配置远程访问刀片

在VPN > 远程访问 > 刀片控制页面，你可以通过互联网在移动设备、家用台式机和笔记本电脑等设备与组 一个对象的集合，如用户账户，具有共享属性。织之间建立安全的加密连接。

对于远程访问 VPN，必须为设备上的用户配置凭证，并为指定用户配置所需权限。必须可以从互联网访问该设备。

我们强烈建议您首先在设备上配置 DDNS 或带有静态IP地址的互联网连接。如果不使用静态 IP 地址，则设备的 IP 地址可能会根据互联网服务提供商而变化。DDNS 让家庭用户可以通过域名连接到组织，而不是使用可能会变化的 IP 地址。详见设备 > 系统 > DDNS & 设备访问 > DDNS。

要配置DDNS，请参见“配置DDNS和访问服务”。

要配置静态IP地址，请参见“配置互联网连接”。

VPN 远程访问入门指南

1. 启用 VPN 远程访问刀片

   1. 转到 VPN > 远程访问 > 刀片控制。

   2. 选择“开启”。

   3. 必选：选择“允许来自远程访问用户的流量”。

   4. 可选：选择“记录来自远程访问用户的流量”。

   5. 可选：选择“要求用户使用双因素身份验证确认身份”。

      流程

      双因素认证（也称为多因素认证）是额外的安全层，用于防止对您的系统进行未经授权的访问。网关通过电子邮件或短信向用户发送密码，以使用户可通过 VPN 进行连接。从 R81.10.07 开始，您也可以选择使用谷歌认证器。

      要使用双因素认证，您必须配置远程访问权限，并提供电子邮件地址和手机号码。

      注意 - 默认情况下，网关通过电子邮件和短信发送密码。

      对于短信，您可以使用 Check Point 短信提供商或外部短信提供商。如果客户使用公共短信服务器，管理员必须提供 SMTP 服务器的用户名和密码以及包含外部服务提供商 API 的动态 URL。

      要配置双因素认证，请执行以下操作：

      1. 在VPN > 远程访问 > 刀片控制页面，选择“要求用户使用双因素认证确认其身份”。

      2. 单击“配置”。

         弹出“双因素认证设置”窗口。

      3. 选择适用的选项：

         要选择通过短信和电子邮件接收，请同时选中这两个复选框。

         要通过短信接收认证码

         1. 选择“短信”复选框。

         2. 要使用 Check Point 短信，请选择“使用 Check Point 短信提供商服务”。

         3. 如选择“使用外部短信提供商”，请输入以下字段信息：

            • 动态ID URL。

            • 供应商用户名。

            • 供应商密码。

            • API ID。

            • 要显示的信息（可选）。

         要通过电子邮件接收认证码

         1. 选择“电子邮件”复选框。

         2. 可选：输入要发送的信息。

         要通过 SMB 云服务（Google 认证器应用程序）接收验证码

         注意 - 用户必须拥有已配置的远程访问权限才能使用此选项。

         1. 选择“使用谷歌认证器”复选框。

         2. 点击“应用”.

            SMB 云服务将包含二维码的电子邮件发送到为用户配置的电子邮件地址。

         3. 用 Google 认证器应用程序扫描二维码。

         4. 显示一次性密码（OTP）。

            注意 - OTP 将在 30 秒后过期。

         5. 在您的电脑上连接至 VPN。输入用户名和密码。

         6. 对于第二次认证，请在响应字段中输入 OTP。

         7. 云服务会将 OTP 与应用程序中的二维码所代表的 OTP 进行比较。如果匹配，则表示您已连接至 VPN。

         云服务会在以下情况发送带有 OTP 的二维码：

         • 配置了一个新用户。

         • 编辑现有用户的信息，如添加新的电子邮件地址或用户获得远程访问权限。

         • 管理员有权决定所有用户是否必须使用云认证。

      4. 在"高级"选项卡中的"动态 ID 设置"下方，输入：

         • 一次性密码的长度。

         • 密码过期时间（分钟）。

         • 最大重试次数。

      5. 在“国家代码”下方，输入默认的国家代码。

      6. 点击“应用”.

      要使用双因素认证登录，请执行以下从操作：

      1. 连接到您的 VPN。

      2. 系统会提示您输入动态 ID 一次性密码（OTP），该密码以短信形式发送至您的手机或电子邮件帐户，或通过二维码扫描获得。

      注意事项： VPN 双因素认证是针对每个网关，而不是针对管理员。 启用双因素身份验证后，您将为所有 VPN 客户端启用它。这意味着所有 VPN 用户必须具有配置好的手机号码和电子邮件地址，以进行连接。

   6. 在“VPN 远程访问用户可通过以下方式进行连接”部分，选择适用的远程访问 VPN 客户端：

      • Check Point VPN 客户端 - 在台式机或笔记本电脑上安装 VPN 客户端。

      • 移动客户端 - 通过智能手机或平板电脑（iOS 或 Android 系统）连接。

      • SSL VPN- 通过 SSL VPN 连接。在网络浏览器中输入 IP 地址。

      • Windows VPN 客户端- L2TP。对于 Windows 或 Mac，请使用预共享密钥进行连接。有关具体说明，请点击“如何连接”。

      配置VPN远程访问的方法：

      1. 选择所需方法旁边的复选框，并点击“如何连接...”

         “使用方法”窗口打开。

      2. 按照屏幕上的说明提示进行操作。

      3. 关闭窗口。

      4. 点击“应用”.

   7. 在页面底部，点击“应用”。

   注意 - 当远程访问 VPN 刀片由云服务管理时，会出现一个锁定图标。你无法在开启和关闭状态之间切换。如果你改变其他策略设置，该改变是暂时的。您在本地所做的任何更改都将在网关与云服务之间的下一次同步中被覆盖。

2. 为远程访问 VPN 配置用户和用户组

   遵循适用的程序：

   添加新的本地用户

   1. 转到 VPN >远程访问 > 远程访问用户。

   2. 点击“添加”.

      此时将打开“新建本地用户”窗口。

   3. 在字段中输入所需信息。

      注意 -“电子邮件”和“电话号码”字段为可选项。但是，如果要为该用户授予远程访问 VPN 的权限，则在远程访问 VPN 连接时需要使用此信息进行双因素身份验证。

   4. 选择“远程访问权限”。

   5. 点击“应用”.

   从 Active Directory/RADIUS 添加新用户

   您可以使用 Active Directory 或 RADIUS 服务器自动填充用户和组。

   详情请参见“配置远程访问认证服务器”部分。

   要查看已定义的身份验证服务器表，请转到 VPN > 远程访问 > 身份验证服务器。

   配置现有本地用户

   1. 单击表中的用户名，然后单击“编辑”。

      您也可以双击用户名。

   2. 选择“远程访问权限”。

   3. 单击“确定”.

   配置现有本地用户/用户组的权限

   1. 单击“编辑权限”。

   2. 在顶部，点击适用的过滤器：

      • 单击“用户”查看本地配置的用户。

      • 单击“Active Directory”查看 Active Directory 服务器上配置的用户组 具有相关职责的命名的用户组。。

   3. 在左栏中，选择相应用户名/用户组旁边的复选框。

   4. 点击“应用”.

3. 监控远程访问 VPN

   • 要查看当前连接的远程用户，请转到 VPN > 远程访问 > 已连接的远程用户。

   • 要查看当前远程访问 VPN 通道，请转至日志 & 监控 > 状态 > VPN 通道。

   • 要查看当前连接的远程访问 VPN 用户的流量，请转到日志& 监控> 日志 > 安全日志（在 VPN > 远程访问 > 刀片控制页面上，必须选择“记录来自远程访问用户的流量”）。

高级选项

欲了解更多信息，请参见“配置高级远程访问选项”部分。

更改默认远程访问 VPN 端口

流程

默认远程访问 VPN 端口为 TCP 443。如果您将设备上的 WebUI 也配置为使用 TCP 端口 443，则 VPN > 远程访问 > 刀片控制页面上会出现冲突消息。

如果您启用了以下某一远程访问 VPN 客户端：

• Check Point VPN客户端

• 移动客户端

• SSL VPN

则必须更改默认远程访问 VPN 端口：

1. 单击 "更改端口"链接。

   打开 "远程访问端口设置"窗口。

2. 在“远程访问端口”字段中输入新的端口号。

3. 选择“保留端口 443 以用于端口转发”。

4. 点击“应用”.

同一办公室模式池中远程访问 VPN 客户端之间的连接

要使从同一办公室模式池获取 IP 地址的远程访问 VPN 客户端之间能够进行连接，请执行以下步骤。

流程

1. 转到用户&对象 > 网络资源 > 网络对象。

2. 单击“新建”为办公室模式网络创建一个新的网络对象 代表企业拓扑结构不同部分的逻辑对象--计算机、IP地址、流量协议等。管理员在安全策略中使用这些对象。：

   1. 在“类型”菜单中选择“网络”。

   2. 在“网络地址”字段中，输入适用的网络 IP 地址。

   3. 在“子网掩码”字段中，输入所需的子网掩码。

   4. 在“对象名称”字段中，输入适用的名称。

      例如：OMPOOL。

   5. 点击“应用”.

3. 转到设备 > 高级 > 高级设置。

4. 配置参数“VPN 远程访问 - 启用反向连接”：

   1. 在顶部搜索栏中输入：

      VPN 远程访问 - 启用反向连接：

   2. 选择参数“VPN 远程访问 - 启用反向连接”，然后单击“编辑”。

   3. 选择“启用反向连接”选项。

   4. 点击“应用”.

5. 配置访问策略规则 规则库中的一组流量参数和其他条件，导致对一个通信会话采取指定的行动。，允许办公室模式网络中的计算机之间进行通信：

   1. 转到访问策略 > 防火墙 > 策略。

   2. 在“传入、内部和 VPN 流量”部分，单击“新建”。

   3. 配置此规则：

      来源	目的地	服务	操作	日志
      OMPOOL	OMPOOL	*Any	Accept	Log 或 None

   4. 点击“应用”.

6. 配置 NAT 策略规则，对办公室模式网络中计算机之间的流量禁用 NAT：

   1. 转到访问策略 > 防火墙 > NAT。

   2. 在“NAT 规则”部分，单击“查看 NAT 规则”。

   3. 点击“新建”.

   4. 配置此规则：

      原始源	原来的目的地	原始服务	转换来源	转换的目的地	转换服务
      OMPOOL	OMPOOL	*Any	*Original	*Original	*Original

   5. 点击“应用”.