关于 ALG 页面

启用 PPTP

选中该复选框可为 ALG 启用点对点隧道协议 （PPTP）。

PPTP 是一种第 2 层协议，用于在 TCP/IP 网络上通过隧道传输 PPP 数据。PPTP客户端在Windows系统上免费提供，并广泛用于构建VPN。

启用 RSH

选中该复选框可为 ALG 启用 RSH。

RSH ALG 处理发往端口 514 的 TCP 数据包，并处理 RSH 端口命令。RSH ALG 在端口命令中的端口上执行 NAT，并根据需要打开门。

启用 RTSP

选中该复选框可为 ALG 启用实时流协议 （RTSP）。

启用 SQL

选中该复选框可为 ALG 启用结构化查询语言 （SQL）。

SQLNET ALG 处理来自服务器端的 SQL TNS 响应帧。它解析数据包并查找 （HOST=ipaddress）、（PORT=port） 模式，并在客户端为 TCP 数据通道执行 NAT 和门打开。

启用对话

选中该复选框可为 ALG 启用 TALK 协议。

TALK 协议使用 UDP 端口 517 和端口 518 进行控制通道连接。谈话程序由服务器和客户端组成。服务器处理客户端通知并帮助建立谈话会话。有两种类型的对话服务器：ntalk 和 talkd。TALK ALG 处理 ntalk 和 talkd 格式的数据包。它还根据需要执行 NAT 和门打开。

启用 TFTP

选中该复选框可为 ALG 启用简单文件传输协议 （TFTP）。

TFTP ALG 处理发起请求的 TFTP 数据包，并打开一个门，以允许数据包从相反方向返回到发送请求的端口。

启用 DNS

选中该复选框可为 ALG 启用域名系统 （DNS）。

DNS ALG 监控 DNS 查询和回复数据包，如果 DNS 标志指示数据包是回复消息，则关闭会话。

篡改

选择以下选项之一：

• 健全性检查 — 仅执行 DNS ALG 健全性检查。

• 无 — 禁用所有 DNS ALG 修补。

最大消息长度

选择一个数字以指定最大 DNS 邮件长度。

范围：512 到 8192 字节。

启用超大邮件丢弃。

选中该复选框以启用超大邮件投递。

启用 FTP

选中该复选框可为 ALG 启用文件传输协议 （FTP）。

FTP ALG 监控端口、PASV 和 227 命令。它对消息中的 IP/端口执行网络地址转换 （NAT），并根据需要在设备上打开门。FTP ALG 支持 FTP put 和 FTP get 命令阻止。在策略中设置FTP_NO_PUT或FTP_NO_GET时，FTP ALG 会发回阻止命令，并在检测到 FTP STOR 或 FTP RETR 命令时关闭关联的打开门。

启用允许不匹配 IP 地址

选中该复选框以允许 IP 地址中的任何不匹配。

启用 FTP 扩展

选中该复选框以启用安全 FTP 和 FTP SSL 协议。

启用换行扩展

选中该复选框以启用换行扩展。

此选项将使 FTP ALG 能够将 LF 识别为除标准 CR+LF（回车，后跟换行）之外的换行符。

启用 H323

选中该复选框以启用 H.323 ALG。

应用程序屏幕

指定 H.323 协议 ALG 的安全屏幕。

输入以下详细信息：

• 消息泛洪网守阈值 - 输入一个值。值范围为每秒 1 到 50000 条消息。

  限制每秒处理向网守方发出的远程访问服务器 （RAS） 请求的速率。超过阈值的邮件将被丢弃。默认情况下，此功能处于禁用状态。

• 收到未知消息时的操作：

  • 启用允许应用 NAT — 选中该复选框以指定设备如何处理无法识别的 H.323（不支持）消息。

    默认设置是丢弃未知消息。允许未知邮件可能会危及安全性，因此不建议这样做。但是，在安全的测试或生产环境中，此语句可用于解决与不同供应商设备的互操作性问题。通过允许未知的 H.323 消息，您可以运行网络，然后分析 VoIP 流量以确定某些消息被丢弃的原因。

    此语句仅适用于已接收的标识为受支持的 VoIP 数据包的数据包。如果无法识别数据包，则始终将其丢弃。如果数据包被标识为受支持的协议，则转发消息而不进行处理。

  • 启用允许路由 - 选中该复选框以指定在会话处于路由模式时允许未知邮件通过。

    处于透明模式的会话被视为处于路由模式。

DSCP 代码重写

代码点 - 从列表中选择一个 6 位字符串。

为通过 IP 语音应用层网关 （VoIP ALG） 的流量指定重写规则。代码点的值采用二进制格式。

VoIP 重写规则通过差分服务代码点 （DSCP） 机制修改传出数据包中的相应服务等级 （CoS） 位，从而提高拥塞网络中的 VoIP 质量。

端点

输入以下详细信息：

• 端点超时 — 为 NAT 表中的条目输入超时值（以秒为单位）。

  范围：10 到 50,000 秒

  控制 NAT 表中条目的持续时间。

• 启用允许来自任何源端口的媒体 - 选择此选项可允许来自任何端口号的媒体流量。

启用 IKE-ESP

选中该复选框以启用 IKE-ESP。

ESP 门超时（秒）

选择 2 到 30 秒之间的门超时。

ESP 会话超时（秒）

选择 60 到 2400 秒之间的 ESP 超时会话。

ALG 状态超时（秒）

选择 ALG 状态超时，范围为 180 到 86400 秒。

启用 MGCP

选中该复选框以启用媒体网关控制协议 （MGCP）。

非活动媒体超时

选择一个值以指定在未检测到任何活动时防火墙中的临时开口（针孔）保持介质打开状态的最长时间。范围为 10 到 2,550 秒。

指定呼叫在组内没有任何媒体（RTP 或 RTCP）流量的情况下可以保持活动的最长时间（以秒为单位）。每次呼叫中出现 RTP 或 RTCP 数据包时，此超时都会重置。当非活动时间超过此设置时，防火墙 MGCP ALG 中为介质打开的临时开口（针孔）将关闭。默认设置为 120 秒;范围为 10 到 2550 秒。请注意，超时时，虽然删除了媒体资源（会话和针孔），但调用不会终止。

最长通话时长

选择一个介于 3 到 720 分钟之间的值。

设置呼叫的最大长度。当呼叫超过此参数设置时，MGCP ALG 将断开呼叫并释放媒体会话。默认设置为 720 分钟;范围从 3 到 720 分钟。

事务超时

输入一个介于 3 到 50 秒之间的值以指定

指定 MGCP 事务的超时值。事务是信令消息，例如，从网关到呼叫代理的 NTFY 或从呼叫代理到网关的 200 OK。设备会跟踪这些事务，并在超时时清除它们。

应用程序屏幕

输入以下详细信息：

• 消息泛洪阈值 — 输入每个媒体网关 2 到 50,000 秒的值。

  限制每秒处理对媒体网关的消息请求的速率。超过阈值的消息将被媒体网关控制协议 （MGCP） 丢弃。默认情况下，此功能处于禁用状态。

• 连接泛洪阈值 - 输入 2 到 10,000 之间的值。

  限制每个媒体网关 （MG） 每秒允许的新连接请求数。超出 ALG 的消息。

• 接收未知消息时的操作 - 输入以下任一内容：

  • 启用允许应用 NAT — 选中该复选框以指定瞻博网络设备如何处理无法识别的 MGCP 消息。

    默认设置是删除未知（不支持）消息。允许未知邮件可能会危及安全性，因此不建议这样做。但是，在安全的测试或生产环境中，此语句可用于解决与不同供应商设备的互操作性问题。通过允许未知的 MGCP（不受支持的）消息，您可以让您的网络正常运行，然后分析 VoIP 流量以确定某些消息被丢弃的原因。

  • 启用允许路由 - 选中该复选框。

    指定如果会话处于路由模式，则允许通过未知消息。（透明模式下的会话被视为路由模式。

DSCP 代码重写

指定要应用于重写规则的转发类的代码点别名或位集。

代码点 - 输入六位 DSCP 代码点值。

启用 MSRPC

选中该复选框以启用 MSRPC。

为一个主机上运行的程序提供一种方法，以调用在另一个主机上运行的程序中的过程。由于 RPC 服务数量众多且需要广播，因此 RPC 服务的传输地址是基于服务程序的通用唯一标识符 （UUID） 动态协商的。特定 UUID 映射到传输地址。

最大组使用率 （%）

从 10% 到 100% 中选择组使用百分比。

地图输入超时（分钟）

选择 5 到 4320 分钟的地图条目超时会话。

启用短链氯化石蜡

选中该复选框以启用瘦客户端控制协议。

非活动媒体超时

选择一个介于 10 到 600 秒之间的值。

指示呼叫在组内没有任何媒体（RTP 或 RTCP）流量的情况下可以保持活动的最长时间（以秒为单位）。每次呼叫中出现 RTP 或 RTCP 数据包时，此超时都会重置。当非活动时间超过此设置时，为介质打开的闸门将关闭。

应用程序屏幕

呼叫泛洪阈值 - 选择 2 到 1,000 之间的值。

通过限制 SCCP ALG 客户端尝试处理的呼叫数量，保护它们免受泛洪攻击。

接收未知消息的操作

• 启用允许应用 NAT - 选中该复选框。

  指定设备如何处理未识别的 SCCP 消息。默认设置是删除未知（不支持）消息。允许未知邮件可能会危及安全性，因此不建议这样做。但是，在安全的测试或生产环境中，此语句可用于解决与不同供应商设备的互操作性问题。通过允许未知的 SCCP（不受支持的）消息，您可以让您的网络正常运行，然后分析 VoIP 流量以确定某些消息被丢弃的原因。

  此语句仅适用于已接收的标识为受支持的 VoIP 数据包的数据包。如果无法识别数据包，则始终将其丢弃。如果数据包被标识为受支持的协议，则转发消息而不进行处理。

• 启用允许路由 - 选中该复选框。

  指定如果会话处于路由模式，则允许通过未知消息。（透明模式下的会话被视为处于路由模式。

DSCP 代码重写

代码点 - 输入六位 DSCP 代码点值。

启用 SIP

选中该复选框以启用会话初始协议 （SIP）。

启用保留保留资源

选中该复选框以启用设备是否为 SIP 释放媒体资源，即使媒体流处于保留状态也是如此。

默认情况下，媒体流资源在保留媒体流时释放。

最长通话时长

选择一个介于 3 到 720 分钟之间的值。

设置呼叫的绝对最大长度。当呼叫超过此参数设置时，SIP ALG 将断开呼叫并释放媒体会话。默认设置为 720 分钟，范围为 3 到 720 分钟。

C 超时

选择一个介于 3 到 10 分钟之间的值。

指定代理处的 INVITE 事务超时（以分钟为单位）;默认值为 3。由于 SIP ALG 位于中间，因此 SIP ALG 不会使用 INVITE 事务计时器值 B（即 （64 * T1） = 32 秒），而是从代理获取其计时器值。

T4 间隔

选择一个介于 5 到 10 秒之间的值。

指定邮件在网络中保留的最长时间。默认值为 5 秒;范围为 5 到 10 秒。由于许多 SIP 计时器随 T4 间隔而扩展（如 RFC 3261 中所述），因此当您更改 T4 间隔计时器的值时，也会调整这些 SIP 计时器。

非活动媒体超时

选择一个介于 10 到 2,550 秒之间的值。

指定呼叫在组内没有任何媒体（RTP 或 RTCP）流量的情况下可以保持活动的最长时间（以秒为单位）。每次呼叫中出现 RTP 或 RTCP 数据包时，此超时都会重置。当非活动时间超过此设置时，防火墙 SIP ALG 中为介质打开的临时开口（针孔）将关闭。默认设置为 120 秒;范围为 10 到 2550 秒。请注意，超时时，虽然删除了媒体资源（会话和针孔），但调用不会终止。

T1 间隔

选择一个介于 500 到 5000 毫秒之间的值。

指定终结点之间事务的往返时间估计值（以秒为单位）。默认值为 500 毫秒。由于许多 SIP 计时器随 T1 间隔（如 RFC 3261 中所述）而缩放，因此当您更改 T1 间隔计时器的值时，也会调整这些 SIP 计时器。

应用程序屏幕

收到未知消息时的操作：

• 启用允许应用 NAT — 选中该复选框以启用设备处理无法识别的 SIP 消息。

  此语句仅适用于已接收的标识为受支持的 VoIP 数据包的数据包。如果无法识别数据包，则始终将其丢弃。如果数据包被标识为受支持的协议，则转发消息而不进行处理。

• 启用允许路由 - 选中复选框以启用以允许未知消息在会话处于路由模式时通过。（透明模式下的会话被视为路由模式。

保护选项

• SIP 邀请攻击表条目超时 — 输入 1 到 3,600 秒之间的值。

  指定为每个邀请创建攻击表条目的时间（以秒为单位），该条目列在应用程序屏幕中。

• 启用攻击防护 - 选择选项之一：“所有服务器”、“选定服务器”或“无”。

  保护服务器免受邀请攻击。配置 SIP 应用程序屏幕以保护部分或全部目标 IP 地址的服务器免受邀请攻击。

  选择所选服务器时，输入目标 IP 地址并单击 +。您可以选择目标 IP 地址，然后单击 X 将其删除。

DSCP 代码重写

代码点 - 输入六位 DSCP 代码点值。

启用 SUNRPC

选中该复选框以启用 SUNRPC。

由于 RPC 服务数量众多且需要广播，RPC 服务的传输地址会根据服务的节目号和版本号进行动态协商。定义了多个绑定协议，用于将 RPC 程序号和版本号映射到传输地址。

最大组使用率 （%）

从 10% 到 100% 中选择最大组使用百分比。

地图输入超时

选择 5 到 4320 分钟的地图条目超时会话。