Last adaptation to the version: 14.1.3 (03.2026)
- Only AES-based Cipher fpr data connection are now supported
- Whirpool as Hash for data connection is no longer supported
- Authentication with Entra ID (OpenID Connect) possible
- Auth token lifetime can be set for connections with OTP
- Default value for the Cipher for data connection updated to AES-256-GCM
Wstęp
Połączenie Roadwarrior łączy pojedyncze hosty z siecią lokalną. Dzięki temu, na przykład, terenowy przedstawiciel handlowy może połączyć się z siecią centrali.
SSL-VPN używa standard TLS/SSL do szyfrowania połączeń.
Istnieje osobny artykuł dotyczący tworzenia certyfikatów na UTM: Certyfikaty
Przygotowania
Te certyfikaty można ewentualnie utworzyć również podczas konfiguracji.
- Wsparcie dla certyfikatów z kluczem o długości poniżej 1024 bitów zostanie wycofane od wersji UTM 14.2.0
- Połączenia HTTP-Proxy oraz SSL-VPN, które dotychczas używały powyższych, przestarzałych certyfikatów, przestaną funkcjonować od wersji v14.2.0!
- Od wersji 14.2.1 zostanie również wycofane wsparcie dla certyfikatów z algorytmem podpisu SHA1.
- Wbrew wcześniejszym zapowiedziom, zarówno połączenia HTTP-Proxy, jak i SSL-VPN wykorzystujące certyfikaty o długości klucza 1024 bitów będą nadal funkcjonować, pod warunkiem, że są one podpisane algorytmem SHA256.
- Niebezpieczne certyfikaty należy pilnie wymienić!
BSI zaleca — stan na 01.2025 — długości kluczy od 3000 bitów i SHA256
BSI – Wytyczne techniczne — Metody kryptograficzne: Zalecenia i długości kluczy BSI TR-02102-1 | Rozdział 2.3: Szyfrowanie RSADomyślne ustawienie UTM dla nowych certyfikatów to klucz RSA o długości 3072 bit oraz SHA256 jako algorytm hashujący
- Dotknięte aplikacje:
- OpenVPN
- Certyfikat serwera w roli serwera (Roadwarrior lub S2S)
- Certyfikat klienta dla S2S
- Jeśli dotyczy, certyfikat określony jako certyfikat klienta za pomocą atrybutu użytkownika (Uwierzytelnianie → Użytkownicy → Edytuj użytkownika)
- Mailrelay
- Przekazywanie "Certyfikatu" (pod szyfrowaniem TLS jako serwer)
- Reverse-Proxy
- Ustawienia → Certyfikat SSL
- Webserver
- Sieć → Ustawienia serwera → Serwer WWW → Certyfikat
- HTTP-Proxy
- Przechwytywanie SSL → Certyfikat CA
- OpenVPN
Rozwiązywanie wewnętrznych nazw hostów w SSL-VPN
Jeśli serwery w SSL-VPN mają być dostępne dla Roadwarrior pod swoją nazwą hosta, wymagane są następujące ustawienia:
Przekazywanie DNS/WINS
Żeby móc przesłać DNS/WINS, musi zostać skonfigurowane połączenie VPN i musi być one uruchomionye w zakładce Zaawansowane.
Search Domain
Uzupełnia wewnętrzne nazwy o domenę wyszukiwania: tk-Server1 → tk-Server1.intern.ttt-point.de
To ustawienie można skonfigurować w ustawieniach połączenia VPN w zakładce Ogólne.
Block Outside DNS
W przypadku niektórych klientów Windows 10 może być konieczne ustawienie opcji "block-outside-dns" w konfiguracji klienta SSL-VPN:
Prawym przyciskiem myszy kliknij na pożądane połączenie w Securepoint SSL-VPN Client, menu Ustawienia Zaawansowane zakładka OS zaznacz pole wyboru DNS Block Outside DNS
Konfiguracja Roadwarrior
Kreator instalacji
Po zalogowaniu się do interfejsu administracyjnego zapory (domyślnie: https://192.168.175.1:11115) kreatora instalacji można uruchomić za pomocą button .
Krok 1 |
UTMuser@firewall.name.fqdn VPN SSL-VPN ![]() Krok konfiguracji 1
| ||||||||||||||||||
| W pierwszym kroku instalacji wybierany jaki ma być typ połączenia. Dostępne są następujące połączenia:
Do konfiguracji serwera Roadwarrior wybierany jest ten typ połączenia. | |||||||||||||||||||
Krok 2 |
![]() Krok konfiguracji 2
| ||||||||||||||||||
| Jeśli w sieci źródłowej i docelowej ma być używany IPv6, należy go tutaj włączyć. | |||||||||||||||||||
Krok 3Lokalne ustawienia dla serwera Roadwarrior można skonfigurować w kroku 3. | |||||||||||||||||||
|
![]() Krok konfiguracji 3
| ||||||||||||||||||
Krok 4 |
![]() Krok konfiguracji 4
| ||||||||||||||||||
| W kroku instalacji 4 wprowadzana jest sieć transferowa dla Roadwarrior. Sieć transferowa może być dowolnie wybrana, ale nie może być już zajęta w UTM. poprawiono błąd w opisie kolejności poprawiono błąd, .254 jest zajęte przez wirtualny serwer DHCP
| |||||||||||||||||||
Krok 5 |
![]() Krok konfiguracji 5
| ||||||||||||||||||
| Weryfikacja użytkownika jest wybierana w ostatnim kroku. Następnie kreator instalacji może zostać zakończony.
| |||||||||||||||||||
Datei:Entra OIDC VPN 01 Nazwa użytkownika-pl.png Fig.1 Nazwa logowania, ewentualnie Wybierz konto Datei:Entra OIDC VPN 02 Hasło-pl.png Fig.2 Wprowadź hasło Datei:Entra OIDC VPN 03 Kod-pl.png Fig.3 W przypadku 2FA ewentualnie przesłać drugi czynnik (tu: OTP) Datei:Entra OIDC VPN 04 Uprawnienia-pl.png Fig.4 Podana jest aplikacja utworzona w centrum administracyjnym Entra ID Datei:Entra OIDC VPN 05 Informacje o aplikacji-pl.png Fig.5 Kliknięcie Informacje o aplikacji pokazuje szczegóły Datei:Entra OIDC VPN 06 Sukces-pl.png Fig.6 Komunikat o sukcesie OAuth z UTM Tunel jest nawiązywany. | |||||||||||||||||||
Zakończenie |
UTMuser@firewall.name.fqdn VPN ![]() Zakończenie instalacji
| ||||||||||||||||||
| W przeglądzie SSL-VPN wyświetlane są wszystkie skonfigurowane połączenia. Aby połączenie stało się aktywne, usługa SSL-VPN musi zostać uruchomiona ponownie: | |||||||||||||||||||
Konfiguracja połączenia
OgólneOgólne
| |||
| Caption | Value | Description | UTMuser@firewall.name.fqdn VPN SSL-VPN
|
|---|---|---|---|
| Name: | RW Securepoint | Nazwa połączenia SSL | |
| Interfejs: | tun1 | Używany interfejs | |
| Modus: | Server | W zależności od typu połączenia (wybranego w pierwszym kroku kreatora) | |
| Protokół: | (Default) |
Wybierz preferowany protokół (UDP i TCP mogą być ograniczone odpowiednio do IPv4 lub IPv6). | |
| Port: | 1194 | Domyślny port dla pierwszego połączenia SSL-VPN. Nie może być używany do innych celów. Dla kolejnych połączeń wybierany jest następny wolny port. | |
| Weryfikacja: | (Default) |
Wybierz odpowiednią metodę weryfikacji | |
| Certyfikat: | Używany certyfikat może zostać tutaj zmieniony notempty
| ||
| Typ statycznego klucza SSL-VPN: |
| ||
| Statyczny klucz SSL-VPN: notempty New as of v12.6.1 |
Zabezpieczenie połączenia za pomocą tls-auth. | ||
| Szyfr dla połączenia danych: | Domyślnie używany jest AES-256-GCM. notempty Od wersji v14.0.3 Wszystkie strony przeciwne muszą używać tego samego szyfru! | ||
| The following ciphers will no longer be supported from version 14.1.3 onwards:
| |||
| Wartość hash połączenia danych: | Domyślnie używany jest SHA256. Wszystkie strony przeciwne muszą używać tej samej procedury skrótu! | ||
| | |||
| Dozwolone szyfry dla automatycznej negocjacji (NCP): | Można wybrać poszczególne szyfry z listy | ||
| IPv4 Pool: | Wprowadź pulę adresów | ||
| IPv6 Pool: | Wprowadź pulę adresów | ||
| Udostępnianie sieci serwera: | Można edytować adres IP sieci za UTM, które mają być dostępne przez połączenie SSL-VPN (jak określono w 3 kroku kreatora instalacji) | ||
| Search Domain: | Jeśli dostępna, wprowadź domenę. | ||
| Renegotiation: | (Default) |
Okres, po którym nastąpi renegocjacja połączenia. | |
| Ustawienia można zapisać za pomocą . | |||
ZaawansowaneZaawansowane
| |||
| MTU: | 1500 | Maksymalny rozmiar przesyłanego pakietu (bajt) | UTMuser@firewall.name.fqdn VPN SSL-VPN
|
| Maksymalna liczba klientów: | 1024 | Maksymalna liczba klientów Jeśli nie zostanie określona żadna wartość, zostanie użyta wartość domyślna 1024 | |
| Zezwalaj na podwójne klienty: | Nie | Po aktywacji wielu klientów może jednocześnie łączyć się przy użyciu tych samych danych uwierzytelniających. Konfiguracja w Area Użytkownik button zakładka VPN sekcja SSL-VPN | |
| Przekazywanie DNS: | Nie | Umożliwia przekazywanie DNS | |
| Przekazywanie DNS WINS: | Nie | Umożliwia przekazywanie WINS | |
| Multihome: | Włączone | Zezwala na używanie wielu domyślnych tras | |
| LZO: | Wyłącz | Kompresja LZO Po zmianie tej opcji odpowiednie strony klienta muszą dostosować swoją konfigurację! | |
| Wyłącz: | Nie | ||
| Pass TOS: | Wyłącz | Przekazuje oryginalny nagłówek Type of Service do pakietu tunelowemgo | |
| Użyj Auth-Token do renegocjacji: Tylko dla uwierzytelniania: LOKALNE OTP notempty New as of v14.1.2 |
Wyłącz | Podczas nawiązywania połączenia po przerwaniu (np. zmiana sieci) token uwierzytelniający z pierwotnego nawiązywania połączenia jest ponownie używany. Nie jest wymagane ponowne uwierzytelnianie. | |
| Interwał ping: | 10 Sekundy | Interwał żądań ping | |
| Czas oczekiwania na ping: | 120 Sekundy | ||
| Rozmiar bufora wychodzącego: | 65536 Bytes | Kontroluje rozmiar bufora dla gniazda | |
| Rozmiar bufora przychodzącego: | 65536 Bytes | patrz wyżej | |
| Rozmiar sekwencji okna replay: | 64 | Liczba pakietów, w ramach których akceptowane są starsze numery sekwencji. | |
| Czas oczekiwania okna replay: | 15 Sekundy | Okno czasowe, w którym rozmiar sekwencji jest stosowany maksymalnie | |
| Czas życia Auth-Token notempty New as of v14.1.2 |
12 Godziny | Czas życia oryginalnego Auth-Token. Możliwe wartości:
| |
| Ustawienia można zapisać za pomocą . | |||
Zasady
Reguły domyślne
W Area VPN można aktywować protokół używany do połączenia. W przykładzie Włącz SSL-VPN UDP 1 Ta reguła domyślna udostępnia porty używane do połączeń SSL-VPN na wszystkich interfejsach. Reguły filtra pakietów zamiast reguł domyślnych mogą regulować to indywidualnie dla poszczególnych interfejsów. |
UTMuser@firewall.name.fqdn Firewall Datei:UTM v12.6 SSL-VPN Roadwarrior Reguły domyślne-pl.png |
Obiekty sieciowe
Podczas konfiguracji połączenia został utworzony interfejs tun. Otrzymuje on automatycznie pierwszy adres IP z sieci transferowej skonfigurowanej w połączeniu i strefę "vpn-ssl-<nazwa_serwera>".
Klienci Roadwarrior otrzymają adres IP z tej sieci i będą się znajdować w tej strefie.
Aby przyznać Roadwarriorom dostęp do własnej sieci, należy utworzyć obiekt sieciowy.
| Caption | Value | Description | UTMuser@firewall.name.fqdn Firewall Obiekty sieciowe Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie obiektu sieciowego-pl.png Obiekt sieciowy dla sieci tunelowej
|
|---|---|---|---|
| Name: | SSL-VPN-RW-Network | Unikalna nazwa, zawierająca dowolny tekst | |
| Typ: | Wybierz odpowiedni typ | ||
| Adres: | 192.168.192.0/24 | Adres IP sieci, który został określony jako pula tuneli w kroku 4. | |
| Zone: | Strefa, przez którą adresowana jest sieć tunelowa. | ||
| Grupy: | Opcjonalne przypisanie do grup sieciowych | ||
| Ustawienia można zapisać za pomocą . | |||
Reguła filtra pakietów
| Menu Area Filtr pakietów button Reguła zezwala klientom RW na dostęp do lokalnej sieci: |
UTMuser@firewall.name.fqdn Firewall Filtr pakietów Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie reguły filtra pakietów-pl.png | ||
Ogólne
| |||
| Źródło | Reguła przychodząca | ||
| Cel | Jako cel musi zostać podane internal-network | ||
| Usługa | Powinny być udostępniane tylko usługi, które są rzeczywiście potrzebne! | ||
| Akcja | |||
Tworzenie użytkowników i grup
Grupa
| Uprawnienia | UTMuser@firewall.name.fqdn Weryfikacja Użytkownik Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie grupy uprawnienia-pl.png | |
| W Area Grupa button . Następujące uprawnienia muszą zostać przyznane:
| ||
| SSL-VPN | |||
| Klient do pobrania w interfejsie użytkownika: | Tak | Domyślnie przez port 443, np. pod adresem https://192.168.75.1 dostępny | Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie grupy SSL-VPN-pl.png Ustawienia SSL-VPN dla grupy
|
| Połączenie SSL-VPN: | RW-Securepoint | Wybierz właśnie utworzone połączenie | |
| Certyfikat klienta: | Certyfikat klienta | Wybór certyfikatu klienta opisanego w Krok 3 kreatora konfiguracji. notempty
| |
| Remote Gateway: | 192.0.2.192 | Remote Gateway to adres zewnętrznego interfejsu. Ten adres musi być dostępny z zewnątrz. | |
| Redirect Gateway: | Wyłącz | Po aktywacji żądania klientów Roadwarrior do Internetu lub sieci poza VPN są również przekierowywane przez lokalną bramę. Dzięki temu te połączenia również korzystają z ochrony UTM. | |
| Dostępne w filtrze portów: | Tak | Umożliwia Zapora sieciowa oparta na tożsamości (IBF) dla SSL-VPN | |
Użytkownik
| Ogólne | |||
| Grupy: | RW-SSL-VPN | Użytkownikowi musi zostać przypisana wcześniej utworzona grupa. | |
| SSL-VPN | UTMuser@firewall.name.fqdn Weryfikacja Użytkownik Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie użytkownika SSL-VPN-pl.png Ustawienia SSL-VPN dla użytkowników
| ||
| Użyj ustawień z grupy: | Włączone | Jeśli dla grupy zostały już dokonane ustawienia, zamiast indywidualnych wartości można je tutaj przejąć. | |
| Jeśli informacje zostały zapisane, administrator może już w tym miejscu pobrać odpowiednie pliki. | |||
| Dodatkowe informacje na temat użytkowników można znaleźć w artykule na temat Zarządzania użytkownikami. | |||
Klient SSL-VPN
Pobieranie klienta SSL-VPN w interfejsie użytkownika
Dla użytkowników, którzy chcą połączyć się z UTM przez SSL-VPN, urządzenie udostępnia wstępnie skonfigurowanego klienta SSL-VPN:
- Pobieranie odbywa się przez punkt menu .
- Ten klient zawiera pliki konfiguracyjne oraz wszystkie wymagane certyfikaty.
- Logowanie do interfejsu użytkownika UTM domyślnie przez port 443, np. pod adresem https://192.168.75.1
- Interfejs użytkownika jest dostępny przez interfejs wewnętrzny urządzenia Securepoint.
Klient jest oferowany jako:
- SSL-VPN Client Installer
- Wymagana architektura procesora: x86 / x64
- SSL-VPN Portable Client
- Wersja przenośna może zostać skopiowana na pendrive i uruchomiona na innych komputerach.
- Wymagana architektura procesora: x86 / x64
- Konfiguracja i certyfikat
- Do użycia w innych klientach SSL-VPN
- plik konfiguracyjny
- certyfikaty urzędu certyfikacji i klienta
- oraz sterownik dla wirtualnego interfejsu sieciowego TAP.
- Do zainstalowania wirtualnego interfejsu TAP użytkownik potrzebuje praw administratora na używanym komputerze.
Instalacja: Wskazówki dotyczące instalacji można znaleźć na naszej stronie wiki dotyczącej Klienta VPN
Nawiązywanie połączenia SSL-VPN jako klient
Podwójne kliknięcie na ikonę kłódki na pasku zadań otwiera klienta SSL-VPN.
Uruchom połączenie, klikając x20px
Wiele serwerów VPN jako cele dla jednego połączenia
W ustawieniach połączenia pod Zaawansowane/Zdalne można zapisać dodatkowe serwery VPN z adresem IP lub nazwą hosta jako cel.
- Prawy przycisk myszy na połączeniu
- Menu kontekstowe Ustawienia
Zaakceptuj dane za pomocą Dodaj
Zamknij okno przyciskiem OK.
Korzystanie z wielu profili VPN
Można zaimportować i ewentualnie używać jednocześnie wiele profili VPN.
- Lewy przycisk myszy na ikonę koła zębatego w oknie klienta
- Menu kontekstowe Importuj
- Lewy przycisk myszy na ikonę koła zębatego
- Menu {spc
Uwagi
Szyfrowanie
Domyślnie stosowana jest metoda AES128-CBC. Metodę szyfrowania można dostosować w profilu serwera lub/i klienta.
Jeśli klient używa tego szyfru i nie obsługuje NCP, za pomocą którego szyfr jest negocjowany automatycznie, połączenie nie zostanie nawiązane. Szyfr musi zostać dostosowany.
Silnie zaleca się zaprzestanie używania szyfru BF-CBC, ponieważ uważany jest za niebezpieczny.
Jeśli szyfr BF-CBC ma być używany mimo wszystko, można go wybrać jawnie.
Dostosowanie na UTM przyciskiem odpowiedniego połączenia w zakładce Ogólne w polu Szyfr dla połączenia danych.
Muszą być również skonfigurowane na stronie przeciwnej
Metoda skrótu
Domyślnie stosowana jest metoda skrótu SHA256. Metodę skrótu można dostosować w profilu serwera lub/i klienta.
QoS
Dla połączenia VPN można ustawić pola TOS dla automatycznego QoS w pakietach. To ustawienie można włączyć w ustawieniach połączenia VPN pod "Zaawansowane".
Uwaga dotycząca routerów/modemów przed urządzeniem
Często występują problemy ze stabilnością połączenia, jeśli router/modem przed urządzeniem ma również aktywną zaporę sieciową. Proszę wyłączyć wszelkie funkcje zapory sieciowej na tych urządzeniach.
IPv6 dla połączeń przychodzących
W ustawieniach serwera Roadwarrior w sekcji Ogólne / Protokół można aktywować protokół lub dla IPv6.
Korzystanie z wielu adresów IP w różny sposób
W tym celu reguła reverse proxy musi wyraźnie określać, że external-interface konkretnego IP ma być używany jako cel. Do innego zastosowania ruch jest przekierowywany za pomocą DestNAT, czyli ruch przychodzi na port 443, ale następnie jest przekierowywany na inny port (np. 1194 dla VPN) za pomocą reguły filtra pakietów.
Troubleshooting
Wskazówki dotyczące rozwiązywania problemów z SSL-VPN można znaleźć w Przewodniku po rozwiązywaniu problemów SSL-VPN (dokument PDF).
Connection Rate Limit
Ograniczanie dostępu z określonych adresów IP źródłowych do powtarzających się portów
Na razie funkcję tę można skonfigurować wyłącznie za pomocą CLI
Dostęp przez SSL-VPN można na przykład zabezpieczyć przed agresywnymi skanami lub próbami logowania.

Od wersji 12.6.2 urządzenie UTM może ograniczać liczbę połączeń TCP i/lub UDP z zewnętrznego adresu IP do jednego portu.
Obowiązują przy tym następujące warunki:
- Monitorowane są wyłącznie połączenia przychodzące, dla których istnieje default-route
- Liczone są połączenia z jednego adresu IP do jednego portu urządzenia UTM w ciągu jednej minuty
- Po aktywacji dozwolonych jest 5 połączeń / prób połączenia na minutę
Następnie połączenia zostaną ograniczone:- W tym przypadku dodatkowe dozwolone połączenia zostaną równomiernie rozłożone w ciągu 60 sekund od pierwszego połączenia.
- Gdy wartość CONNECTION_RATE_LIMIT wynosi 20, co 3 sekundy dodawane jest kolejne połączenie.
- 10 sekund po pierwszym połączeniu mogłyby zostać nawiązane kolejne 3 połączenia (każde z tego samego adresu IP na ten sam port docelowy)
- Zablokowanie adresu IP dotyczy wyłącznie dostępu do portu, który był zbyt często korzystany.
Dostęp do pozostałych portów pozostaje bez zmian. - W przypadku nowych instalacji funkcja ta jest domyślnie włączona z limitem 20 połączeń UDP na minutę dla wszystkich portów
- W przypadku aktualizacji funkcja musi zostać ręcznie aktywowana
| extc-Variable | Default | Description |
|---|---|---|
| CONNECTION_RATE_LIMIT_TCP | 0 | Liczba dozwolonych połączeń TCP dla danego adresu IP na port 0 = Funkcja wyłączona, nie są stosowane żadne blokowania |
| CONNECTION_RATE_LIMIT_TCP_PORTS | Porty, które mają być monitorowane. Przy ustawieniu domyślnym pole jest puste= oznacza to, że (po włączeniu) monitorowane będą wszystkie porty. Porty należy oddzielić spacjami: [ 1194 1195 ] | |
| CONNECTION_RATE_LIMIT_UDP | 20 / 0 Domyślne ustawienie w przypadku nowej instalacji od wersji 12.6.2: 20 W przypadku instalacji z aktualizacją wartość ta wynosi 0, co oznacza, że funkcja jest wyłączona. |
Liczba dozwolonych połączeń UDP dla jednego adresu IP na port |
| CONNECTION_RATE_LIMIT_UDP_PORTS | Porty, które mają być monitorowane. W ustawieniach domyślnych pole jest puste = Wszystkie porty będą monitorowane (tylko w przypadku nowych instalacji!). Porty należy oddzielić spacjami: [ 1194 1195 ] |
Konfiguracja za pomocą poleceń CLI
| CLI polecenie | Funkcja |
|---|---|
| extc value get application securepoint_firewall Alternatywnie użytkownikiem root: spcli extc value get application securepoint_firewall | grep RATE |
Wyświetla listę wszystkich zmiennych aplikacji „securepoint_firewall”. Zmienne zaczynające się od „CONNECTION_RATE_LIMIT_” odpowiadają za limit połączeń. application |variable |value --------------------+-------------------------------+----- securepoint_firewall |… |… |CONNECTION_RATE_LIMIT_TCP |0 |CONNECTION_RATE_LIMIT_TCP_PORTS| |CONNECTION_RATE_LIMIT_UDP |20 |CONNECTION_RATE_LIMIT_UDP_PORTS| |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 system update rule |
Ogranicza dopuszczalną liczbę połączeń „TCP” z pojedynczego adresu IP na dany port do 20 na minutę
Zmiana jest wprowadzana bezpośrednio poprzez „aktualizację reguły”. Wartość nie musi być najpierw ustawiona na 0! |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0 system update rule |
Wyłącza monitorowanie połączeń TCP |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] system update rule |
Ogranicza monitorowanie połączenia TCP z portami 443 i 11115 Przed i po nawiasach kwadratowych [ ] muszą znajdować się spacje! |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] system update rule |
Przed i po nawiasach kwadratowych [ ] muszą znajdować się spacje! |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 system update rule |
Ogranicza dopuszczalną liczbę połączeń UDP z jednego adresu IP na określony port do 20 na minutę Domyślne ustawienie w przypadku nowej instalacji od wersji 12.6.2: 20 W przypadku instalacji z aktualizacją wartość ta wynosi 0, co oznacza, że funkcja jest wyłączona. Wartość nie musi być najpierw ustawiona na 0! |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0 system update rule |
Wyłącza monitorowanie dla połączeń UDP |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ] system update rule |
Ogranicza monitorowanie połączeń UDP do portów 1194 i 1195. (Przykład dla 2 utworzonych tuneli SSL-VPN). Przed i po nawiasach kwadratowych [ ] muszą znajdować się spacje! |
| extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule |
Przed i po nawiasach kwadratowych [ ] muszą znajdować się spacje! |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 notempty
Na koniec należy wprowadzić polecenie CLI system update rule, aby zastosować wartości określone w regułach. |
Na przykład, aby zezwolić na maksymalnie 20 połączeń na minutę na adres IP i port. W przypadku protokołu TCP monitorowanie ogranicza się do portów 443 i 11115. W przypadku połączeń UDP monitorowane są wszystkie porty. |











