5散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA1散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA256散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA384散列算法与远程主机,以确保数据完整性。 选项
|
|
选择是否支持SHA512散列算法与远程主机,以确保数据完整性。 选项
|
|
选择将与远程主机支持的加密算法。 |
|
选择是否支持AES-128加密算法与远程主机。 选项
|
|
选择是否支持AES-256加密算法与远程主机。 选项
|
|
选择是否支持DES加密算法与远程主机。 选项
|
|
选择是否支持3DES加密算法与远程主机。 选项
|
|
如果提供多个选择,则此处选择的散列算法将具有最高优先级。 选项
|
|
选择具有最高优先级的加密算法。如果有多个加密算法可供选择,则将使用在此字段中选择的算法。 选项
|
|
选择加密方法。 选项
|
|
输入预共享密钥。 |
|
用户密码在用户的IKE属性的“身份验证”选项卡中指定(在用户属性窗口中,“加密”选项卡>“编辑”)。 选项
|
|
使用集中管理的IKE预共享密钥。 选项
|
|
支持SC(混合模式)、L2TP(PAP)和诺基亚客户端(CRACK)的传统身份验证。 选项
|
|
支持传统EAP(可扩展身份验证协议)。 选项
|
|
调整状态检测参数。 |
|
接受引用规则库已接受的另一个非ICMP连接(例如,正在进行的TCP或UDP连接)的ICMP错误报文。 选项
|
|
接受规则库已接受的ICMP请求的ICMP回复报文。 选项
|
|
接受其他未定义服务的回复报文(即,不是以下服务之一的服务:TCP、UDP、ICMP)。 选项
|
|
指定是否接受未知服务的UDP回复。 选项
|
|
丢弃与连接当前状态不一致的ICMP报文。 选项
|
|
丢弃与连接当前状态不一致的SCTP报文。 选项
|
|
丢弃与连接当前状态不一致的TCP报文。 选项
|
|
ICMP虚拟会话将在此时间段(以秒为单位)后被视为超时。 |
|
丢弃这些非状态性ICMP报文时生成日志条目。 选项
|
|
丢弃这些非状态性SCTP报文时生成日志条目。 选项
|
|
丢弃这些非状态性TCP报文时生成日志条目。 选项
|
|
未在此处明确配置的服务的虚拟会话将在此时间段(以秒为单位)后被视为超时。 |
|
连接结束或重置后,SCTP连接将在指定秒数后结束,以便允许延迟到达的连接的离散ACK。 |
|
空闲连接保留在安全网关连接表中的时间(以秒为单位)。 |
|
如果第一个报文到达与连接建立之间的时间间隔超过此值(以秒为单位),则SCTP连接将超时。 |
|
TCP连接仅在两个FIN报文(每个方向一个,客户端到服务器和服务器到客户端)或一个RST报文之后TCP结束超时秒后终止。当TCP连接结束(发送FIN报文或连接重置)时,Check Point安全网关将保持连接在连接表中另一个TCP结束超时秒,以便允许延迟到达的连接的离散ACK。 |
|
TCP连接仅在两个FIN报文(每个方向一个,客户端到服务器和服务器到客户端)或一个RST报文之后TCP结束超时秒后终止。当TCP连接结束(发送FIN报文或连接重置)时,Check Point安全网关将保持连接在连接表中另一个TCP结束超时秒,以便允许延迟到达的连接的离散ACK。 |
|
允许非状态性报文的网关和集群的名称或UID。 |
|
空闲连接保留在安全网关连接表中的时间长度(以秒为单位)。 |
|
如果第一个报文到达与连接建立(TCP三次握手)之间的时间间隔超过TCP启动超时秒,则TCP连接将超时。 |
|
指定UDP回复通道在没有任何报文返回的情况下可以保持打开的时间(以秒为单位)。 |
|
设置用户帐户的过期时间并配置“即将过期”警告。 |
|
帐户在您选择的天数后过期。 |
|
使用以下格式指定过期日期:YYYY-MM-DD。 |
|
选择过期日期方法。 选项
|
|
激活“已过期帐户”链接,以打开“已过期帐户”窗口。 选项
|
|
决定是否显示和访问WebAccess规则库。此策略定义哪些用户(即哪些Windows域)可以访问组织的内部站点。 |
|
指定是否显示WebAccess规则库。此规则库用于UserAuthority。 选项
|
|
指定哪些Windows域可以访问组织的内部站点。 |
|
将防火墙用户名与Windows域用户名匹配以进行单点登录时,选择是信任所有域还是指定要信任的Windows域。 选项
|
|
如果无法确定用户浏览器中的语言设置,则设置UserCheck消息的语言。 |
|
新的UserCheck消息的首选语言。 选项
|
|
用于发送邮件的邮件服务器名称或UID。 |
|
用户可以启用LDAP用户目录并指定LDAP的全局参数。如果启用了LDAP用户目录,则表示用户是在外部LDAP服务器上管理的,而不是在内部Check Point安全网关用户数据库上。 |
|
允许缓存的最大用户数。缓存采用先进先出 (FIFO) 方式。当向已满的缓存中添加新用户时,将删除第一个用户以腾出空间用于新用户。Check Point安全网关不会查询LDAP服务器以获取缓存中已有的用户,除非缓存已超时。 |
|
决定是否在登录时显示用户的DN。如果选择显示用户DN,可以选择在用户登录时提示输入密码时显示它,或者在身份验证方案请求时显示它。当帐户单元中存在多个同名用户时,此属性是一个有用的诊断工具。在这种情况下,将选择第一个用户,而忽略其他用户。 选项
|
|
对于使用MS活动目录的组织,此设置允许密码已过期的用户自动创建新密码。 选项
|
|
启用密码有效期天数的配置。 选项
|
|
创建或修改Check Point密码时,对LDAP用户强制执行密码强度规则。 选项
|
|
指定密码的最小长度(以字符为单位)。 |
|
指定密码的有效期天数。用户使用特殊的LDAP密码进行身份验证。如果此密码过期,则必须定义一个新密码。 |
|
密码必须包含一个数字。 选项
|
|
密码必须包含一个符号。 选项
|
|
密码必须包含一个小写字符。 选项
|
|
密码必须包含一个大写字符。 选项
|
|
缓存用户超时并需要再次从LDAP服务器获取的时间段。 |
|
检查点版本。如果没有给出版本,则采用最新版本。 |
|
配置与VPN相关的设置。 |
|
输入将用于网关DNS查找的域名。使用的DNS主机名是“gateway_name.domain_name”。 |
|
启用备份网关。 选项
|
|
启用网关到网关流量的接收时解密。这仅与传统模式下的策略相关。在传统模式下,“接受”操作确定允许连接,而“加密”操作确定允许和加密连接。选择VPN是否接受与具有“接受”操作的规则匹配的加密数据包或将其丢弃。 选项
|
|
启用多个入口点配置(站点到站点连接)的负载分发。VPN多入口点 (MEP) 功能为Check Point安全网关提供高可用性和负载分发。MEP有四种模式,
选项
|
|
在VPN列中启用VPN方向匹配。 选项
|
|
建立VPN隧道时,对等体会出示其证书进行身份验证。网关机器上的时钟必须与证书颁发机构机器上的时钟同步。否则,用于验证对等体证书的证书吊销列表 (CRL) 可能被认为无效,从而导致身份验证失败。为了解决时钟时间不同的问题,宽限期允许更宽的CRL有效期窗口。 |
|
建立VPN隧道时,对等体会出示其证书进行身份验证。网关机器上的时钟必须与证书颁发机构机器上的时钟同步。否则,用于验证对等体证书的证书吊销列表 (CRL) 可能被认为无效,从而导致身份验证失败。为了解决时钟时间不同的问题,宽限期允许更宽的CRL有效期窗口。 |
|
处理远程客户端时,需要延长宽限期。远程客户端有时依赖于对等网关来提供CRL。如果客户端的时钟与网关的时钟不同步,则网关认为有效的CRL可能被客户端认为无效。 |
|
当同时处理的IKE协商数量超过VPN容量的阈值时,网关会得出结论,它要么负载过高,要么正在遭受拒绝服务攻击。VPN可以过滤掉可能是潜在拒绝服务攻击源的对等体。有两种保护类型,
由于这些类型的攻击涉及对IKE协议的新专有添加,因此启用这些保护机制可能会导致与非Check Point VPN产品或旧版本的VPN出现问题。 选项
|
|
当同时处理的IKE协商数量超过VPN容量的阈值时,网关会得出结论,它要么负载过高,要么正在遭受拒绝服务攻击。VPN可以过滤掉可能是潜在拒绝服务攻击源的对等体。有两种保护类型,
由于这些类型的攻击涉及对IKE协议的新专有添加,因此启用这些保护机制可能会导致与非Check Point VPN产品或旧版本的VPN出现问题。 选项
|
|
为所有新的安全策略决定简化模式或传统模式,或决定在每个策略的基础上使用哪种模式。 选项
|
|
等待任务结束。例如发布任务。 选项
|
|
在抛出超时错误之前要等待多少分钟。 默认: |
示例
- name: set-global-properties
cp_mgmt_set_global_properties:
firewall:
security_server:
http_servers:
- host: host name of server
logical_name: unique logical name
port: 8080
reauthentication: post request
返回值
常见的返回值已在此处记录,以下是此模块特有的字段
键 |
描述 |
|---|---|
检查点set-global-properties输出。 返回:始终。 |