設定遠端存取blade

在VPN檢視 >遠端存取部分 >刀鋒控制頁面上可用網際網路在行動裝置、家用桌上型電腦和筆記型電腦等裝置與組織建立安全加密連線。

對於遠端存取 VPN，您必須使用認證設定設備上的使用者，並為指定的使用者設定所需的權限。該設備必須可從 Internet 訪問用於封鎖流量和檔案並顯示UserCheck訊息的UserCheck規則動作。使用者可以同意允許活動。。

強烈建議您先在設備上使用靜態 IP 位址設定 DDNS 或網際網路連線。如果您不使用靜態 IP 位址，則設備的 IP 位址可能會根據您的網際網路服務供應商而變更。DDNS 可讓家庭使用者透過主機名稱連線至組織，而不是可以變更的 IP 位址。更多相關資訊，請參閱裝置檢視 >系統部分 > DDNS 和裝置存取頁面 > DDNS部分。

若要設定 DDNS，請參閱配置DDNS和访问服务.

若要設定靜態 IP 位址，請參閱インターネット接続の設定.

注意-遠端存取 VPN 僅支援來自 IPv4 位址的連線。

開始使用遠端存取 VPN

啟用遠端存取 VPN 刀鋒並設定功能

前往VPN檢視 >遠端存取部分 >刀鋒控制頁面。
選取「開啟」。
強制：選擇允許遠端存取使用者的流量。
可選：選擇「記錄遠端存取使用者的流量」。

可選：選擇要求使用者使用雙重認證來驗證身分。

手續

2要素認証(多要素認証とも呼ばれる)は、システムへの不正アクセスを防止するためのセキュリティの追加レイヤです。ゲートウェイは、EメールまたはSMSでユーザにパスコードを送信し、ユーザがVPNで接続できるようにします。R81.10.07より、Google Authenticatorの使用も選択できるようになりました。

2要素認証を使用するには、リモートアクセス権限が設定されている必要があります。これは、Eメールアドレスと携帯電話番号を使用して設定します。

SMSについては、Check Point SMSプロバイダまたは外部SMSプロバイダを使用できます。お客様がパブリックSMSサーバを使用している場合は、管理者はSMTPサーバのユーザ名とパスワード、および外部サービスプロバイダのAPIを含む動的URLを提供する必要があります。

注

デフォルトでは、ゲートウェイはパスコードをEメールとSMSの両方で送信します。
L2TPとSNXは2要素認証に対応していません。

これらの接続が機能することを確認するには、Gaia Clish Gaia CLI的預設殼層で次のコマンドを実行します：

set vpn remote-access advanced allow-older-clients true

2要素認証を設定するには

VPNビュー>リモートアクセスセクション >ブレードコントロールページで、2ファクタ認証を使用した ID 確認をユーザに求めるを選択します。
［設定］をクリックします。

2要素認証設定ウィンドウが開きます。

該当するオプションを選択します。

注 - 認証方法はグローバル設定であり、すべてのユーザとグループに適用されます。

R81.10.15から、ローカルユーザとADグループの2要素認証とすべてのトラフィックをルーティングのグローバル設定を上書きするように選択できます。以下で個々のユーザ（ローカルまたはADグループ）ごとにポリシーを設定する：リモートアクセスユーザの設定ページ。

SMSとEメールの両方で受信することを選択する場合は、両方のチェックボックスをオンにします。

SMSで認証を受ける場合

SMSチェックボックスをオンにします。
Check Point SMS を使用するには、「プロバイダサービスを使用する」を選択します。
［外部SMSプロバイダを使用する］を選択した場合、以下のフィールドに情報を入力します。
- DynamicID URL
- プロバイダユーザ名
- プロバイダのパスワード
- API ID
- 表示するメッセージ(オプション)。

SMBクラウドサービス（Google Authenticatorアプリケーション）による認証を受けるには

注 - このオプションを使用するには、ユーザにリモートアクセス権限が設定されている必要があります。

［Google Authenticatorを使用する］チェックボックスをオンにします。
［保存］をクリックします。。

SMBクラウドサービスは、ユーザに設定されたEメールアドレスに、QRコードを含むEメールを送信します。
Google AuthenticatorアプリケーションでQRコードを読み取ります。

ワンタイムパスワード（OTP）が表示されます。

注 - OTPは30秒後に失効します。

コンピュータでVPNに接続します。ユーザ名とパスワードを入力します。
2回目の認証では、［レスポンス］フィールドにOTPを入力します。
クラウドサービスは、OTPとアプリケーションのQRコードで表されるOTPを比較します。一致すれば、VPNに接続されます。

クラウドサービスは、以下のような場合にOTPを含むQRコードを送信します。

新しいユーザを設定する場合。
新しいEメールアドレスの追加やユーザへのリモートアクセス権限の付与など、既存のユーザ情報を編集する場合。
管理者は、すべてのユーザがクラウド認証を使用しなければならないと決定します。

［詳細］タブの［動的ID設定］の下に、以下の内容を入力します。
- ワンタイムパスワードを長さ
- パスワードの期限が切れるまでの時間(分)
- 再試行の最大数
［国コード］で、デフォルトの国コードを入力します。
［保存］をクリックします。。

2要素認証でサインインするには

VPNに接続します。
動的IDのワンタイムパスワード（OTP）を携帯電話にSMSで送信するか、Eメールアカウントに直接送信するか、QRコードをスキャンすることでプロンプトが表示されます。

注

VPNの2要素認証はゲートウェイごとで、管理者ではありません。
2要素認証をオンにすると、すべてのVPNクライアントに対して有効になります。つまり、すべてのVPNユーザは、接続用の設定済み携帯電話番号とEメールアドレスを持っている必要があります。

可選：在 R81.10.15以上版本中：設定排程器來開關遠端存取 VPN 刀鋒。查看遠端存取 VPN 排程程式。
可選：在 R81.10.15以上版本中：設定允許或阻止清單，允許或阻止特定來源的遠端存取 VPN 流量。查看允許或阻止特定來源的遠端存取 VPN 流量.
在「VPN 遠端存取使用者可以用連線」部分中，選擇遠端存取 VPN 應用程式的用戶端。
手續
支援的遠端存取 VPN 用戶端包括：
- Check Point VPN 用戶端：在桌上型電腦或筆記型電腦上安裝 VPN 用戶端。
- 移動客戶端 - 在您的智慧型手機或平板電腦（iOS 或 Android）上進行連接。
- SSL VPN - 透過 SSL VPN 連線。在您的網頁瀏覽器中輸入 IP 位址。
- Windows VPN 用戶端 - L2TP。Windows 及 macOS 可用預先共用的金鑰連線。如需指示，請點選「如何連線」。
若要設定遠端存取 VPN 的方法：
1. 勾選所需方法，然後按一下連線方式。
  
  使用情況視窗開啟。
2. 按照螢幕上的說明進行操作。
3. 關閉視窗。
4. ［保存］をクリックします。.
在頁面最下面，按一下「儲存」。

注意事項：當遠端存取 VPN 刀鋒由Cloud Service管理時，會出現鎖定圖示。您無法在開和關狀態之間切換。如果您更改其他政策設定，則更改是臨時的。在閘道器與雲端服務之間的下一次同步處理時，系統會覆寫您在本機所做的任何變更。

設定遠端存取 VPN 的使用者和使用者群組

請遵循適用的程序：

新增的本機使用者

前往VPN檢視 >遠端存取部分 >遠端存取使用者頁面。
［追加］をクリックします。.

新增本地使用者視窗打開。

在欄位中輸入必要資訊。

注意-電子郵件和電話號碼欄位是非必填的。但是，如果您想要授與此使用者遠端存取 VPN 權限，則在遠端存取 VPN 連線期間，雙因素驗證是必要的資訊。

在遠端存取權限中勾選適合選項。
［保存］をクリックします。.

監控遠端存取 VPN
- 若要檢視目前連線的遠端使用者，請前往VPN檢視 >遠端存取部分 >已連線的遠端使用者頁面。
- 若要檢視目前的遠端存取 VPN 通道，請前往紀錄和顯示器檢視 >狀態部分 > VPN 通道頁面。
- 若要檢視目前連線的遠端存取 VPN 使用者的流量，請前往紀錄和顯示器檢視 >紀錄部分 >安全性紀錄頁面。
  
  注意事項：在VPN檢視 >遠端存取部分 >刀鋒控制頁面上，須選擇「記錄遠端存取使用者的流量」。

遠端存取 VPN 排程程式

R81.10.15以降：リモートアクセスVPNスケジューラを使用すると、通常の営業時間など特定の時間帯のみVPNリモートアクセスを有効にするように設定できます。

VPNリモートアクセス制御ページでは、リモートアクセスセクションの下部にリモートアクセスVPNのステータスが表示されます。

VPNリモートアクセスが有効
VPN スケジューラが原因でVPNリモートアクセスが無効になっている
VPNリモートアクセスVPNスケジューラが設定されていない

設定新的遠端存取 VPN 排程器

在 VPN遠端存取的遠端存取控制頁面部分：

按一下可用選項：
- 如果尚未啟用排程器，WebUI 將會顯示這一行：
  
  遠端存取 VPN 排程器未設定
  
  按一下行尾的設定。
- 如果已經啟用排程器，WebUI 將顯示這一行：
  
  由於目前排程器設定，遠端存取 VPN 為活動
  
  按一下文字中的排程器連結。
開啟遠端存取 VPN 排程器視窗。
若要啟用這個功能，請撥開滑桿「遠端存取 VPN 排程器已啟用」。

滑塊會變為綠色。
在定義的時間間隔內，遠端存取 VPN 將一行中選擇動作：
- 活動：在設定的小時和日期內啟用遠端存取 VPN 刀鋒。
- 未活動（預設）：在設定的小時和天數內停用遠端存取 VPN 刀鋒。
選用：選擇當排程器關閉遠端存取 VPN 時中斷 VPN 使用者連線。
［新規］をクリック.
設定排程器並按一下「儲存」：
1. 開始時間
2. 結束時間
3. 天
［保存］をクリックします。.

允許或阻止特定來源的遠端存取 VPN 流量

從 R81.10.15 開始可封鎖或允許選定物件的流量，包括網路物件代表企業拓撲不同部分的邏輯物件-電腦、IP位址、流量通訊協定等。系統管理員會在安全性原則中使用這些物件。和可更新物件（地理位置）。

將物件新增至允許或阻止清單流程

在 VPN遠端存取的遠端存取控制頁面部分：

按一下可用選項：
- 如果尚未啟用允許或阻止列表，WebUI 將顯示這一行：
  
  不允許或阻止特定物件的存取
  
  按一下行尾的設定。
- 如果已經啟用允許或阻止列表，WebUI 會顯示這一行：
  
  僅允許從選取物件存取
  
  按一下文字中的選定物件連結。
開啟遠端存取 VPN 允許或阻止清單視窗。
若要啟用這個功能，請撥開滑桿「遠端存取 VPN 允許或阻止清單已啟用」。

滑塊會變為綠色。
在以下來源的流量將是一行中可選擇：
- 允許（預設）：僅允許選定物件的流量並阻止所有其他來源的流量。
- 阻止：僅阻止選定物件的流量並允許所有其他來源的流量。

按一下+新增然後選擇網路物件或地理位置。

重要提示：預設這個清單是空白的。請務必選擇物件，以防意外行為：允許所有流量或阻止所有流量。

對於地理位置

按一下地理位置。

開啟「匯入可更新物件」視窗。

在搜尋欄位中輸入文字，然後勾選相關大洲和國家。

注意事項：清單中最多支援選定100個地理位置物件。參閱sk182654。

［保存］をクリックします。.

對於網路物件

按一下網路物件。

開啟「選擇網路物件」視窗。
［新規］をクリック.

新增網路物件視窗打開。
在類型中單選：
- 單一IP
- IP 範圍
- 整合網路
- 萬用字元
輸入物件名稱。
輸入網路位址和子網路掩碼。
［保存］をクリックします。.

進階選項

更多相關資訊請參閱詳細リモートアクセスオプションの設定.

變更預設遠端存取 VPN 連接埠

相同辦公室模式集區中的遠端存取 VPN 用戶端之間的連線

請遵循此程序，允許從相同辦公室模式集區取得 IP 位址的遠端存取 VPN 用戶端之間的連線。

手續

前往使用者和物件檢視 >網路資源部分 >網路物件頁面。
點擊新建為辦公模式網路創建一個新的網路物件：
1. 在「類型」選單中，選取網路。
2. 在「網路位址」欄位中，輸入適用的網路 IP 位址。
3. 在「子網路遮罩」欄位中，輸入必要的子網路遮罩。
4. 在「物件名稱」欄位中，輸入適用的名稱。
  
  例如：OMPOOL。
5. ［保存］をクリックします。.
前往裝置檢視 >進階部分 >進階設定頁面。
設置參數VPN 遠端存取 - 啟用回連接：
1. 在頂端的搜尋欄位中，輸入：
  
  VPN 遠端存取 - 啟用後退連線。
2. 選取參數 VPN 遠端存取-啟用後退連線，然後按一下編輯。
3. 選擇啟用後退連接選項。
4. ［保存］をクリックします。.

設定存取原則規則規則庫中的一組流量參數和其他條件，可對通訊工作階段採取指定動作。，以允許 Office 模式網路中電腦之間的流量：

前往存取原則檢視 >防火牆部分 >原則頁面。
在Incoming、Internal 和 VPN 流量部分，點擊新建。

設定此規則：

來源	目的	服務	動作	日誌
OMPOOL	OMPOOL	`*Any`	`Accept`	`Log`，或者`None`

［保存］をクリックします。.

設定 NAT 原則規則，以停用 Office 模式網路中電腦之間的流量上的 NAT：

前往存取原則檢視 >防火牆部分 > NAT頁面。
在「NAT 規則」區段中，點選「檢視 NAT 規則」。
［新規］をクリック.

設定此規則：

原始來源	原始目標	原始服務	轉換的來源	轉換的目標	轉譯的服務
OMPOOL	OMPOOL	`*Any`	`*Original`	`*Original`	`*Original`

［保存］をクリックします。.