可以为 Mobile VPN 用户配置文件定义第 1 阶段的高级设置。
SA 有效期
选择一个 SA(安全关联)有效期并从下拉列表中选择“小时”或“分钟”。 当 SA 过期时,将开始新的第 1 阶段协商。 SA 有效期越短越安全,但 SA 协商可能导致现有连接断开。
密钥组
选择一个 Diffie-Hellman 组。 WatchGuard 支持组 1、2 和 5。
Diffie-Hellman 组确定了在密钥交换进程中使用的主密钥的加密强度。 组的编号越大,安全性越高,但在客户端计算机上使用的时间和资源也越多,要生成密钥需要使用 Firebox。
NAT 穿越
选中此复选框可在 Firebox 和位于某个 NAT 设备之后的其他设备之间建立一个 Mobile VPN 隧道。 “NAT 穿越”或“UDP 封装”都能够使流量路由到正确的目标地址。
IKE 保持活动
只有当该组连接到不支持 Dead Peer Detection 的旧 Firebox 设备时,才选中此复选框。 所有安装了 Fireware v9.x 或更低版本、Edge v8.x 或更低版本以及所有版本的 WFS 的 Firebox 设备都不支持 Dead Peer Detection。 对于这些设备,请选中此复选框,以使 Firebox 能够向其 IKE 对等方发送消息,保持 VPN 隧道的畅通。 请勿同时选择“IKE 保持活动”和 Dead Peer Detection。
消息间隔
选择 IKE 保持活动消息之间间隔的秒数。
最大失败数
设置 Firebox 在中断 VPN 连接并开始新的第 1 阶段协商之前,等待对 IKE 保持活动消息的响应的最大次数。
Dead Peer Detection
选中此复选框可启用 Dead Peer Detection (DPD)。 两个端点必须都支持 DPD。 所有安装了 Fireware v10.x 或更高版本、Edge v10.x 或更高版本的 Firebox 或 XTM 设备都支持 DPD。 请勿同时选择“IKE 保持活动”和 Dead Peer Detection。
DPD 基于 RFC 3706,并且在发送数据包之前使用 IPSec 流量模式来确定连接是否可用。 如果选择 DPD,当在选定的时间段内没有收到来自对等方的流量时,将向对等方发送一条消息。 如果 DPD 确定对等方无效,将不会再次进行连接尝试。
流量闲置超时
设置 Firebox 在检查其他设备是否处于活动状态之前等待的秒数。
最大重试次数
设置 Firebox 在确定对等方无效、中断 VPN 连接并启动新的第 1 阶段协商之前,尝试连接的最大次数。