配置远程访问刀片

VPN > 远程访问刀片控制页面,你可以通过互联网在移动设备、家用台式机和笔记本电脑等设备与组织之间建立安全的加密连接。

对于远程访问,你必须在系统中定义具有凭证的用户,并为指定的用户设置权限。该设备必须可以从互联网访问。

注意- 远程访问只适用于来自IPv4地址的流量。

这些是支持的远程访问连接方法:

我们强烈建议你首先在设备上配置DDNS或静态IP互联网连接。如果你不使用静态IP,你的设备的IP地址可以根据你的互联网服务提供商而变化。DDNS让家庭用户通过域名而不是可以改变的IP地址连接到组织。更多信息请参见设备 > DDNS

要配置DDNS,请点击DDNS链接或互联网链接以获得静态IP地址。

要启用或禁用VPN远程访问:

  1. 选择开或关

  2. 点击应用.

注意- 当刀片由云服务管理时,会显示一个锁定图标。你不能在开启和关闭状态之间进行切换。如果你改变其他策略设置,该改变是暂时的。本地所做的任何更改将在网关和云服务之间的下一次同步中被覆盖。

要通过远程访问配置默认访问策略:

  1. 选择或取消允许来自远程访问用户的流量(默认)复选框。取消后,必须使用访问策略 > 服务器页面或在访问策略 > 防火墙策略页面中手动定义访问规则关闭 规则库中的一组流量参数和其他条件,导致对一个通信会话采取指定的行动。,为每个资源定义远程访问用户对组织内资源的访问。

  2. 选择或清除远程访问用户的日志流量(默认)复选框。

  3. 点击应用.

双因素认证

双因素认证(也称为多因素认证)是额外的安全层,用于防止对您的系统进行未经授权的访问。向用户发送密码

要使用双因素认证,您必须配置远程访问权限,并提供电子邮件地址和手机号码。

注意 - 默认情况下,密码通过电子邮件和短信发送。

对于短信,您可以使用 Check Point 短信提供商或外部短信提供商。如果客户使用公共短信服务器,管理员必须提供 SMTP 服务器的用户名和密码以及包含外部服务提供商 API 的动态 URL。

要配置双因素认证,请执行以下操作:

  1. VPN远程访问控制刀片控制 页面上,选择要求用户使用双因素身份验证确认其身份

  2. 单击 配置

    将打开“双因素身份验证设置”窗口。

    1. 选择 SMS 复选框。

    2. 要使用 Check Point SMS,请选择使用Check Point SMS提供商服务

    3. 如选择 使用外部SMS提供商,请输入以下字段信息:

      • 动态ID URL

      • 供应商用户名

      • 供应商密码

      • API ID

      • 要显示的信息(可选)。

    1. 选择 Email 复选框。

    2. 可选 - 输入要显示的信息

  5. 要选择通过两个选项接收,请选中两个复选框。

  6. 高级 选项卡中,在 动态ID设置 下,输入:

    • 一次性密码的长度。

    • 密码过期时间(分钟)。

    • 重试的最大次数。

  7. 国家代码 下,输入默认国家代码。

  8. 点击应用.

要使用双因素认证登录,请执行以下从操作:

  1. 连接到您的 VPN。

  2. 系统会提示您输入动态 ID 一次性密码 (OTP),该密码将以短信形式发送到您的手机上,或直接发送到您的电子邮件账户。

注意事项:

  • VPN 双因素认证是针对每个网关,而不是针对管理员。

  • 启用双因素身份验证时,您将为所有VPN客户端启用它。这意味着所有的 VPN 客户必须有一个配置好的手机号码,以便接受验证信息。

VPN远程访问方法:

  • Check Point VPN客户端- 用于连接笔记本电脑和台式机

  • 移动客户端- 用于连接智能手机和平板电脑

  • SSLVPN- 要通过SSL VPN连接

  • Windows VPN客户端- 通过本地VPN客户端(L2TP)进行连接

    默认情况下,启用Check Point VPN客户端

要配置VPN远程访问方法:

  1. 选择所需方法旁边的复选框,并点击如何连接...

    在新的窗口查看使用情况 "。

  2. 根据向导提示。你也可以通过电子邮件收到这些提示。

  3. 关闭窗口并点击应用

要管理SSL VPN的书签:

  1. 选择SSL VPN复选框。

  2. 点击应用.

  3. 单击 "管理SSL VPN书签"。

    此时将打开VPN > 高级页面。

  4. SSL VPN书签单击"新建"创建新书签。

    在新的窗口中。

  5. 输入这些信息:

    • URL

      注意- 如果你选择全局书签,所有用户都会看到这个书签。

    • 类型- 链接或RDP(远程桌面协议)。

    • 标签- 书签的名称

    • 工具提示- 提示信息

  6. 点击应用.

如果你选择RDP作为书签类型,你必须在RDP高级设置中输入用户名和密码。这些凭证将被发送给终端用户。

注意- 如果你选择了 "显示字符",就可以看到密码字符。

你还可以指定远程桌面的屏幕尺寸。默认模式是全屏。

要管理书签:

  1. 点击一个书签。

  2. 点击编辑删除

  3. 点击应用.

要分配一个VPN证书:

  1. 选择SSL VPN复选框。

  2. 点击证书认证

    将打开 "证书认证 "窗口。上传的证书列表显示在下拉菜单中。

  3. 选择证书名称。

    注意- 你不能选择默认的网络门户证书。

  4. 点击应用.

向用户发送远程访问使用说明:

  1. 点击相关远程访问方法旁边的如何连接链接。

  2. 点击 "用电子邮件发送这些说明",就会自动打开一个预先填写好的包含说明的电子邮件。

  3. 点击关闭.

要改变远程访问端口设置:

如果默认的远程访问端口(端口443)和一个服务器使用相同的端口,就会出现冲突信息。如果启用了Check Point VPN客户端、移动客户端或SSL VPN远程访问,你必须改变默认的远程访问端口,因为它们默认使用443端口。

  1. 单击 "更改端口"链接。

    打开 "远程访问端口设置 "窗口。

  2. 远程访问端口,输入一个新的端口号。

  3. 确保选择了用于端口转发的Reserve port 443

  4. 点击应用.