tcpoptionsizes

    确认tcp选项的大小。此功能工作方式与上述ipoptionsizes的方式相同。

    缺省值：validatelogbad

    tcpmssmin

    决定允许的最小尺寸的tcp mss。含有低于此限制的最大数据段包按照下一个设置进行处理。

    缺省值：100字节

    tcpmssonlow

    决定对tcp mss选项低于规定tcpmssmin值的包采取的行动。

    缺省值：droplog

    tcpmssmax

    决定允许的最大尺寸的tcp mss。含有低于此限制的最大数据段包按照下一个设置进行处理。

    缺省值： 1460 bytes.

    tcpmssvpnmax

    与tcpmssmax一样，这是允许的最大数据段。但是，此设置仅控制vpn连接里的mss。这样，阿姆瑞特防火墙能够减小所有vpn连接里tcp使用的有效数据段尺寸，即使主机不知道如何发现mtu，也会减少vpn连接里的tcp碎片。

    缺省值：1400字节

    tcpmssonhigh

    决定对tcp mss选项超出tcpmss max规定值的包采取的行动。太大的数值会对书写混乱的tcp堆栈造成问题，或形成大量碎片包，从而对性能产生严重影响。

    缺省值：adjust

    tcpmssloglevel

    如果tcpmssonhigh不记录的话，确定什么时候记录过大的tcp mss。

    缺省值：7000字节

    tcpzerounusedack

    决定如果不使用ack顺序号，是否应该将防火墙tcp包里的ack顺序号字段设置为零。有的操作系统就是这样显示顺序号信息的，这使入侵者更易攻击已建立的连接。

    缺省值：enabled。

    tcpopt_wsopt

    决定防火墙如何处理窗口选项。这些设置用来增加使用tcp窗口的尺寸，即发送者期望ack之前发送的信息量。os指纹识别系统也使用这些设置。wsopt是现代网络中常见的事件。

    缺省值：validatelogbad

    tcpopt_sack

    决定防火墙如何处理选择的确认选项。这些选项是用于各ack包的，而不是整个系列，它们能够增强大量丢包的连接的性能。os指纹识别系统也使用这些设置。sack是现代网络中常见的事件。

    缺省值：validatelogbad

    tcpopt_tsopt

    决定防火墙如何处理时间标志选项。按照paws（防范封装顺序号）规定的方法，用tsopt防止顺序号（32位的数字）在接收者不发觉的情况下超出顺序号的上限。这通常不会成为问题。有的tcp堆栈用tsopt，通过测量包前往目的地址和从目的地址发出的时间优化连接。然后用此信息生成比常规情况更快的重发速度。os指纹识别系统也使用这些设置。tsopt是现代网络中常见的事件。

    缺省值：validatelogbad

    tcpopt_altchkreq

    决定防火墙如何处理预备的校验和请求选项。最初的意图是用这些选项协商更好地使用tcp校验和的方法。可是，目前的任何标准系统都不理解这些选项。因为与校验和算法相比，阿姆瑞特防火墙更理解标准算法，所以从不接受这些选项。现代网络上通常看不到altchkreq选项。

    缺省值：striplog

    tcpopt_altchkdata

    决定防火墙如何处理预备的校验和数据选项。这些选项用于传输上面altchkreq允许的预备校验和。现代网络通常看不这些选项。

    缺省值：striplog

    tcpopt_cc

    决定防火墙如何处理连接计数器选项。

    缺省值：striplogbad

    tcpopt_other

    指定防火墙如何处理上面设置未涉及的tcp选项。这些选项通常不出现在现代网络上。

    缺省值：striplog

    tcpsynurg

    指定防火墙如何处理同时打开syn（同步）和urg（紧急数据）标志的tcp包。syn标志的出现表明一个新连接正在打开的过程中，urg标志意味着数据包含有要求紧急重视的数据。这两个标志不能在一个包里同时打开，因为它们是专门用实施不良的tcp堆栈攻击计算机的。

    缺省值：droplog

    tcpsynpsh

    指定防火墙如何处理同时打开syn和psh（推）标志的tcp包。psh标志意味着接收堆栈应该立即把包里的信息发送给计算机的目的地址。这两个标志不能同时打开，因为这样可能对实施不良的tcp堆栈造成攻击。但是，许多macintosh计算机实施的tcp不正确，这意味着它们总是用打开的psh标志向外发送syn包。这就是阿姆瑞特防火墙不管正常设置应该丢弃这样数据包的决定，而是通常删除psh标志，允许包通过的原因。

    缺省值：stripsilent

    tcpfinurg

    指定防火墙如何处理同时打开fin（完成，关闭连接）和urg（紧急数据）标志的tcp包。通常不应该出现这种情况，因为通常不会在发送重要数据的同时关闭一个连接。这种组合的标志能够用来攻击实施不良的tcp堆栈，也可被os指纹系统使用。

    缺省值：droplog

    tcpurg

    指定防火墙不管其他标志的设置，如何处理打开urg标志的tcp包。很多tcp堆栈和应用处理urg标志的方式不正确，而且，在最糟糕的情况下，会终止工作。注意有些程序如ftp 和ms sql服务器几乎总是使用urg标志。

    缺省值：striplog

    tcpecn

    指定防火墙如何在打开xmas 或ymas标志的情况下处理tcp包。目前最常使用这些标志的是os指纹系统。

    即将出台的“明确阻塞通知”也使用这些tcp标志，但是只要少数操作系统支持此标准，就应该剥离这些标志。

    缺省值：striplog

    tcprf

    指定防火墙如何处理tcp包头保留字段出现的信息，通常情况下应该为零。该字段与xmas 和ymas标志不同。是os指纹系统使用的字段。

    缺省值：droplog

    tcpnull

    指定防火墙如何处理没有打开syn, ack, fin或rst中任何一个标志的tcp包。按照tcp标准，这些包都是非法的，由os指纹识别系统和盗窃端口扫描仪使用，因为有些防火墙无法探测这种包。

    缺省值：droplog