ikesendinitialcontact

    决定ike是否应该发送“初始联系”通报信息。当连接向此信息打开，而且以前的ipsec sa也没有使用远程网关时，便把此信息发给每个远程网关。

    缺省值：enabled

    ikesendcrls

    指示应该把crl（证书撤回列表）作为ike交换的一部分发送。通常应该设置为enable，远程主机不知道crl净荷的情况例外。

    缺省值：enabled

    ikecrlvaliditytime

    crl含有“下次更新”字段，指示从ca下载新crl的时间和日期。根据ca的配置，crl更新之间的时间可以从几小时到更多时间。多数ca软件允许ca管理员在任何时间发布crl，因此，即使“下次更新”字段声明12个小时之后才可获得新crl，但已经可以下载新crl了。

    此设置限定认为crl有效的时间。当ikecrlvailitytime到期或出现“下次更新”的时间时，无论哪一个先出现都要下载新crl。

    缺省值：90000

    ikemaxcapath

    在确认用户证书签名时，防火墙查看用户证书的“发布者姓名”字段以找出签名的ca证书。此ca证书可由另一个ca签名，而此ca签名又可由另一个ca来签名，如此等。每个证书都将得到确认直至找到标记为可信的证书，或确定没有可信的证书为止。

    如果该通道上的证书比此设置规定的证书多，则认为此用户证书无效。

    缺省值：15

    ipseccertcachemaxcerts

    内部证书缓存中可保留的最多证书/crl数。证书缓存充满时，按照lru（最新使用）算法删除目录。

    缺省值：1024

    ipsecbeforerules

    pass ike & ipsec (esp/ah) traffic sent to the firewall directly to the ipsec engine without consulting the ruleset.

    缺省值：enabled

    日志设置

    logsendperseclimit

    此设置限定阿姆瑞特防火墙每秒可以发送的日志包数。因为可能导致漏记重要事件的情况出现，所以不可把此值设置的太低。但也不可设置的太高，有一种将数值设置的太高而造成损坏的情况是防火墙向日志服务器没有激活的服务器发送日志信息的时候。服务器反馈icmp不可达信息，这使防火墙再发出一条日志信息，相应地产生另一条icmp不可达信息，如此不段重复。通过限制防火墙每秒发送的日志数，可以避免这中消耗带宽的情况发生。

    缺省值：每秒100条信息

    usageloginterval

    阿姆瑞特防火墙定期将打开连接和网络负载的信息发给日志服务器。usageloginterval指定发送频率。

    缺省值：3600秒，1小时一次