定義閘道物件

用於定義閘道物件的選項：

• 管理第一

  在現場設定和設定實際設備之前，先在SmartConsole中定義閘道物件。這通常用於遠端部署的設備或使用動態IP位址（由 DHCP 伺服器或ISP分配）連線到Security Management Server 執行 Check Point 軟體以管理單一管理網域內 Check Point 環境中的物件和原則的專用 Check Point 伺服器。Synonym：單網域Security Management Server。的設備，因為在SmartConsole 中設定物件時不知道IP位址。您可以準備設備在設定時拉取的政策。

  工作流程：

  1. 在SmartConsole中：

     1. 建立所需的物件並設定所需的設定：

        在啟用IPSec VPN軟體邊欄選項卡之前，必須設定 VPN 社區 已命名的 VPN 網域集合，每個網域都受到 VPN 閘道保護。和 VPN網域（可選）。

     2. 為設備創建必要的閘道或叢集物件。

     3. 在閘道物件上安裝安全政策 一群組規則集合，可控制網路流量並強制執行資料保護的組織準則，以及透過封包檢查來存取資源。。

  2. 使用首次設定精靈設定設備。

     或者，您可以使用 USB 驅動器快速設定許多設備，而無需首次設定精靈。

     有關更多詳細資訊，請參閱 從 USB 磁碟機或 SD 記憶卡進行部署進行部署。

  3. 在SmartProvisioning中，管理閘道物件設定。

• 閘道優先

  首先設定和設定設備。然後，它會嘗試每隔 1 小時與Security Management Server（如果已設定）通信。如果在 SmartConsole 中創建物件期間與閘道建立了連線，則精靈可以從閘道檢索資料（如拓撲），然後幫助進行設定。

  工作流程：

  1. 使用首次設定精靈設定相關設備。

     或者，您可以使用 USB 驅動器快速設定許多設備，而無需首次設定精靈。

     有關更多詳細資訊，請參閱 從 USB 磁碟機或 SD 記憶卡進行部署進行部署。

  2. 在SmartConsole中：

     1. 建立所需的物件並設定所需的設定：

        在啟用IPSec VPN軟體邊欄選項卡之前，必須設定 VPN 社區和 VPN網域（可選）。

     2. 為設備創建必要的閘道或叢集物件。

     3. 在閘道物件上安裝安全政策。

  3. 在SmartProvisioning中，管理閘道物件設定。

定義單個閘道物件：

1. 使用SmartConsole連線到Security Management Server。

2. 從物件功能表中，按兩下更多物件類型 > 網路物件 > 閘道和伺服器 > 新建閘道。

   將打開檢查 點安全閘道創建 視窗。

3. 點擊設定精靈 模式。

4. 在「 常規屬性 」頁上：

   1. 在 閘道名稱 字段中，輸入安全閘道 一個專用的 Check Point 服務器，用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。物件的名稱。

   2. 在「閘道平台」區域中，為Quantum Spark 設備選擇正確的設備系列。

   3. 「版本」 區域自動顯示R80.20。

   4. 在「平台類型」 欄位中，為Quantum Spark 設備選擇正確的設備類型 。

   5. 通過以下方式之一設定 Quantum Spark 設備的 IP 位址：

      • 選擇靜態IP位址並輸入IP位址。

      • 選擇「動態IP位址」 以從 DHCP 伺服器獲取閘道的IP位址 。

   6. 單擊 下一步.

5. 在「受信任的通信」頁上，設定Security Management Server和Quantum Spark 設備相互進行身份驗證的方式，然後按兩下一步：

   • 如果在之前的 「常規屬性」 頁上選擇了 「靜態IP位址」：

     1. 在「身份驗證」部分中，選擇「使用一次性密碼安全地啟動受信任的通信」或「啟動未進行身份驗證的受信任通信（安全性較低）」。

     2. 如果選擇了 「使用一次性密碼安全地啟動受信任的通信」，請輸入一次性密碼並確認。

        此密碼僅用於建立初始信任。建立信任後，信任基於安全證書。

        重要事項 - 此密碼必須與您在首次設定精靈中為設備定義的一次性密碼相同。

     3. 在「受信任的通信」部分中，選擇「閘道首次連線到Security Management Server時自動啟動受信任的通信」或「立即啟動受信任的通信」。

     4. 點擊連線。

        將出現一個狀態視窗。

   • 如果在之前的 「常規屬性」 頁上選擇了 「動態IP 位址」：

     1. 在「閘道標識碼」 部分中，選擇一個識別碼 ：閘道名稱, 、MAC 位址, 或 第一個連線。

     2. 在「身份驗證」部分中，選擇「使用一次性密碼安全地啟動受信任的通信」或「啟動未進行身份驗證的受信任通信（安全性較低）」。

     3. 如果選擇了 「使用一次性密碼安全地啟動受信任的通信」，請輸入一次性密碼並確認。

        此密碼僅用於建立初始信任。建立信任後，信任基於安全證書。

        重要事項 - 此密碼必須與您在首次設定精靈中為設備定義的一次性密碼相同。

6. 在「邊欄選項卡啟動」頁上，選擇「立即啟動並設定軟體邊欄選項卡」或「稍後啟動並設定軟體邊欄選項卡」。

   如果選擇了 「立即啟動和設定軟體blade」：

   1. 選中要啟動的軟體blade旁邊的複選框。

   2. 單擊 下一步.

7. 在 “blade配置” 頁面上，配置所需的選項，然後點擊 “下一步”：

   注意 - 僅當您在之前的 blade啟動 頁面上選擇 “立即啟動並配置軟體blade”時，才會出現此頁面。

   • NAT - 預設情況下，「隱藏閘道外部 IP 後面的內部網路」複選框處於選取狀態。

   • IPSec VPN - 在“參與網站到網站社區”字段中，選擇此網關參與的 VPN 社區（必須在啟動嚮導之前創建此 VPN社區）。 如果是star社區，這個閘道就變成了VPN衛星閘道。

   • QoS - 選擇適用的入站和出站頻寬速率。

8. 在VPN 網域頁面上，設定 VPN 加密網域 安全閘道所保護的網路，以及加密和解密 VPN 流量的網路。設定，然後按下一步：

   注意 – 當您在上一個blade啟動頁面上選擇了IPSec VPN軟體blade，才會顯示此頁面

   可用選項：

   • 隱藏此閘道的外部IP後面的 VPN 網域

     僅當要隱藏此閘道的外部IP後面的所有內部網路時，才選擇此選項。從此閘道後面的網路到參與 VPN 社區的其他網站的所有傳出流量都經過加密。

     使用此選項時，不會加密從指向到此閘道後面主機的其他網站啟動的連線。如果需要訪問 UserCheck 規則動作可封鎖流量和檔案，並顯示 UserCheck 訊息。使用者可以同意允許該活動。此閘道後面的主機，請選擇其他選項（定義 VPN 拓撲）或確保來自其他網站的所有流量都指向到此閘道的外部 IP 位址，並定義相應的 NAT 埠轉發規則 規則庫中的一群組流量參數和其他條件，可導致針對通訊工作階段採取指定的動作。，例如：將指向到此閘道外部 IP 位址的傳入 HTTP 連線的目標轉換為此閘道後面的 Web 伺服器的 IP 位址。

   • 創建新的 VPN 網域

     1. 在 名稱 欄位中，輸入群組 具有共用屬性的物件集合，例如使用者帳號。的名稱。

     2. 從可用物件清單中，選擇適用的物件，然後按下新增。這些物件將新增到 VPN 網域 由一個 VPN 閘道連線到 VPN 通道的一群組電腦和網路，用於處理加密並保護 VPN 網域成員。成員清單中。

        注意 - 要選擇多個單獨的物件，請在 按住 Ctrl 鍵的同時點擊它們。要選擇多個相鄰物件，請按住 Shift 鍵，同時按下其中的第一個和最後一個物件。

   • 選擇現有 VPN 網域

     在啟動精靈之前，必須創建此 VPN 網域。

9. 在「 安裝精靈完成」 頁上：

   您將看到您設定的設定參數的摘要。

   如果要設定安全閘道的更多選項，請選擇 編輯閘道屬性以進行進一步設定。

   點擊 完成.

10. 將打開新定義的物件的「 常規屬性 」 視窗。

    設定適用的設定，然後點擊確定。

11. 在閘道物件上安裝安全政策。

第 1 部分 - 兩個新的Quantum Spark 設備閘道的初始設定：

1. 請勿 將兩個 Quantum Spark 設備連接到電源。

2. 將所需的電纜連接到兩個 Quantum Spark 設備上，以及設備之間。

3. 將 第一個 Quantum Spark 設備連接到電源並將其打開。

4. 將電腦連線到 第一個 Quantum Spark 設備到 LAN1 介面。

5. 將裝置設定為自動獲取IP位址。

6. 在電腦上上的網路瀏覽器中，連結到：

   http://my.firewall

7. 按照步驟使用首次配置嚮導配置第一個昆騰 Spark 設備。

   重要： 廣域網路網 介面： 在設定精靈模式下, 在SmartConsole中創建叢集物件時，假定WAN介面是叢集的一部分。 確保 兩台設備上的WAN 介面設定了匹配子網的靜態IP位址。 叢集 同步 介面： 使用乙太網交叉電纜連線 兩台設備上的SYNC 介面。 預設情況下， LAN2 介面用於叢集同步。 在閘道端設定的任何階段，都無需在LAN2介面上設定 IP 位址。 如果未在LAN2介面上設定 IP 位址，則SYNC介面的IP 位址將自動設定為 10.231.149.1 和 10.231.149.2。 如果在SYNC介面上手動設定 IP 位址，則必須將這些 IP 位址設定為位於同一子網上。 您可以使用LAN2以外的其他SYNC介面。有關詳細資訊，請參見 sk52500。 要在WAN和LAN1以外的介面上設定 IP 位址，請在每個閘道的 WebUI 中執行此操作 - 在網際網路或本地網路頁面上。確保對於屬於叢集的每個介面，在與對點叢集成員相同的子網中設定IP位址。 一次性密碼： 請記住此一次性密碼。您需要它來設定SmartConsole中的叢集物件。 兩個叢集成員上的一次性密碼必須相同，才能在 設定精靈模式下創建叢集物件。 如果兩個叢集成員上的一次性密碼不同，那麼必須在經典方式下創建叢集物件。

8. 重新啟動 第一個 Quantum Spark 設備。

9. 關閉 第一個 Quantum Spark 設備。

10. 將 第二個 Quantum Spark 設備連接到電源並將其打開。

11. 將電腦連線到 第二個 Quantum Spark 設備到 LAN1 介面。

12. 續訂電腦上的動態IP位址。

13. 在電腦上的網路瀏覽器中連結到：

    http://my.firewall

14. 按照步驟使用首次設定精靈配置第二個Quantum Spark 設備。

    重要： 廣域網路網 介面： 在設定精靈模式下, 在SmartConsole中創建叢集物件時，假定WAN介面是叢集的一部分。 確保 兩台設備上的WAN 介面設定了匹配子網的靜態IP位址。 叢集 同步 介面： 使用乙太網交叉電纜連線 兩台設備上的SYNC 介面。 預設情況下， LAN2 介面用於叢集同步。 在閘道端設定的任何階段，都無需在LAN2介面上設定 IP 位址。 如果未在LAN2介面上設定 IP 位址，則SYNC介面的IP 位址將自動設定為 10.231.149.1 和 10.231.149.2。 如果在SYNC介面上手動設定 IP 位址，則必須將這些 IP 位址設定為位於同一子網上。 您可以使用LAN2以外的其他SYNC介面。有關詳細資訊，請參見 sk52500。 要在WAN和LAN1以外的介面上設定 IP 位址，請在每個閘道的 WebUI 中執行此操作 - 在網際網路或本地網路頁面上。確保對於屬於叢集的每個介面，在與對點叢集成員相同的子網中設定IP位址。 一次性密碼： 請記住此一次性密碼。您需要它來設定SmartConsole中的叢集物件。 兩個叢集成員上的一次性密碼必須相同，才能在 設定精靈模式下創建叢集物件。 如果兩個叢集成員上的一次性密碼不同，那麼必須在經典方式下創建叢集物件。

15. 重新啟動 第二個 Quantum Spark 設備。

16. 打開 第一個 Quantum Spark 設備（將其連接到電源）。

第 2 部分 - 建立和設定叢集物件

1. 使用SmartConsole連線到Security Management Server。

2. 從物件選單中，按下「更多物件類型」> 網路物件 > 閘道和 > 伺服器新建小型辦公室群集。

   Check Point 安全閘道集群建立 視窗開啟。

3. 點擊設定精靈 模式。

4. 在 集群常規屬性 頁面上：

   1. 在 “集群名稱” 字段中，輸入集群對象的名稱。

   2. 在「硬體」欄位中，為Quantum Spark 設備選擇正確的設備系列。

   3. 單擊 下一步.

5. 在 集群成員 頁面上：

   • 在「 第一個成員」 部分中：

     1. 在「成員名稱」欄位中，輸入第一個叢集成員物件的名稱。

     2. 在成員 IPv4 位址欄位中，輸入第一個叢集成員物件的 IPv4 位址。預設情況下，這必須是分配給WAN介面的IPv4位址。

   • 在「 第二個成員」 部分中：

     1. 僅當要檢查通信和連接時，才清除立即定義第二個集群成員複選框。

        這允許您僅完成第一個叢集成員的設定精靈定義。

     2. 在「成員名稱」欄位中，輸入第二個叢集成員物件的名稱。

     3. 在成員 IPv4 位址欄位中，輸入第二個叢集成員物件的 IPv4 位址。預設情況下，這必須是分配給WAN介面的IPv4位址。

   • 在「安全內部通信」部分中：

     在「密碼」 欄位中，輸入您在每台設備上的「首次設定精靈」中輸入的相同一次性密碼 。

     單擊 下一步.

     該設定精靈在Security Management Server和設備之間建立信任。

     注意 - 建立信任後，它基於安全證書。

6. 在 “叢集介面配置” 頁面上，定義 Quantum Spark 設備上的網路連線介面是否屬於叢集的一部分：

   對於在Quantum Spark 設備上設定的每個網路介面，將顯示此視窗。

   為閘道設定的介面總數顯示在視窗標題中。例如，如果為閘道設定了 3 個介面，則總共需要設定 3 個視窗。視窗頂部的痕跡導航映像顯示目前正在設定的介面。您目前正在設定的介面的名稱將顯示在「介面」列中。頁面底部的映像顯示介面是否設定為高可用性。設定高可用性時，兩個叢集成員的物理IP位址在叢集的虛擬IP位址指定的點相遇。

   每個網路介面（在兩個叢集成員上）都有一個唯一的IP位址。

   在介面上啟用高可用性後，叢集需要一個額外的唯一虛擬IP位址。此虛擬IP位址對網路可見，並確保叢集故障轉移 將流量控制 (封包過濾) 從遭遇失敗的叢集成員傳輸至另一個叢集成員 (根據內部叢集演算法)。Synonym：容錯移轉。事件對網路上的所有主機都是透明的。

   在介面上禁用高可用性時，該介面將被視為不受監控的專用介面（不是叢集設定的一部分）。

   您可以為除WAN介面之外的所有網路介面設定高可用性。預設情況下， WAN 介面始終是叢集的一部分。如果不希望 WAN 介面成為叢集的一部分，請在完成設定精靈後在 SmartConsole 中編輯叢集物件。

   如果未定義 WAN 介面，請在 SmartConsole 中編輯叢集物件並為叢集物件選擇正確的主 IP 位址。（例如，此IP位址在 VPN 中用作連結選擇選項之一）。

   您不設定LAN2介面，因為它由設定精靈自動設定，並且僅用於SYNC介面。確保在兩台設備的兩個 LAN2/SYNC 埠之間連線了電纜。

   注意 - LAN2/SYNC 介面僅支援 IPv4 位址。

   設定：

   1. 輸入叢集的虛擬 IP位址 和 網路掩碼 。虛擬IP位址將在下一個政策安裝中套用。

   2. 單擊 下一步.

   3. 要在介面上啟用高可用性，請選取在 名稱> 介面 上 <啟用高可用性複選框。

      該 <名稱> 顯示在Quantum Spark 設備中定義的網路介面。

      選擇高可用性後，輸入叢集的虛擬 IP位址 和 網路掩碼 。虛擬IP位址將在下一個政策安裝中套用。

   4. 單擊 下一步.

   5. 對每個定義的介面重複上述步驟。

   6. 單擊 下一步.

7. 在「 安裝精靈完成」 頁上：

   您將看到您設定的設定參數的摘要。

   如果要在叢集物件中設定更多設定，請選擇「 在進階模式下編輯叢集」。。

   點擊 完成.

8. 將打開新定義的物件的「 常規屬性 」 視窗。

   設定適用的設定，然後點擊確定。

9. 在叢集物件上安裝安全政策。

10. 續訂連線到其中一個叢集成員的裝置上的動態IP位址。

    然後，您可以在網路瀏覽器中訪問活動叢集成員： http://my.firewall