設定進階網站到網站設定

在「 VPN > 網站到網站進階」頁面中，您可以設定全網域進階 選項，以定義設備如何連線到遠端站點。

這個頁面上的設定選項回答了以下設定問 UserCheck 規則動作可封鎖流量和檔案，並顯示 UserCheck 訊息。使用者可以同意允許該活動。題：

• 何時打開與遠端站點的連線 - 請參閱下面的「設定本地加密網域 安全閘道所保護的網路，以及加密和解密 VPN 流量的網路。」。此外，遠端站點的加密網域是按網站設定的。請參閱VPN > 網站到網站 VPN網站頁面 。

• 設備如何連線到遠端站點 - 請參閱下面的“為 VPN 使用設定設備的傳出介面”。

設定本地加密網域

在基於網域的 VPN 中，當流量來源自一個加密網域並傳輸到另一個網域時，將對其進行加密。

本地加密網域定義：

• 加密來自遠端站點和網路的流量的內部網路可以訪問。

• 從加密網域到遠端站點的流量是加密的。

預設情況下，本地加密網域由設備自動確定。LAN 介面後面的網路和受信任的無線網路是本地加密網域的一部分。（可選）如有必要，您可以手動創建本地加密網域。

要手動設定本地加密網域：

1. 點擊根據 拓撲 自動連結。

2. 選擇「 手動定義本地網路拓撲」。

3. 點擊選擇以顯示可用網路的完整清單，並選取適用的複選框。

4. 如果現有清單不包含所需的必要網路，請按下新增 。

   有關如何創建新網路物件 代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。的資訊，請參閱用戶和對象 > 網路物件頁面。

5. 點擊套用.

   “網站到網站本地加密網域”視窗將打開並顯示您選擇的服務。

設定設備介面

連結選擇用於：

• 指定用於傳入和傳出 VPN 流量的介面。

• 確定流量的最佳可能路徑。

此外，通過鏈路選擇機制，管理者可以選擇用於 VPN 流量的來源 IP 位址。

選擇傳出介面和來源IP位址的預設設定是讓設備自動確定它們。或者，您可以更改預設設定並選擇其他方法來確定：

• 設備的傳出介面

• 設備的來源IP位址

要為 VPN 設定設備的傳出介面和來源 IP 位址：

1. 在「鏈路選擇傳出介面選擇 > 」部分中，選擇指定傳出介面的方法：

   • 根據路由表 – 操作系統的路由表 查找具有lowest metric（最高優先順序）的介面鏈路，根據遠端站點的IP位址通過該鏈路發送流量。

   • 基於路由的偵測 – 此方法還會查詢路由表中具有lowest metric的鏈路。但是，在選擇介面鏈路來發送流量之前，會檢查所有路由可能性。這是為了確保連結處於活動狀態。閘道選擇具有lowest metric（最高優先順序）的最佳匹配（最高前綴長度）活動路由。當有多個外部介面時，建議使用此方法。

2. 在來源IP位址選擇 部分中，選擇一個選項以設定安全閘道 一個專用的 Check Point 服務器，用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。在啟動或回應 VPN 流量時使用的來源IP位址。遠端站點通常使用此 IP 位址連線到此安全閘道：

   • 根據傳出介面自動選擇。

   • 手動設定 – 輸入始終用作 VPN 隧道來源 IP 位址的 IP 位址。

隧道健康監測

失效對點偵測 （DPD） 是Check Point安全閘道支援的一種附加保持連線機制，用於測試 VPN 隧道是否處於活動狀態。DPD 使用 IPsec 流量來最大程度地減少確認對點可用性所需的訊息數，並需要 IPsec 建立的隧道。DPD 機制僅基於 IKE 加密金鑰。

該功能還允許您監控基於 DPD 的 IKEv1 和 IKEv2 的永久隧道。

在 積極模式下, ，如果 10 秒內沒有傳入的 IPSec 流量，設定為 DPD 的對點會定期接收 DPD Hello 請求。

要測試 VPN 隧道是否處於活動狀態，請執行以下操作：

選擇隧道運行狀況監視方法

• 隧道測試（Check Point專有） – 僅在Check Point閘道之間工作。

• DPD（失效對點偵測）

在 DPD 回應程式模式下, ，Check Point閘道將 IKEv1 供應商 ID 發送到從中接收 DPD 供應商 ID 的對點，並回應傳入的 DPD 數據包。

要開啟 DPD 回應器模式：

選中複選框。