配置管理员访问权限

设备>系统>管理员访问页面上,你可以:

  • 配置允许管理员访问Quantum Spark设备的IP地址和接口来源。

  • 启用双重身份验证 (2FA) 以在网关上添加额外的安全层。

  • 配置Web和SSH端口。

选择其中一个或多个选项:

  • 局域网- 所有内部物理端口

  • 受信任的无线网络 - 默认允许访问局域网的无线网络(仅在无线网络型号中)。

  • VPN - 通过远程站点的 VPN 隧道使用加密流量,或使用远程访问客户端

  • 互联网- 清除来自互联网的流量(不建议允许来自所有 IP 地址的访问)。

  1. 选择“任何 IP 地址”选项。此选项安全性较低,不推荐使用。我们建议只允许从互联网访问特定的 IP 地址。

  2. 如有必要,改变网络端口(HTTPS)和/或 SSH 端口

  3. 点击保存

    管理员可以通过允许的接口源使用任何IP地址访问Quantum Spark设备。

  1. 选择“仅指定 IP 地址”选项。

  2. 点击“新建”。

    出现 “IP 地址配置”页面。

  3. 选择“类型”:

    • IPv4地址

    • IPv4 网络

    • IPv6地址

    • IPv6 网络

  4. 输入IP地址或点击从我的电脑获取IP

  5. 点击保存

    IP地址被添加到表中。

  6. 如有必要,改变网络端口(HTTPS)和/或 SSH 端口

  7. 点击保存

    管理员可以使用配置的IP地址,通过允许的接口源访问设备。

当有必要允许管理员从互联网访问时,选择该选项(你必须定义指定 IP 地址)。允许从其他来源的任何 IP 地址访问。

  1. 选择“互联网来源”复选框。

  2. 选择“来自互联网的指定 IP 地址和其他来源的任何 IP 地址”选项。

  3. 点击“新建”。

    显示 “IP 地址配置”页面。

  4. 选择“类型”:

    • IPv4地址

    • IPv4 网络

    • IPv6地址

    • IPv6 网络

  5. 输入IP地址或点击从我的电脑获取IP

  6. 点击保存

    IP地址被添加到表中。

  7. 如有必要,改变网络端口(HTTPS)和/或 SSH 端口

  8. 点击保存

    管理员可以使用配置的IP地址,通过允许的接口源访问设备。

  1. 选择您想从 IP 地址表中删除的 IP 地址。

  2. 点击“删除”。

重要的是

  • 当您的互联网连接被配置为桥接模式时,不支持为局域网和互联网配置不同的访问权限(“允许管理访问”选项不显示互联网或局域网)。

  • 定义了一个自动隐含规则关闭 规则库中的一组流量参数和其他条件,用于对通信会话采取指定的操作。,以允许这里指定的访问。不需要在“访问策略”页面添加明确的规则来允许此访问。

  • 屏蔽当前连接的 IP 地址或接口组后,您不会被立即断开连接。访问策略会立即被应用,但您当前的会话仍然有效,直到您退出。

双重身份验证(2FA)

双重身份验证是网关上的额外安全保护。当在管理员访问页面上启用双重身份验证时,设备上配置的所有管理员都必须使用双重身份验证才能登录。所有管理员都必须配置电子邮件地址和电话号码。

启用双重身份验证后,如果有管理员未填写相关信息,则设备>系统>管理员访问页面上页面将显示警告消息,提示所有管理员必须先配置电子邮件地址和电话号码。还会出现缺少信息的管理员列表。

此页面上可能出现的另一条消息是建议使用网络时间协议 (NTP) 服务器来设置设备上的日期和时间,以避免与身份验证器应用程序出现同步问题。

说明- 此功能从R81.10.10开始可用。

注意 -在R81.10.10版本中,当为管理员访问配置了RADIUS或TACACS时,不支持双重身份验证功能。

重要提示- 启用双重身份验证后,登录时始终需要进行验证。

启用双重身份验证的先决条件

  1. 在每个管理员对象中,配置一个电子邮件地址一个电话号码。参见配置本地和远程系统管理员

  2. 为避免与身份验证器应用之间出现同步问题,请使用网络时间协议(NTP)服务器为设备设置日期和时间。参见管理日期和时间

  1. 转到设备>系统>管理员访问页面。

  2. 双重身份验证 (2FA)部分中,选择启用双重身份验证强制要求

  3. 点击保存

  4. 网关会向所有已配置的管理员发送一封电子邮件(来自do-not-reply@portal.checkpoint.com) ,说明如何使用身份验证器应用程序。

    电子邮件中还包含二维码和紧急密钥。

    重要提示- 使用紧急密钥保存电子邮件。如果你丢失了智能手机、丢失了手机号码配对配置或网关未连接到互联网,请使用密钥登录。请注意,每个紧急密钥只能使用一次。

  5. 在WebUI弹出窗口中,如果你已收到邮件,请选择我已收到邮件,或者点击重新发送邮件

  6. 安装身份验证器应用程序。

    你可以使用Microsoft Authenticator或Google Authenticator。

    两者均可从Apple App Store或Google Play下载。

  7. 在身份验证器应用中,通过以下方式之一添加新帐户:

    • 扫描你在电子邮件中收到的二维码。

    • 输入你在电子邮件中收到的一次性验证码。

  1. 在设备登录页面上,输入你的管理员名称和密码。

    出现双重身份验证屏幕。

  2. 使用以下选项之一来接收你的验证码:

    • 选中短信电子邮件两个复选框

      说明- 要使用此身份验证选项登录,网关必须连接到互联网。

    • 仅选中短信复选框

      说明- 要使用此身份验证选项登录,网关必须连接到互联网。

    • 仅选中电子邮件复选框

      说明- 要使用此身份验证选项登录,网关必须连接到互联网。

    • 点击身份验证器应用

      说明- 初始身份验证后,即使网关离线,你也可以使用身份验证器应用程序中生成的动态验证码进行登录。

      根据所选的登录选项输入你收到的验证码:

      • 来自短信。

      • 来自电子邮件。

      • 来自身份验证器应用程序。

  3. 点击“下一步”。

  4. 输入你收到的验证码,然后单击下一步

  5. 如果你没有收到验证码,请单击重新发送代码尝试其他方式通过其他方法接收验证码。

  1. 连接到设备上的命令行。

  2. 输入用户名和密码。

  3. 输入你选择的接收验证码方式的编号。

  4. 输入验证码。

  1. 转至设备>系统>管理员页面。

  2. 选择管理员。

  3. 单击重新生成密钥按钮。

说明- 这会使当前密钥和紧急密钥无效。

新密钥将发送到选定管理员的电子邮件地址。验证是否收到电子邮件,并使用新的密钥在身份验证器应用中设置,以便通过身份验证器应用进行登录。