設定遠端存取blade

在VPN>遠端存取>blade控制中，您可以通過網際網路在移動設備、家庭桌上型電腦和筆記本電腦等設備與組織之間建立安全的加密連線。

對於遠端存取 VPN 遠端存取使用者端（例如端點安全 VPN）和安全閘道之間的加密通道。，您必須使用認證設定設備上的使用者，並為指定的使用者設定所需的權限。該設備必須可從 Internet 訪問 UserCheck 規則動作可封鎖流量和檔案，並顯示 UserCheck 訊息。使用者可以同意允許該活動。。

強烈建議您先在設備上使用靜態 IP 位址設定 DDNS 或網際網路連線。如果您不使用靜態 IP 位址，則設備的 IP 位址可能會根據您的網際網路服務供應商而變更。DDNS 可讓家庭使用者透過主機名稱連線至組織，而不是可以變更的 IP 位址。如需詳細資訊，請參閱設備 > 系統 > DDNS & 設備存取 > DDNS。

若要設定 DDNS，請參閱設定DDNS和存取服務服務。

若要設定靜態 IP 位址，請參閱設定網際網路連線。

開始使用 VPN 遠端存取

1. 啟用 VPN 遠端存取刀鋒

   1. 前往 VPN > 遠端存取>刀鋒控制。

   2. 選取「開啟」。

   3. 強制性：選取「允許遠端存取使用者的流量」。

   4. 自選：選取記錄來自遠端存取使用者的流量。

   5. 自選：選取「要求使用者使用雙因素驗證確認其身分」。

      步驟

      雙因素身分驗證，也稱為多重驗證，這是一層額外的安全防護，防止 UserCheck 規則動作可封鎖流量和檔案，並可顯示 UserCheck 訊息。未經授權的訪問存取您的系統。閘道器通過電子郵件或 SMS 向用戶發送密碼，以允許用戶通過 VPN 進行連接。從 R81.10.07 開始，您還可以選擇使用Google Authenticator。

      要使用雙因素身份驗證，您必須配置遠程訪問權限，並提供電子郵件地址和手機號碼。

      注意 - 預設情況下，閘道將透過電子郵件和簡訊傳送密碼。

      對於簡訊，您可以使用 Check Point 簡訊供應商或外部簡訊供應商。如果客戶使用公開簡訊伺服器，系統管理員必須提供 SMTP 伺服器的使用者名稱和密碼，以及包含外部服務供應商 API 的動態網址。

      如要設定雙因素身分驗證：

      1. 在 VPN >遠程訪問>blade控制頁面，選擇要求使用者使用雙因素身份驗證確認其身份。

      2. 點擊配置。

         雙因素身份驗證設定視窗開啟。

      3. 選擇適用的選項：

         要選擇同時透過簡訊和電子郵件接收，請勾選兩個核取方塊。

         透過簡訊接收驗證

         1. 勾選簡訊核取方框。

         2. 如要使用 Check Point 簡訊，請選擇使用 Check Point 簡訊供應商服務。

         3. 若您選取「使用外部簡訊供應商」，請輸入下列欄位資訊：

            • DynamicID 網址。

            • 供應商使用者名稱。

            • 供應商密碼。

            • API ID。

            • 欲顯示的訊息 (選填)。

         透過電子郵件接收身份驗證

         1. 勾選電子郵件核取方塊。

         2. 選填：輸入要發送的訊息 。

         透過 SMB Cloud Service 接收身份驗證（Google Authenticator 應用程式）

         注意 - 使用者必須具有此選項配置的遠端訪問權限。

         1. 勾選使用 Google Authenticator 核取方塊。

         2. 點擊套用。

            SMB Cloud Service 會將包含 QR 碼的電子郵件發送到使用者配置的電子郵件地址。

         3. 使用 Google Authenticator 應用程式掃描 QR 碼。

         4. 出現一次性密碼 (OTP)。

            注意 - OTP 在 30 秒後失效。

         5. 將您的電腦連接到 VPN。輸入您的使用者名稱和密碼。

         6. 進行第二層驗證時，請在回覆欄位輸入 OTP。

         7. Cloud Service 會將 OTP 與應用程式 QR 碼顯示的 OTP 進行比較。若配對成功，表示您已連接至 VPN。

         在以下情況下， Cloud Service 會發送內含 OTP 的 QR 碼：

         • 已配置新的使用者。

         • 編輯現有使用者的資訊，例如新增電子郵件地址或使用者獲得遠端訪問權限。

         • 管理員決定所有使用者都必須使用 Cloud 身分驗證。

      4. 在「進階」索引頁籤的「Dynamic ID 設定」中，輸入：

         • 一次性密碼長度。

         • 距離密碼失效的時間 (以分鐘為單位)。

         • 重試次數上限。

      5. 在 國家/地區代碼下方，輸入預設國家/地區代碼。

      6. 點擊套用。

      如要使用雙因素身分驗證登入：

      1. 連結至您的 VPN。

      2. 您會收到一條 DynamicID 一次性密碼 (OTP) 提示，該密碼會以簡訊形式發送到您的手機，或者直接發送到您的電子郵件帳號，或者通過掃描 QR 碼。

      註解： VPN 雙因素身份驗證是針對每個閘道，而不是管理員。 當您開啟雙因素驗證時，您將為所有 VPN 使用者端開啟這項功能。這表示所有 VPN 使用者都必須配置用於連結的手機號碼和電子郵件地址。

   6. 在「VPN 遠端存取用戶可以通過」的部分，選擇適用的遠端存取 VPN 客戶端：

      • Cehck Point VPN 客戶端 - 在您的桌面或筆記型電腦上安裝一個 VPN 客戶端。

      • 移動客戶端 - 在您的智慧型手機或平板電腦（iOS 或 Android）上進行連接。

      • SSL VPN - 透過 SSL VPN 連線。在您的網頁瀏覽器中輸入 IP 位址。

      • Windows VPN 用戶端 - L2TP。對於 Windows 或 Mac，請使用預先共用金鑰進行連線。如需指示，請點選「如何連線」。

      設定 VPN 遠端存取方法：

      1. 選中所需方法旁邊的複選框，然後點選 如何連線...

         使用情況 視窗開啟。

      2. 按照螢幕上的說明進行操作。

      3. 關閉視窗。

      4. 點擊套用.

   7. 在頁面底部，點擊 套用。

   注意 - 當遠端存取   VPN 刀鋒由雲端服務管理時，會出現鎖定圖示。您無法在開和關狀態之間切換。如果您更改其他政策設定，則更改是臨時的。在閘道器與雲端服務之間的下一次同步處理時，系統會覆寫您在本機所做的任何變更。

2. 設定遠端存取 VPN 的使用者和使用者群組

   請遵循適用的程序：

   新增本機使用者

   1. 前往VPN >遠端存取 > 遠端存取使用者。

   2. 點擊新增.

      新增本地使用者 視窗打開。

   3. 在欄位中輸入必要資訊。

      注意-電子郵件和電話號碼欄位是非必填的。但是，如果您想要授與此使用者遠端存取 VPN 權限，則在遠端存取 VPN 連線期間，雙因素驗證是必要的資訊。

   4. 選擇 遠端存取權限。

   5. 點擊套用.

   從 Active Directory/RADIUS 添加新用戶

   您可以使用 Active Directory 或 RADIUS 伺服器來自動填充您的使用者和群組 具有共用屬性的物件集合，例如使用者帳號。。

   請參閱設定遠端存取驗證伺服器。

   若要查看已定義驗證伺服器的表格，請前往 VPN > 遠端存取 > 驗證伺服器。

   設定現有的本機使用者

   1. 點選表格中的使用者名稱，然後點選編輯。

      您也可以按兩下使用者名稱。

   2. 選擇 遠端存取權限。

   3. 點擊確定.

   為現有本機使用者/使用者群組設定權限

   1. 點選編輯權限。

   2. 在頂端點選適用的篩選器：

      • 點選使用者以查看本機設定的使用者。

      • 點選 Active Directory，以查看 Active Directory 伺服器上設定的使用者群

   3. 在左欄中，選取適用使用者名稱/使用者群組 具有相關職責的已命名使用者群組。附近的複選框。

   4. 點擊套用.

3. 監控遠端存取 VPN

   • 若要查看目前已連線的遠端用戶，請前往VPN > 遠端訪問 > 已連線的遠端用戶。

   • 若要查看目前的遠端存取 VPN 通道，請移至記錄檔& 監控 > 狀態 > VPN 通道。

   • 若要查看目前已連線的遠端訪問VPN用戶的流量，請前往日誌 & 監控 > 日誌 > 安全日誌（在 VPN > 遠端存取 > Blade 控制頁面上，您必須選擇記錄遠端訪問用戶的流量）。

進階選項

如需詳細資訊，請參閱設定進階遠端存取選項。

變更預設遠端存取 VPN 連接埠

步驟

預設的遠端存取 VPN 連接埠為 TCP 443。如果您將設備上的 WebUI 設定為在 TCP 連接埠 443 上運作，則VPN > 遠端存取 > 刀鋒控制頁面上會顯示衝突訊息。

如果您啟用下列其中一個遠端存取 VPN 用戶端：

• Check Point VPN 客戶端

• 行動用戶端

• SSL VPN

然後，您必須更改默認的遠端存取 VPN 連接埠：

1. 單擊 更改連接埠 連結。

   遠端訪問埠設定 視窗開啟。

2. 在遠端存取連接埠欄位中，輸入新的連接埠號碼。

3. 選取保留連接埠 443 進行連接埠轉送。

4. 點擊套用.

相同辦公室模式集區中的遠端存取 VPN 用戶端之間的連線

請遵循此程序，允許從相同辦公室模式集區取得 IP 位址的遠端存取 VPN 用戶端之間的連線。

步驟

1. 前往 使用者&物件 >網路資源>網路對象。

2. 點擊 新建 為辦公模式網路創建一個新的網路物件 代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。：

   1. 在 「類型」選單中，選取網路。

   2. 在 「網路位址」欄位中，輸入適用的網路 IP 位址。

   3. 在 「子網路遮罩」欄位中，輸入必要的子網路遮罩。

   4. 在「物件名稱」欄位中，輸入適用的名稱。

      例如：OMPOOL。

   5. 點擊套用.

3. 前往設備 > 進階 > 進階設定。

4. 設置參數VPN 遠端存取 - 啟用回連接：

   1. 在頂端的搜尋欄位中，輸入：

      VPN 遠端存取 - 啟用後退連線。

   2. 選取參數 VPN 遠端存取-啟用後退連線，然後按一下編輯。

   3. 選擇啟用後退連接選項。

   4. 點擊套用.

5. 設定存取原則規則 規則庫中的一群組流量參數和其他條件，可導致針對通訊工作階段採取指定的動作。，以允許 Office 模式網路中電腦之間的流量：

   1. 前往存取策略>防火牆>策略。

   2. 在Incoming、Internal 和 VPN 流量部分，點擊新建。

   3. 設定此規則：

      來來源	目的地	服務	行動	日誌
      OMPOOL	OMPOOL	*Any	Accept	Log，或 None

   4. 點擊套用.

6. 設定 NAT 原則規則，以停用 Office 模式網路中電腦之間的流量上的 NAT：

   1. 前往存取策略 > 防火牆 > NAT。

   2. 在「NAT 規則」區段中，點選「檢視 NAT 規則」。

   3. 點擊新增.

   4. 設定此規則：

      原始來源	原目的地	原始服務	轉換來來源	轉換目的地	轉換服務
      OMPOOL	OMPOOL	*Any	*Original	*Original	*Original

   5. 點擊套用.