リモートアクセス接続の設定

SmartDashboard閉じた R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。とDBeditでリモートアクセス接続の設定をする方法を説明します。

小型IKEフェーズII課題の設定

小規模なフェーズII IKEプロポーザルには常にAES-256が含まれるが、AES-128は含まれない。仮に、小さな提案にAES-128を入れたいとします。

  1. コマンドラインのデータベース編集ツールDBedit を開いてください。小さなプロポーザルを使用するかどうかを制御するプロパティが2つあり、1つはプレNG with Application Intelligence 、もう1つはNG with Application Intelligence

    • phase2_proposal - は、古いクライアント (NG with Application Intelligence 以前) が小さな提案を試すかどうかを決定します - デフォルトは "false" です。

    • phase2_proposal_size - は、新しいクライアント(NG with Application Intelligence )が小さな提案を試すかどうかを決定します - デフォルトは "true "です。

  2. Global Properties > Remote Access ページ> VPN - Advanced サブページ> User Encryption Properties セクションで、AES-128 を選択します。これは、リモートユーザが小さな提案としてAES-128を提供するように設定します。

ビジターモードの設定

Visitor Modeは、サーバとクライアントの両方の設定が必要です。こちらもご覧ください。ビジターモードとMEP

ビジターモードとクラスタ

クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。のサポートは限定的です。ハイアベイラビリティと負荷分散ソリューションは、「粘り強さ」を提供しなければなりません。つまり、ビジターモード接続は常に同じクラスタメンバを経由する必要があります。

ハイアベイラビリティ・シナリオにおけるクラスタメンバ間のフェイルオーバーはサポートされていません。

プロキシサーバと連携するリモートクライアントを設定する

  1. リモートアクセスクライアントで、Detect Proxy from Internet Explorer Settings を選択します。

  2. プロキシ認証のためのユーザ名とパスワードを入力します。この情報は、後にプロキシサーバに "connect "コマンドで転送される。

リモートアクセスクライアントは、以下の場合に限り、ビジターモード設定のいずれかを読み取ることができます。

  • クライアントがLANまたはWLANに接続されていること

  • Secure Domain Logon (SDL)が有効になっていない

    - ビジターモードは、認証なしでプロキシサーバへの接続を試行します。プロキシがユーザ名とパスワードを要求した場合、"proxy requires authentication appears "というエラーメッセージが表示されます。

Windowsプロキシの置き換え

リモートアクセスクライアントがLANWLAN上にあり、LAN上にプロキシサーバが設定されている場合、クライアントはプロキシ設定を置き換えて、新しい接続をプロキシ経由ではなく、LANWLANのセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。に直接送信するように設定することができます。この機能は、ビジターモードの有無にかかわらず機能します。

リモートアクセスクライアントがプロキシファイルを置き換えるとき、VPNドメイン全体のIP範囲とDNS名を含む同様のプレーンスクリプトPACファイルを生成する(「DIRECT」として返される)。Windows OSはこの情報をプレーンスクリプトのPACファイルとして受け取る必要があるため、このファイルはローカルに保存されます。このファイルは、Internet Explorerで定義されている自動設定スクリプトを置き換えます。

Windowsプロキシ置換の設定

Windowsプロキシの置き換えは、Security Gatewayまたはリモートアクセスクライアントのどちらかで設定されます。

セキュリティゲートウェイのプロキシ置き換え

Security GatewayがVisitor Modeをサポートするように設定するには、次のようにします。

  1. メニュー]から[Global Properties ]をクリックします。

  2. ナビゲーションツリーでAdvancedをクリックします。

  3. Advanced Configuration ページで、Configure をクリックします。

    Advanced Configurationウィンドウが開きます。

  4. ナビゲーションツリーでVPN Advanced Properties > Remote Access VPNをクリックします。

  5. いずれかのオプションを選択します。

    • ie_proxy_replacement - 選択した場合、ビジターモードが有効でない場合でも、常にWindowsプロキシの置き換えが行われます

    • ie_proxy_replacement_limit_to_tcpt - 選択した場合、プロキシ置換はビジターモードが有効な場合のみとなります