关于 ALG 页面

启用 PPTP

选中该复选框可为 ALG 启用点对点隧道协议 （PPTP）。

PPTP 是跨 TCP/IP 网络隧道传输 PPP 数据的第 2 层协议。PPTP 客户端在 Windows 系统上免费提供，并广泛部署用于构建 VPN。

启用 RSH

选中该复选框以为 ALG 启用 RSH。

RSH ALG 处理发往端口 514 的 TCP 数据包，并处理 RSH port 命令。RSH ALG 在 port 命令中对端口执行 NAT，并在必要时打开门。

启用 RTSP

选中该复选框可为 ALG 启用实时流协议 （RTSP）。

启用 SQL

选中该复选框可为 ALG 启用结构化查询语言 （SQL）。

SQLNET ALG 从服务器端处理 SQL TNS 响应帧。它解析数据包并查找 （HOST=ipaddress）、（PORT=port） 模式，并在客户端为 TCP 数据通道执行 NAT 和门打开。

启用 TALK

选中该复选框以启用 ALG 的 TALK 协议。

TALK 协议使用 UDP 端口 517 和端口 518 进行控制通道连接。谈话程序由服务器和客户端组成。服务器处理客户端通知并帮助建立谈话会话。有两种类型的谈话服务器：ntalk 和 talkd。TALK ALG 处理 ntalk 和 talkd 格式的数据包。它还会根据需要执行 NAT 和闸门打开。

启用 TFTP

选中该复选框可为 ALG 启用简单文件传输协议 （TFTP）。

TFTP ALG 处理发起请求的 TFTP 数据包，并打开一个门，允许将数据包从相反方向返回到发送请求的端口。

启用 DNS

选中该复选框，为 ALG 启用域名系统 （DNS）。

DNS ALG 监视 DNS 查询和回复数据包，如果 DNS 标志指示数据包是回复消息，则关闭会话。

篡改

选择以下选项之一：

• 健全性检查 — 仅执行 DNS ALG 健全性检查。

• None — 禁用所有 DNS ALG 篡改。

最大消息长度

选择一个数字以指定最大 DNS 邮件长度。

范围：512 到 8192 字节。

启用超大消息丢弃。

选中该复选框以启用超大邮件丢弃。

启用 FTP

选中该复选框以启用 ALG 的文件传输协议 （FTP）。

FTP ALG 监控 PORT、PASV 和 227 命令。它会在消息中的 IP/端口上执行网络地址转换 （NAT），并在必要时在设备上打开门。FTP ALG 支持 FTP put 和 FTP get 命令阻止。在策略中设置FTP_NO_PUT或FTP_NO_GET后，FTP ALG 将发回阻止命令，并在检测到 FTP STOR 或 FTP RETR 命令时关闭关联的打开门。

启用允许不匹配 IP 地址

选中该复选框以允许 IP 地址出现任何不匹配。

启用 FTP 扩展

选中该复选框以启用安全 FTP 和 FTP SSL 协议。

启用换行符扩展

选中该复选框以启用 line-break-extension。

此选项将使 FTP ALG 能够将 LF 识别为标准 CR+LF（回车，后跟换行）之外的换行符。

启用 H323

选中该复选框以启用 H.323 ALG。

应用筛选

指定 H.323 协议 ALG 的安全屏幕。

输入以下详细信息：

• 消息泛滥网守阈值 （Message Flood Gatekeeper Threshold） - 输入一个值。值范围为每秒 1 到 50000 条消息。

  限制每秒处理对网守的远程访问服务器 （RAS） 请求的速率。超过阈值的消息将被丢弃。默认情况下，此功能处于禁用状态。

• 收到未知消息时的作：

  • 启用允许应用 NAT — 选中该复选框以指定设备如何处理无法识别的 H.323（不受支持）消息。

    默认设置是丢弃未知消息。允许未知消息可能会危及安全性，因此不建议这样做。但是，在安全的测试或生产环境中，此语句可用于解决与不同供应商设备的互作性问题。通过允许未知的 H.323 消息，您可以让网络正常运行，然后分析您的 VoIP 流量以确定某些消息被丢弃的原因。

    此语句仅适用于识别为受支持的 VoIP 数据包的已接收数据包。如果无法识别数据包，则始终会被丢弃。如果将数据包标识为受支持的协议，则该消息将未经处理地转发。

  • 启用允许路由 - 选中该复选框以指定在会话处于路由模式时允许通过未知邮件。

    处于透明模式的会话被视为处于路由模式。

DSCP 代码重写

代码点 - 从列表中选择一个 6 位字符串。

指定通过 IP 语音应用层网关 （VoIP ALG） 的流量的重写规则。代码点的值为二进制格式。

VoIP 重写规则通过差异化服务代码点 （DSCP） 机制修改传出数据包中的相应服务等级 （CoS） 位，从而提高拥塞网络中的 VoIP 质量。

端点

输入以下详细信息：

• 端点超时 （Timeout For Endpoint） — 为 NAT 表中的条目输入超时值（以秒为单位）。

  范围：10 到 50,000 秒

  控制 NAT 表中条目的持续时间。

• 启用允许来自任何源端口的介质 - 选择此选项可允许来自任何端口号的介质流量。

启用 IKE-ESP

选中该复选框以启用 IKE-ESP。

ESP 门超时（秒）

选择 2 到 30 秒的门超时。

ESP 会话超时（秒）

选择 60 到 2400 秒的 ESP 超时会话。

ALG 状态超时（秒）

选择 180 到 86400 秒的 ALG 状态超时。

启用 MGCP

选中该复选框以启用媒体网关控制协议 （MGCP）。

非活动介质超时

选择一个值以指定在未检测到任何活动时，防火墙中的临时开口（针孔）对介质保持打开状态的最长时间。范围为 10 到 2,550 秒。

指定呼叫在组内没有任何媒体（RTP 或 RTCP）流量的情况下可以保持活动状态的最长时间（以秒为单位）。每次呼叫中出现 RTP 或 RTCP 数据包时，此超时都会重置。当非活动时间超过此设置时，防火墙 MGCP ALG 中为介质打开的临时开口（针孔）将关闭。默认设置为 120 秒;范围为 10 到 2550 秒。请注意，超时时，虽然媒体资源（会话和针孔）将被删除，但调用不会终止。

最长通话时长

从 3 到 720 分钟选择一个值。

设置呼叫的最大长度。当呼叫超过此参数设置时，MGCP ALG 将关闭呼叫并释放媒体会话。默认设置为 720 分钟;范围从 3 到 720 分钟不等。

事务超时

输入一个介于 3 到 50 秒之间的值进行指定

指定 MGCP 事务的超时值。事务是信号发送消息，例如，从网关到呼叫代理的 NTFY 或从呼叫代理到网关的 200 OK。设备会跟踪这些事务，并在它们超时时清除它们。

应用筛选

输入以下详细信息：

• 邮件泛洪阈值 - 为每个媒体网关输入一个介质网关 2 到 50,000 秒的值。

  限制每秒处理发送到媒体网关的消息请求的速率。超过阈值的消息将由媒体网关控制协议 （MGCP） 丢弃。默认情况下，此功能处于禁用状态。

• 连接泛洪阈值 - 输入一个介于 2 到 10,000 之间的值。

  限制每个媒体网关 （MG） 每秒允许的新连接请求数。超出 ALG 的消息。

• 收到未知消息时的作 - 输入以下任何一项：

  • 启用允许应用 NAT — 选中复选框以指定瞻博网络设备如何处理无法识别的 MGCP 消息。

    默认设置是丢弃未知（不受支持的）消息。允许未知消息可能会危及安全性，因此不建议这样做。但是，在安全的测试或生产环境中，此语句可用于解决与不同供应商设备的互作性问题。通过允许未知的 MGCP（不受支持的）消息，您可以让网络正常运行，然后分析您的 VoIP 流量以确定某些消息被丢弃的原因。

  • 启用允许路由 - 选中该复选框。

    指定如果会话处于路由模式，则允许通过未知消息。（透明模式下的会话被视为路由模式。

DSCP 代码重写

指定要应用于重写规则的转发类的代码点别名或位集。

代码点 - 输入六位 DSCP 代码点值。

启用 MSRPC

选中该复选框以启用 MSRPC。

为在一台主机上运行的程序提供一种方法，用于调用在另一台主机上运行的程序中的过程。由于 RPC 服务数量较多且需要广播，因此 RPC 服务的传输地址会根据服务程序的通用唯一标识符 （UUID） 进行动态协商。特定 UUID 映射到传输地址。

最大组使用率 （%）

选择从 10 到 100% 的组使用率百分比。

地图输入超时（分钟）

选择 5 到 4320 分钟的地图输入超时会话。

启用 SCCP

选中该复选框以启用精简客户端控制协议。

非活动介质超时

选择一个介于 10 到 600 秒之间的值。

指示呼叫可以在组内没有任何媒体（RTP 或 RTCP）流量的情况下保持活动状态的最长时间（以秒为单位）。每次呼叫中出现 RTP 或 RTCP 数据包时，此超时都会重置。当非活动时间超过此设置时，为媒体打开的大门将关闭。

应用筛选

呼叫泛洪阈值 - 选择一个介于 2 到 1,000 之间的值。

通过限制 SCCP ALG 客户端尝试处理的调用数，保护它们免受泛洪攻击。

接收未知消息时的作

• 启用允许应用 NAT - 选中该复选框。

  指定设备如何处理无法识别的 SCCP 消息。默认设置是丢弃未知（不受支持的）消息。允许未知消息可能会危及安全性，因此不建议这样做。但是，在安全的测试或生产环境中，此语句可用于解决与不同供应商设备的互作性问题。通过允许未知 SCCP（不受支持的）消息，您可以让网络正常运行，然后分析您的 VoIP 流量以确定某些消息被丢弃的原因。

  此语句仅适用于识别为受支持的 VoIP 数据包的已接收数据包。如果无法识别数据包，则始终会被丢弃。如果将数据包标识为受支持的协议，则该消息将未经处理地转发。

• 启用允许路由 - 选中该复选框。

  指定如果会话处于路由模式，则允许通过未知消息。（透明模式下的会话被视为处于路由模式。）

DSCP 代码重写

代码点 - 输入六位 DSCP 代码点值。

启用 SIP

选中该复选框以启用会话初始化协议 （SIP）。

启用保留保留资源

选中该复选框可启用设备是否为 SIP 释放媒体资源，即使媒体流处于保留状态也是如此。

默认情况下，媒体流资源在保留媒体流时释放。

最长通话时长

从 3 到 720 分钟选择一个值。

设置呼叫的绝对最大长度。当呼叫超过此参数设置时，SIP ALG 将关闭呼叫并释放媒体会话。默认设置为 720 分钟，范围为 3 到 720 分钟。

C 超时

选择一个介于 3 到 10 分钟之间的值。

指定代理的 INVITE 事务超时（以分钟为单位）;默认值为 3。由于 SIP ALG 位于中间，因此 SIP ALG 不使用 INVITE 事务计时器值 B（即 （64 * T1） = 32 秒），而是从代理获取其计时器值。

T4 间隔

选择一个介于 5 到 10 秒之间的值。

指定消息在网络中保留的最长时间。默认设置为 5 秒;范围为 5 到 10 秒。由于许多 SIP 计时器随 T4 间隔缩放（如 RFC 3261 中所述），因此当您更改 T4 间隔计时器的值时，这些 SIP 计时器也会进行调整。

非活动介质超时

选择一个介于 10 到 2,550 秒之间的值。

指定呼叫在组内没有任何媒体（RTP 或 RTCP）流量的情况下可以保持活动状态的最长时间（以秒为单位）。每次呼叫中出现 RTP 或 RTCP 数据包时，此超时都会重置。当非活动时间超过此设置时，防火墙 SIP ALG 中为介质打开的临时开口（针孔）将关闭。默认设置为 120 秒;范围为 10 到 2550 秒。请注意，超时时，虽然媒体资源（会话和针孔）将被删除，但调用不会终止。

T1 间隔

选择一个介于 500 到 5000 毫秒之间的值。

指定终结点之间事务的往返时间估计值（以秒为单位）。默认值为 500 毫秒。由于许多 SIP 计时器随 T1 间隔缩放（如 RFC 3261 中所述），因此当您更改 T1 间隔计时器的值时，这些 SIP 计时器也会进行调整。

应用筛选

收到未知消息时的作：

• 启用允许应用 NAT — 选中该复选框以启用设备处理身份不明的 SIP 消息。

  此语句仅适用于识别为受支持的 VoIP 数据包的已接收数据包。如果无法识别数据包，则始终会被丢弃。如果将数据包标识为受支持的协议，则该消息将未经处理地转发。

• 启用允许路由 - 选中要启用的复选框，以便在会话处于路由模式时允许未知邮件通过。（透明模式下的会话被视为路由模式。

保护选项

• SIP 邀请攻击表输入超时 - 输入一个介于 1 到 3,600 秒之间的值。

  指定为每个 INVITE 创建攻击表条目的时间（以秒为单位），该条目列在应用程序屏幕中。

• 启用攻击防护 （Enable Attack Protection） - 选择以下选项之一：“所有服务器”、“选定的服务器”或“无”。

  保护服务器免受 INVITE 攻击。配置 SIP 应用程序屏幕以保护部分或所有目标 IP 地址的服务器免受 INVITE 攻击。

  选择“选定的服务器”时，输入目标 IP 地址，然后单击 +。您可以选择目标 IP 地址，然后单击 X 将其删除。

DSCP 代码重写

代码点 - 输入六位 DSCP 代码点值。

启用 SUNRPC

选中该复选框以启用 SUNRPC。

由于RPC服务数量较多，并且需要广播，因此RPC服务的传输地址会根据服务的程序号和版本号进行动态协商。定义了多个绑定协议，用于将 RPC 程序号和版本号映射到传输地址。

最大组使用率 （%）

从 10% 到 100% 选择最大组使用百分比。

地图输入超时

选择 5 到 4320 分钟的地图输入超时会话。