Firewall_advRuleOptions

防火墙设置 > 高级

本章节提供了用于配置检测预防、动态端口、源路由数据包、连接选择和访问规则选项的管理员高级防火墙设置。要配置高级访问规则选项，请选择防火墙下的防火墙设置 > 高级。

防火墙设置 > 高级页面包括以下防火墙配置选项组：

• 检测预防

• 动态端口

• 源路由数据包

• 连接

• IP 和 UDP 校验和强制

• 巨型帧

• IPv6 高级配置

检测预防

• 启用隐匿模式 - 默认情况下，安全设备响应传入的连接请求为“阻止”或“开放”。如果启用隐匿模式，安全设备将不会响应阻止的入站连接请求。隐匿模式使您的安全设备对黑客来说基本不可见。

• 随机 IP ID - 选择随机 IP ID 可防止黑客使用各种检测工具检测安全设备的存在。IP 数据包是给定的随机 IP ID，它使黑客更难以获得安全设备的特征。

• 对转发通信应用递减的 IP TTL - 生存时间 (TTL) 是 IP 数据包中的一个值，用于告知网络路由器数据包在网络中存留的时间是否太长，是否应丢弃。选择该选项，以减少转发的并且在网络中存留了一段时间的数据包的 TTL 值。

– 从不生成 ICMP 超时数据包 - 防火墙生成超时数据包，以在其 TTL 值已递减为零的情况下报告何时丢弃数据包。如果不想要防火墙生成这些报告数据包，可选择该选项。

动态端口

• 为服务对象的 TCP 端口启用 FTP 转化 - 从下拉菜单中选择服务群组，以启用特定服务对象的 FTP 转化。默认情况下，已选择服务群组 FTP（全部）。有关配置服务群组和服务对象的更多信息，请参阅第 259 页的网络 > 服务。

• 启用 Oracle 支持 (SQLNet) - 如果您的网络安装了 Oracle9i 或更早版本的应用程序，则选中此选项。对于 Oracle10g 或更新版本的应用程序，建议不要选中此选项。

– 对于 Oracle9i 及更早版本的应用程序，数据通道端口与控制连接端口不同。启用此选项时，将会扫描 SQLNet 控制连接以获取正在协商的数据通道。找到协商的数据通道时，将为该数据通道动态创建连接条目并根据需要应用 NAT。在 SonicOS 内，SQLNet 和数据通道相互关联并作为一个会话进行处理。

– 对于 Oracle10g 及更新版本的应用程序，这两个端口相同，因此无需单独跟踪数据通道端口；也就无需启用该选项。

• 启用 RTSP 转化 - 选择该选项，以支持实时数据的按需交付，例如音频和视频。RTSP（实时流协议）是一种应用程序级协议，用于控制具有实时属性的数据传输。

源路由数据包

• 丢弃源路由 IP 数据包 -（默认情况下已启用）。如果要测试两个特定主机之间的流量，并且您正在使用源路由，则可选中该复选框。

IP 源路由是标准 IP 选项，它允许数据包发送方指定应使用部分或全部路由器将数据包发送至目的地。

此 IP 选项通常被禁止使用，因为它可能被窃听者用来接收数据包，方法是插入一个选项将数据包从 A 经由路由器 C 发送到 B。路由表应控制数据包所采用的路径，以免该路径被发送方或下游路由器覆盖。

连接

“连接”一节介绍精细调整防火墙，以优化最佳吞吐量或深度数据包检测 (DPI) 服务检测到的增加的同步连接数的功能。以下 DPI 连接设置中的任一一项提供的安全保护级别均未更改。

• 最大 SPI 连接数（DPI 服务禁用）- 该选项不提供 SonicWALL DPI 安全服务保护，但可针对仅启用状态数据包检测的最大连接数优化防火墙。该选项应由仅需要状态数据包检测的网络使用，不建议用于大多数 Dell SonicWALL 网络安全设备部署。

• 最大 DPI 连接数（DPI 服务启用）- 这是默认设置，建议对大多数 Dell SonicWALL 网络安全设备部署使用该设置。

• DPI 连接（DPI 服务启用并且有额外的性能优化） - 该选项针对性能关键型部署。对于增加的防火墙 DPI 检查吞吐量，该选项将权衡最大的 DPI 连接数。访问规则服务选项

• 强制入站和出站 FTP 数据连接使用默认端口 20 - 默认配置允许来自端口 20 的 FTP 连接，但会将出站流量重映射到 1024 等端口。如果已选中复选框，通过安全设备的任何 FTP 数据连接都必须来自端口 20，否则连接将丢失。该事件将记录为安全设备的日志事件。

• 为流入/来自同一个接口的 LAN 网间流量应用防火墙规则 - 应用在 LAN 接口上接收的并且其目标为同一个 LAN 接口的防火墙规则。通常，仅在配置了备用 LAN 子网的情况下才需要使用该选项。

访问规则选项

• 强制入站和出站 FTP 数据连接使用默认端口：20

• 将防火墙规则应用到 LAN 区域内来自/流入同一个接口的流量

IP 和 UDP 校验和强制

• 启用 IP 头校验和增强 - 选择该项以强制使用 IP 头校验和。

• 启用 UDP 校验和增强 - 选择该选项以强制使用 IP 头校验和。

巨型帧

启用巨型帧支持 - 启用此选项可提高吞吐量和减少待处理的以太网帧数。在有些情况下，可能不会提高吞吐量。但是，如果穿越的数据包巨大，吞吐量会有所改进。

注巨型帧数据包的大小为 9000 kB，会将内存需求提高 4 倍。

IPv6 高级配置

• 丢弃 IPv6 路由头类型 0 数据包 - 选择该选项防止危害 IPv6 路由头类型 0 (RH0) 数据包的潜在 DoS 攻击。启用该设置后，RH0 数据包将被丢弃，除非其目标是 Dell SonicWALL 安全设备且剩余段数为 0。"剩余段数"表示在到达最终目标前剩余的路由段数。

• 为转发的流量降低 IPv6 跳数限制 -

• 丢弃并记录网络数据包，数据包的源或者目的地址已经被 RFC 保留 -

• 从不生成 IPv6 ICMP 超时数据包 -

• 从不生成 IPv6 ICMP 目标不可达数据包 -

• 从不生成 IPv6 ICMP 重定向数据包 -

• 从不生成 IPv6 ICMP 参数问题数据包 -

• 启用 ISATAP 的 NetBIOS 名称查询响应 -

• 解析的名称 ISATAP 不适用于（秒） -