下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","网络参数")}}

网络参数

更新时间:2023-07-12

网络参数用于配置全局网络相关参数说明。

网络参数

TCP连接超时、UDP连接超时、ICMP超时:用于指定TCPUDPICMP连接超时时间,当指定时间内该连接没有新的数据包产生时,则认为连接超时而断开连接。

FTP端口、RTSP端口、SIP端口、SQLNET端口、TFTP端口、PPTP端口:等用于设置协议端口,如果网络中有这些协议需要设备作应用层代理,并且端口不是默认端口时需更改端口信息。

管理口设置

管理口IP:设置后,可改变MANAGE口默认的管理IP

管理对端IP:设置后,可定义通过管理口接入AF的对端IP地址限制。

管理口访问控制:勾选后,对访问设备超级管理IP10.251.251.251的源IP进行限制,只允许配置在“管理对端IP”内设置的地址才允许访问。

系统保留IP

VLAN0 IP:设置AF设备对个别页面进行重定向的IP地址。

用户认证IP:设置AF开启用户认证后,重定向认证页面的IP地址。

H.323端口

RAS:设置RAS的端口,默认为标准的UDP:1719端口。

Q931:设置Q931的端口,默认为标准的TCP:1720端口。

SIP端口

SIP端口:设置SIP协议的端口,默认为标准的UDP:5060TCP:5060端口。

免费ARP

ARP广播时间间隔:用于是否开启免费ARP广播和设置设备定期发送免费ARP广播的时间间隔,此项建议开启。默认为30s,是为了减少免费ARP过多的问题。

业务/用户安全页面显示设置:设置业务安全和用户安全的显示模式,有缓存模式和实时模式可供选择。

TCP reset:用于设置当设备策略拒绝数据连接之后,是否发送reset报文断开连接。

异常包检测:开启此功能将会丢弃不符合正常状态的TCP报文,对非对称路由等不关注TCP状态的部署请勿开启此功能,以防丢弃正常的TCP报文。

路由优先级:支持自定义设备内部路由表的优先级,默认优先级如下图所示。

异常包检测:检测包的合法性,防止利用TCP/IP协议逃逸检测。

旁路RST:设定在旁路模式下是否允许设备发送TCP RST报文。

BASE64解码:设定web应用防护是否对base64数据进行安全检查。

异常BASE64检测:设定web应用防护是否对不合规范的base64数据进行安全检查。

上网场景高性能模式:仅限于上网场景用户使用,当遇到性能瓶颈的情况下选择开启,能够提升系统吞吐处理能力。

及时响应网络邻居的MAC地址变化:加快网络邻居MAC地址发生变化时的响应速度,网络邻居的MAC地址可能发生变化时建议开启。

网关为追踪路由可见:Windows系统已默认支持。此项只针对Linux系统,开启后,网关在Linux下的追踪路由可见。出于网关安全考虑,默认关闭此项。

开启外网防DOS功能:勾选启用[策略/安全策略/DoS/DDoS防护/外网对内攻击防护策略]

应用层检测bypass:启用该功能后当业务流量达到设备性能上限优先保证网络正常,放通部分流量不进行安全检测,默认开启。

body严格识别:设定根据body内容来判定数据类型。

策略路由支持应用:设定是否允许策略路由支持配置应用。

高级配置:勾选后,开启AF相关高级功能,如TCP异常报文检测、异常邮件拦截和TCP会话超时reset