配置高级防火墙设置-SonicWall.PDFVIP

配置高级防火墙设置 • 防火墙设置 高级 • 检测预防 • 动态端口 • 源路由数据包 • 连接 • 访问规则服务选项 • IP 和 UDP 校验和增强 • 巨型帧 • IPv6 高级配置 • 控制面攻击保护 防火墙设置 高级 本章节提供了用于配置检测预防、动态端口、源路由数据包、连接选择和访问规则选项的高级防火墙设置。如需配置高级访问规则选 项，请选择防火墙设置 高级。 防火墙设置 高级页面包括以下防火墙配置选项组： • 检测预防 • 动态端口 • 源路由数据包 • 连接 • 访问规则服务选项 • IP 和 UDP 校验和增强 • 巨型帧 • IPv6 高级配置 • 控制面攻击保护 检测预防 • 启用隐匿模式 — 默认情况下，安全设备响应传入的连接请求为“阻止”或“开放”。如果启用隐匿模式，安全设备将不会响应阻止的 入站连接请求。隐匿模式使您的安全设备对黑客来说基本不可见。 • 随机 IP ID — 选择随机 IP ID 可防止黑客使用各种检测工具检测安全设备的存在。IP 数据包是给定的随机 IP ID ，它使黑客更难以 获得安全设备的特征。 • 对转发通讯应用递减的 IP TTL — 生存时间 (TTL) 是 IP 数据包中的一个值，用于告知网络路由器数据包在网络中存留的时间是否 太长，是否应丢弃。选择该选项，以减少转发的且在网络中存留了一段时间的数据包的 TTL 值。 • 从不生成 ICMP 超时的数据包 — 防火墙生成超时数据包，以在其 TTL 值已递减为零的情况下报告何时丢弃数据包。如果不 想要防火墙生成这些报告数据包，可选择该选项。 动态端口 • 在服务对象，为 TCP 端口启用 FTP 转化 — 从下拉菜单中选择服务群组，以启用特定服务对象的 FTP 转化。默认情况下，已选择 服务群组 FTP （全部）。 FTP 在 TCP 端口 20 和 21 上运行，其中，端口 21 是控制端口，20 是数据端口。但是，在使用非标准端口（例如 2020 、2121）时，SonicWall 默认丢弃数据包，因为无法识别其是 FTP 流量。在服务对象，为 TCP 端口启用 FTP 转化选项允许选择服务对象以指定 FTP 流量的自定 义控制端口。 为了说明该功能的工作方式，请参照下例，其中 FTP 服务器在监听端口 2121 的 SonicWall 之后： a 在网络 地址对象页面后，使用以下值为 FTP 服务器的私有 IP 地址创建地址对象： • 名称：FTP 服务器专用 • 区域：LAN • 类型：主机 • IP 地址： b 在网络 服务页面，使用以下值为 FTP 服务器创建自定义服务： • 名称：FTP 自定义端口控件 • 协议：TCP(6) • 端口范围：2121 - 2121 c 在网络 NAT 策略页面上，创建以下 NAT 策略： d 在防火墙 访问规则页面上，创建以下访问规则： e 在防火墙设置 高级页面，从在服务对象，为 TCP 端口启用 FTP 转化下拉菜单选择 FTP 自定义端口控制服务对象。 注：如需配置服务群组和服务对象的更多信息，请参阅网络 服务。 • 启用 Oracle 支持 (SQLNet) — 如果您的网络安装了 Oracle9i 或更低版本的应用程序，则选中此选项。对于 Oracle10g 或更高版本的 应用程序，推荐不要选中此选项。 对于 Oracle9i 及更低版本的应用程序，数据通道端口与控制连接端口不同。启用此选项时，将会扫描 SQLNet 控制连接以获取正在协商 的数据通道。找到协商的数据通道时，将为该数据通道动态创建连接条目并根据需要应用 NAT 。在 SonicOS 内，SQLNet 和数据通道相 互关联并作为一个会话进行处理。 对于 Oracle10g 及更高版本的应用程序，这两个端口相同，因此无需单独跟踪数据通道端口；也就无需启用该选项。 • 启用 RTSP 转换 — 选择该选项，以支持实时数据的按需交付，例如音频和视频。RTSP （实时流协议）是一种应用程序级协议，用于 控制有实时属性的数据传输。 源路由数据包