要添加一个新的VPN站点：

1. 点击“新建”.

   新建VPN站点窗口在远程站点标签中打开。

2. 输入网站名称。

3. 选择连接类型：

   • 主机名称或IP地址- 输入IP地址或主机名称。

     如果你选择了IP地址，并且有必要配置一个静态NAT的IP地址，选择 "静态NAT背后 "并输入IP地址。

     注意- 静态NAT背后只适用于IPv4地址。

   • 高可用性或负载共享- 配置一个备份IP地址列表，以备发生故障（高可用性）或分配数据（负载共享）。该设备使用探测来监测远程站点的IP地址。在高可用性中，你可以把其中一个IP地址配置为主地址。

     当你选择这个选项时，你必须在"高级"选项卡上配置一个探测方法。探测方法监测哪些IP地址用于VPN：持续或一次一个：

     点击 "新建"来添加一个IP地址，如果有必要的话，为高可用性设置一个主IP地址。

   • 只有远程站点启动VPN- 连接只能从远程站点启动到该设备。例如，当远程站点隐藏在一个NAT设备后面时。在这种情况下，该设备只对隧道启动请求做出响应。这需要一个安全的远程站点认证和识别方法。

4. 选择一个认证方法。这必须与你用来配置本设备作为其他网关的远程站点的认证相匹配。

   • 预设密码- 如果你选择这个选项，请输入与远程网关中配置的相同的密码并确认。

     注意- 您不能在密码或共享秘密中使用这些字符：{ } [ ] ` ~ | ‘ " \ （最大字符数：255)

   • 证书- 网关使用自己的证书来认证自己。欲了解更多信息，请参见VPN > 内部证书。

5. 选择远程站点加密域。配置条件，对流量进行加密并发送至该远程站点。

   • 手动定义远程网络拓扑结构- 当目的地被包括在网络对象 代表企业拓扑结构不同部分的逻辑对象--计算机、IP地址、流量协议等。管理员在安全策略中使用这些对象。列表中时，流量会被加密。点击”选择“，选择代表远程站点内部网络的网络。点击”新建“来创建网络对象。

   • 将所有流量通过这个站点- 所有流量都被加密并发送到这个远程站点。你不能配置一个以上的远程站点。

     配置了“路由所有流量”后，你可以将一个网络对象从VPN流量中排除。

     要排除网络对象或特定IP地址：

     1. 点击“排除网络”。

     2. 在远程站点路由拓扑结构排除表中：

        • 要添加一个新的网络对象和IP地址，请点击“新建”。

        • 要从排除表中删除一个对象，选择对象名称并点击“删除”。

     3. 点击“应用”

   • 根据路由表加密- 如果你使用动态路由，则根据源或服务和目的地对流量进行加密。你必须在设备 > 本地网络页面创建一个虚拟隧道接口（VTI），并将其与这个远程站点相关联。然后你可以使用这个VTI来创建路由规则 规则库中的一组流量参数和其他条件，导致对一个通信会话采取指定的行动。。符合这些路由规则的流量会被加密并路由到远程站点。

   • 隐藏在远程网关的外部IP后面- 如果远程站点在NAT后面，并且流量从远程站点后面发起到这个网关。选择这个选项后，就没有必要定义一个加密域。

6. 排除网络- 选择此选项可将网络从指定的加密域中排除。如果两个网关在同一个社区，并保护网络的相同部分，这可能是有用的。

7. 点击“应用”

• 设置

  • 选择以配置远程站点是否是Check Point安全网关。要启用永久VPN隧道，请选择复选框。

  • 选择禁用此站点的NAT。即使定义了隐藏NAT，也会使用原来的IP地址。

• 加密方法

  选择 IKE 版本：

  IKE版本	注意事项
  IKEv1	IKE协商的模式是主模式和积极模式。 对于IKE协商，主模式使用六个数据包，积极模式使用三个数据包。 我们建议你使用主模式，这更安全。 默认情况下，不选择“启用积极模式”，而是使用主模式。 只有在必要时才启用积极模式，而且VPN隧道的另一端不支持主要模式。(第三方网关主要不在主模式下工作）。 积极模式用于创建一个隧道，其中一个网关位于NAT后面。在这种情况下，预共享密钥不能为主模式的认证提供足够的数据。认证必须使用证书和网关（对等体）ID，或在积极模式中可用的辅助标识符夫妇。IKEv2中也有二级标识符的方法。 如果你选择启用IKEv1的积极模式： 使用Diffie-Hellman组- 确定IKE阶段1中使用的共享DH密钥的强度，以便为IKE阶段2交换密钥。一个有更多比特的组可以确保更强大的密钥，但性能较低。 使用该网关的标识符启动VPN隧道- 当该网关的IP地址是动态的，并且认证方法是证书和对等体ID时，你必须输入网关ID。对于类型，选择域名或用户名称。
  IKEv2	当你创建一个隧道，其中一个网关在NAT后面，没有证书（使用预共享的密钥），用IKEv2协议，你可以使用一个二级标识符夫妇来允许认证。 在这种情况下，预共享密钥是不够的。 如果你选择“使用这些标识符创建IKEv2 VPN隧道”，请配置这些设置： 对方ID- 输入标识符。 网关ID- 选择使用全局标识符或覆盖全局标识符（输入新标识符）。
  首选IKEv2，但也支持IKEv1	按照前两个选项的解释配置字段。 额外的证书匹配（当你使用预共享的密钥时不适用）： 当你在“远程站点”选项卡选择“证书匹配”时，首先需要在VPN > 受信任的CA 证书(Certificates Trusted CAs)页面中添加签署远程站点证书的CA。 在 "高级"选项卡中，你可以选择将证书与任何受信任的 CA或内部 CA 匹配。 你还可以在证书上配置更多的匹配标准。 探测方法 只有当你在远程站点选项卡中为连接类型选择高可用性或负载共享时，才会显示这一部分。 当远程站点有多个VPN流量的IP地址时，通过这些探测方法之一发现VPN的正确地址： 持续探测- 当一个会话开始时，所有可能的目标IP地址都会持续接收RDP数据包，直到其中一个地址作出回应。连接会通过第一个响应的IP（如果为高可用性配置了一个主IP，则连接到一个主IP），并停留在这个IP上，直到该IP停止响应。当一个连接被打开时，RDP探测被激活，并继续一个背景进程。 一次性探测- 当一个会话开始时，所有可能的目标IP地址都会收到一个RDP会话以测试路由。第一个响应的IP被选择，并保持选择，直到VPN配置改变。

注意事项： 关于安装证书的更多信息，请参阅“管理已安装的证书”。 发起者的网关ID必须在响应者的网关中设置为对等体ID。 必须启用远程访问刀片才能使对等人ID发挥作用。 在不在NAT后面的网关上，对于连接类型，选择只有远程站点启动VPN。 当你配置远程站点时，不要选择静态NAT后面。

最初的隧道测试是从远程站点开始的。如果你还没有配置，请点击跳过。该VPN站点被添加到表中。