配置远程访问刀片

VPN视图 >远程访问部分 >刀片控制页面上,你可以通过互联网在移动设备、家用台式机和笔记本电脑等设备与组织之间建立安全加密连接。

对于远程访问 VPN,必须为设备上的用户配置凭证,并为指定用户配置所需权限。必须可以从互联网访问该设备。

我们强烈建议您首先在设备上配置 DDNS 或带有静态IP地址的互联网连接。如果不使用静态 IP 地址,则设备的 IP 地址可能会根据互联网服务提供商而变化。DDNS 让家庭用户可以通过域名连接到组织,而不是使用可能会变化的 IP 地址。有关更多详细信息,请参阅设备视图 >系统部分 > DDNS和设备访问页面 > DDNS部分。

要配置DDNS,请参阅配置DDNS和访问服务

要配置静态 IP 地址,请参阅配置互联网连接

注意 - 远程访问 VPN 仅支持来自 IPv4 地址的连接。

远程访问 VPN 入门

    1. 转至VPN视图 >远程访问部分 >刀片控制页面。

    2. 选择“开启”。

    3. 强制:选择允许来自远程访问用户的流量

    4. 可选:选择记录来自远程访问用户的流量

    5. 可选:选择要求用户使用双重身份验证来确认其身份

      双重身份验证(也称为多重身份验证)是额外的安全层,用于防止对你的系统进行未经授权的访问。网关通过电子邮件或短信向用户发送密码,以使用户可通过 VPN 进行连接。从 R81.10.07 开始,你也可以选择使用谷歌认证器。

      要使用重身份验证,你必须配置远程访问权限,并提供电子邮件地址和手机号码。

      如需接收短信,你可以使用 Check Point 短信提供商或外部短信提供商。如果客户使用公共短信服务器,管理员必须提供 SMTP 服务器的用户名和密码以及包含外部服务提供商 API 的动态 URL。

      注意事项

      • 默认情况下,网关通过电子邮件和短信发送密码。

      • L2TP和SNX不支持双重身份验证。

        为了确保这些连接有效,请在Gaia Clish关闭 Gaia CLI的默认shell中运行以下命令:

        set vpn remote-access advanced allow-older-clients true

      要配置双重身份认证,请执行以下操作:

      1. VPN视图 >远程访问部分 >刀片控制页面上,选择要求用户使用双重身份验证确认其身份

      2. 单击 配置

        弹出“双因素认证设置”窗口。

      3. 选择适用的选项:

        注意- 身份验证方法是全局设置,这意味着它对所有用户和用户组强制生效。

        从R81.10.15开始,你可以选择为本地用户和AD用户组覆盖双重身份验证和路由全部流量的全局设置。为每个用户(本地或 AD 组)设置策略配置远程访问用户页。

        要选择通过短信和电子邮件接收,请同时选中这两个复选框。

        1. 选择“短信”复选框。

        2. 要使用Check Point短信,请选择使用Check Point短信提供商服务

        3. 如选择使用外部短信提供商,请输入以下字段信息:

          • 动态ID URL

          • 供应商用户名

          • 供应商密码

          • API ID

          • 要显示的信息(可选)。

        1. 选择电子邮件复选框。

        2. 可选:输入要发送的消息

        注意- 用户必须具有为此选项配置的远程访问权限。

        1. 选择使用谷歌认证器复选框。

        2. 点击保存

          SMB云服务将包含二维码的电子邮件发送到为用户配置的电子邮件地址。

        3. 用Google认证器应用程序扫描二维码。

        4. 显示一次性密码(OTP)。

          注意 - OTP 将在 30 秒后过期。

        5. 在你的电脑上连接至VPN。输入用户名和密码。

        6. 对于第二次认证,请在响应字段中输入 OTP。

        7. 云服务会将 OTP 与应用程序中的二维码所代表的 OTP 进行比较。如果匹配,则表示你已连接至VPN。

        云服务会在以下情况发送带有 OTP 的二维码:

        • 配置了一个新用户。

        • 编辑现有用户的信息,如添加新的电子邮件地址或用户获得远程访问权限。

        • 管理员决定所有用户必须使用云身份验证。

      4. 高级选项卡中的动态 ID 设置下方,输入:

        • 一次性密码的长度。

        • 密码过期时间(分钟)。

        • 最大重试次数。

      5. 在“国家代码”下方,输入默认的国家代码。

      6. 点击保存

      要使用双重身份验证登录,请执行以下从操作:

      1. 连接到你的VPN。

      2. 系统会提示你输入动态 ID 一次性密码(OTP),该密码以短信形式发送至你的手机或电子邮件帐户,或通过二维码扫描获得。

      注意事项

      • VPN双重身份验证是针对每个网关,而不是针对管理员。

      • 启用双重身份验证后,你将为所有 VPN 客户端启用它。这意味着所有 VPN 用户必须具有配置好的手机号码和电子邮件地址,以进行连接。

    6. 可选:在 R81.10.15 及更高版本中:配置计划以启用或禁用远程访问 VPN 刀片。参见远程访问 VPN 调度程序.‎

    7. 可选:在 R81.10.15 及更高版本中:配置允许/阻止关闭 UserCheck规则操作可阻止流量和文件并显示UserCheck消息。列表以允许或阻止来自特定来源的远程访问 VPN 流量。参见允许或阻止来自特定来源的远程访问VPN流量

    8. 在“ VPN 远程访问用户可以通过其连接”部分中,选择适用的远程访问 VPN 客户端。

      支持的远程访问 VPN 客户端包括:

      • Check Point VPN 客户端- 在你的台式机或笔记本电脑上安装 VPN 客户端。

      • 移动客户端 - 通过智能手机或平板电脑(iOS 或 Android 系统)连接。

      • SSL VPN- 通过 SSL VPN 连接。在网络浏览器中输入 IP 地址。

      • Windows VPN 客户端- L2TP。对于 Windows 或 macOS,使用预共享密钥连接。有关具体说明,请点击“如何连接”。

      要配置远程访问 VPN 方法:

      1. 选中所需方法旁边的复选框,然后单击如何连接

        使用方法”窗口打开。

      2. 按照屏幕上的说明提示进行操作。

      3. 关闭窗口。

      4. 点击保存

    9. 在页面底部,单击保存

    说明- 当远程访问 VPN 刀片由云服务管理时,会出现一个锁定图标。你无法在开启关闭状态之间切换。如果你改变其他策略设置,该改变是暂时的。您在本地所做的任何更改都将在网关与云服务之间的下一次同步中被覆盖。

  2. 遵循适用的程序:

    1. 转到VPN视图 >远程访问部分 >远程访问用户页面。

    2. 点击“添加”。

      此时将打开“新建本地用户”窗口。

    3. 在字段中输入所需信息。

      注意 -“电子邮件”和“电话号码”字段为可选项。但是,如果要为该用户授予远程访问 VPN 的权限,则在远程访问 VPN 连接时需要使用此信息进行双因素身份验证。

    4. 远程访问权限中,选择适用的选项。

    5. 点击保存

    您可以使用 Active Directory 或 RADIUS 服务器自动填充用户和组。

    参见配置远程访问的身份验证服务器

    要查看已定义的身份验证服务器的表,请转到VPN视图 >远程访问部分 >身份验证服务器页面。

    1. 单击表中的用户名,然后单击“编辑”。

      您也可以双击用户名。

    2. 选择“远程访问权限”。

    3. 单击“确定”。

    1. 单击“编辑权限”。

    2. 在顶部,点击适用的过滤器:

      • 单击“用户”查看本地配置的用户。

      • 单击“Active Directory”查看 Active Directory 服务器上配置的用户组。

    3. 在左栏中,选择相应用户名/用户组旁边的复选框。

    4. 点击保存

    • 要查看当前连接的远程用户,请转到VPN视图 >远程访问部分 >已连接的远程用户页面。

    • 要查看当前的远程访问 VPN 隧道,请转到日志和监控视图 >状态部分 > VPN 隧道页面。

    • 要查看当前连接的远程访问 VPN 用户的流量,请转到日志和监控视图 >日志部分 >安全日志页面。

      说明 - 在VPN视图 >远程访问部分 >刀片控制页面上,你必须选择记录来自远程访问用户的流量

远程访问 VPN 调度程序

从R81.10.15版本开始:通过远程访问VPN关闭 远程访问客户端(例如Endpoint Security VPN)和安全网关之间的加密隧道。调度器,您可以将VPN远程访问配置为仅在特定时间段内启用,例如在正常工作时间内。

VPN远程访问控制页面上,远程访问VPN状态显示在远程访问部分的底部。

  • VPN远程访问已启用

  • 由于VPN调度程序,VPN远程访问处于未启用状态

  • VPN远程访问VPN调度程序未配置

在VPN远程访问控制页面的远程访问部分中:

  1. 单击可用选项:

    • 如果你尚未启用调度程序,WebUI将显示以下行:

      远程访问VPN调度程序未配置

      单击此行末尾的配置

    • 如果你已经启用了调度程序,WebUI将显示以下行:

      由于当前调度程序配置,远程访问VPN处于非活动状态

      单击此行中的链接调度程序

    打开远程访问VPN调度程序窗口。

  2. 要启用此功能,请移动滑块远程访问VPN调度程序已启用

    滑块变为绿色。

  3. 定义的时间间隔内,远程访问VPN将会行中,选择适用的操作:

    • 活动- 在配置的小时和日期内启用远程访问VPN刀片。

    • 非活动(这是默认设置)- 在配置的小时和天数内禁用远程访问VPN刀片。

  4. 可选:选择当调度程序关闭远程访问VPN时断开VPN用户的连接

  5. 点击“新建”。

  6. 配置计划并单击保存

    1. 开始时间

    2. 结束时间

  7. 点击保存

在VPN远程访问控制页面的远程访问部分中:

  1. 远程访问VPN由于当前调度程序配置而处于非活动状态行中,单击链接调度程序

  2. 单击时间表。

  3. 点击“编辑”。

  4. 配置适用的设置并单击保存

  5. 点击保存

在VPN远程访问控制页面的远程访问部分中:

  1. 远程访问VPN由于当前调度程序配置而处于非活动状态行中,单击链接调度程序

  2. 单击时间表。

  3. 点击“删除”。

  4. 点击“删除”确认。

  5. 点击保存

允许或阻止来自特定来源的远程访问VPN流量

从R81.10.15开始,你可以阻止或允许来自选定对象的流量,包括网络对象关闭 代表公司拓扑结构不同部分的逻辑对象 - 电脑、IP地址、流量协议等。管理员在安全策略中使用这些对象。可更新对象关闭 代表外部服务的网络对象,例如Microsoft 365、AWS、地理位置等。(地理位置)。

在VPN远程访问控制页面的远程访问部分中:

  1. 单击可用选项:

    • 如果你尚未启用允许/阻止列表,WebUI将显示以下行:

      不允许/阻止特定对象的访问

      单击此行末尾的配置

    • 如果你已经启用允许/阻止列表,WebUI会显示以下行:

      仅允许从选定对象进行访问

      单击此行中的链接选定对象

    远程访问VPN允许/阻止列表窗口打开。

  2. 要启用此功能,请移动滑块远程访问VPN允许/阻止列表已启用

    滑块变为绿色。

  3. 以下来源的流量将是行中,选择适用的操作:

    • 允许(这是默认设置)- 仅允许来自选定对象的流量并阻止来自所有其他来源的流量。

    • 阻止- 仅阻止来自选定对象的流量并允许来自所有其他来源的流量。

  4. 单击+添加并选择网络对象地理位置

    重要提示- 默认情况下,此列表为空。确保选择适用的对象以防止不必要的行为 - 允许所有流量或阻止所有流量。

    1. 单击地理位置

      将打开导入可更新重要对象窗口。

    2. 搜索字段中输入适用的文本,然后选中出现的相关大洲和国家旁边的复选框。

      说明 - 此列表中支持选定的地理位置对象的最大数量为100。参见sk182654

    3. 点击保存

    1. 单击网络对象

      将打开选择网络对象窗口。

    2. 点击“新建”。

      打开 "新建网络对象"窗口。

    3. 对于类型,从菜单中选择以下之一:

      • 单一IP

      • IP范围

      • 网络

      • 通配符

    4. 输入对象的名称

    5. 输入网络地址子网掩码

    6. 点击保存

在VPN远程访问控制页面的远程访问部分中:

  1. 仅允许访问选定对象行中,单击选定对象链接。

  2. 在列表中,单击要删除的对象。

    每次只能选择一个对象。

  3. 在工具栏中,单击删除

  4. 点击保存

高级选项

更多信息,请参阅配置高级远程访问选项

更改默认远程访问 VPN 端口

Quantum Spark Gateway上的默认远程访问VPN端口是TCP 443。如果你将设备上的WebUI配置为也在TCP端口443上工作,则VPN视图 >远程访问部分 >刀片控制页面上会出现冲突消息

如果您启用了以下某一远程访问 VPN 客户端:

  • Check Point VPN客户端

  • 移动客户端

  • SSL VPN

则必须更改默认远程访问 VPN 端口:

  1. 单击 "更改端口"链接。

    打开 "远程访问端口设置"窗口。

  2. 在“远程访问端口”字段中输入新的端口号。

  3. 选择“保留端口 443 以用于端口转发”。

  4. 点击保存

同一办公室模式池中远程访问 VPN 客户端之间的连接

要使从同一办公室模式池获取 IP 地址的远程访问 VPN 客户端之间能够进行连接,请执行以下步骤。

  1. 转到用户和对象视图 >网络资源部分 >网络对象页面。

  2. 单击“新建”为办公室模式网络创建一个新的网络对象:

    1. 在“类型”菜单中选择“网络”。

    2. 在“网络地址”字段中,输入适用的网络 IP 地址。

    3. 在“子网掩码”字段中,输入所需的子网掩码。

    4. 在“对象名称”字段中,输入适用的名称。

      例如:OMPOOL

    5. 点击保存

  3. 转到设备视图 >高级部分 >高级设置页面。

  4. 配置参数“VPN 远程访问 - 启用反向连接”:

    1. 在顶部搜索栏中输入:

      VPN 远程访问 - 启用反向连接

    2. 选择参数“VPN 远程访问 - 启用反向连接”,然后单击“编辑”。

    3. 选择“启用反向连接”选项。

    4. 点击保存

  5. 配置访问策略规则关闭 规则库中的一组流量参数和其他条件,用于对通信会话采取指定的操作。,允许办公室模式网络中的计算机之间进行通信:

    1. 转至访问策略视图 >防火墙部分 >策略页面。

    2. 在“传入、内部和 VPN 流量”部分,单击“新建”。

    3. 配置此规则:

      目的地

      服务

      操作

      日志

      OMPOOL

      OMPOOL

      *Any

      Accept

      Log, 或None

    4. 点击保存

  6. 配置 NAT 策略规则,对办公室模式网络中计算机之间的流量禁用 NAT:

    1. 转到访问策略视图 >防火墙部分 > NAT页面。

    2. 在“NAT 规则”部分,单击“查看 NAT 规则”。

    3. 点击“新建”。

    4. 配置此规则:

      原始来源

      原始目标

      原始服务

      转换来源

      转换目标

      转换服务

      OMPOOL

      OMPOOL

      *Any

      *Original

      *Original

      *Original

    5. 点击保存