設定遠端存取blade

VPN檢視 >遠端存取部分 >刀鋒控制頁面上可用 網際網路在行動裝置、家用桌上型電腦和筆記型電腦等裝置與組織建立安全加密連線。

對於遠端存取 VPN,您必須使用認證設定設備上的使用者,並為指定的使用者設定所需的權限。該設備必須可從 Internet 訪關閉 用於封鎖流量和檔案並顯示UserCheck訊息的UserCheck規則動作。使用者可以同意允許活動。

強烈建議您先在設備上使用靜態 IP 位址設定 DDNS 或網際網路連線。如果您不使用靜態 IP 位址,則設備的 IP 位址可能會根據您的網際網路服務供應商而變更。DDNS 可讓家庭使用者透過主機名稱連線至組織,而不是可以變更的 IP 位址。更多相關資訊,請參閱裝置檢視 >系統部分 > DDNS 和裝置存取頁面 > DDNS部分。

若要設定 DDNS,請參閱設定DDNS和存取服務.

若要設定靜態 IP 位址,請參閱設定網際網路連線.

注意-遠端存取 VPN 僅支援來自 IPv4 位址的連線。

開始使用遠端存取 VPN

    1. 前往VPN檢視 >遠端存取部分 >刀鋒控制頁面。

    2. 選取「開啟」。

    3. 強制:選擇允許遠端存取使用者的流量

    4. 可選:選擇「記錄遠端存取使用者的流量」

    5. 可選:選擇要求使用者使用雙重認證來驗證身分

      雙因素身分驗證,也稱為多重驗證,這是一層額外的安全防護,防止未經授權的訪問存取您的系統。閘道器通過電子郵件或 SMS 向用戶發送密碼,以允許用戶通過 VPN 進行連接。從 R81.10.07 開始,您還可以選擇使用Google Authenticator。

      要使用雙因素身份驗證,您必須配置遠程訪問權限,並提供電子郵件地址和手機號碼。

      對於簡訊,您可以使用 Check Point 簡訊供應商或外部簡訊供應商。如果客戶使用公開簡訊伺服器,系統管理員必須提供 SMTP 伺服器的使用者名稱和密碼,以及包含外部服務供應商 API 的動態網址。

      註解

      • 預設閘道器會經電子郵件和簡訊發送密碼。

      • L2TP 和 SNX 不支援雙重認證。

        為確保連線,請在 Gaia Clish關閉 Gaia CLI的預設殼層 中執行以下指令:

        set vpn remote-access advanced allow-older-clients true

      欲設定雙因素驗證:

      1. VPN檢視 >遠端存取部分 >刀鋒控制頁面上,選擇要求使用者以雙重認證確認身分

      2. 點擊配置

        雙因素身份驗證設定視窗開啟。

      3. 選擇適用的選項:

        注意事項:身份驗證方法為全域設定,也就是說,對所有使用者和群組關閉 有共用屬性的物件集合,例如使用者帳戶。強制執行。

        從 R81.10.15 開始,可覆寫雙重認證的全域設定,並針對本機使用者和 AD 群組路線規劃所有流量。在以下頁面設定每個使用者(本機或 AD 群組)的策略:設定遠端存取使用者頁。

        要選擇同時透過簡訊和電子郵件接收,請勾選兩個核取方塊。

        1. 勾選簡訊核取方框。

        2. 如要使用 Check Point 簡訊,請選擇使用 Check Point 簡訊供應商服務

        3. 若您選取「使用外部簡訊供應商」,請輸入下列欄位資訊:

          • 動態ID網址

          • 供應商使用者名稱

          • 供應商密碼

          • API ID

          • 欲顯示的訊息 (選填)。

        1. 勾選電子郵件核取方框。

        2. 選填:輸入要傳送的訊息

        注意:使用者須先有設定本項的遠端存取權。

        1. 勾選使用 Google Authenticator 核取方塊。

        2. 按一下「儲存」.

          SMB Cloud Service 會將包含 QR 碼的電子郵件發送到使用者配置的電子郵件地址。

        3. 使用 Google Authenticator 應用程式掃描 QR 碼。

        4. 出現一次性密碼 (OTP)。

          注意 - OTP 在 30 秒後失效。

        5. 將您的電腦連接到 VPN。輸入您的使用者名稱和密碼。

        6. 進行第二層驗證時,請在回覆欄位輸入 OTP。

        7. Cloud Service 會將 OTP 與應用程式 QR 碼顯示的 OTP 進行比較。若配對成功,表示您已連接至 VPN。

        在以下情況下, Cloud Service 會發送內含 OTP 的 QR 碼:

        • 已配置新的使用者。

        • 編輯現有使用者的資訊,例如新增電子郵件地址或使用者獲得遠端訪問權限。

        • 管理員決定所有使用者須使用雲端身份驗證。

      4. 在「進階」索引頁籤的「Dynamic ID 設定」中,輸入:

        • 一次性長度的密碼。

        • 距離密碼失效的時間 (以分鐘為單位)。

        • 重試次數上限。

      5. 國家/地區代碼下方,輸入預設國家/地區代碼。

      6. 按一下「儲存」.

      如要使用雙因素身分驗證登入:

      1. 連結至您的 VPN。

      2. 您會收到一條 DynamicID 一次性密碼 (OTP) 提示,該密碼會以簡訊形式發送到您的手機,或者直接發送到您的電子郵件帳號,或者通過掃描 QR 碼。

      註解

      • VPN 雙因素身份驗證是針對每個閘道,而不是管理員。

      • 當您開啟雙因素驗證時,您將為所有 VPN 使用者端開啟這項功能。這表示所有 VPN 使用者都必須配置用於連結的手機號碼和電子郵件地址。

    6. 可選:在 R81.10.15以上版本中:設定排程器來開關遠端存取 VPN 刀鋒。查看遠端存取 VPN 排程程式

    7. 可選:在 R81.10.15以上版本中:設定允許或阻止清單,允許或阻止特定來源的遠端存取 VPN 流量。查看允許或阻止特定來源的遠端存取 VPN 流量.

    8. 在「VPN 遠端存取使用者可以用連線」部分中,選擇遠端存取 VPN 應用程式的用戶端。

      支援的遠端存取 VPN 用戶端包括:

      • Check Point VPN 用戶端:在桌上型電腦或筆記型電腦上安裝 VPN 用戶端。

      • 移動客戶端 - 在您的智慧型手機或平板電腦(iOS 或 Android)上進行連接。

      • SSL VPN - 透過 SSL VPN 連線。在您的網頁瀏覽器中輸入 IP 位址。

      • Windows VPN 用戶端 - L2TP。Windows 及 macOS 可用預先共用的金鑰連線。如需指示,請點選「如何連線」。

      若要設定遠端存取 VPN 的方法:

      1. 勾選所需方法,然後按一下連線方式

        使用情況 視窗開啟。

      2. 按照螢幕上的說明進行操作。

      3. 關閉視窗。

      4. 按一下「儲存」.

    9. 在頁面最下面,按一下「儲存」

    注意事項:當遠端存取 VPN 刀鋒由Cloud Service管理時,會出現鎖定圖示。您無法在狀態之間切換。如果您更改其他政策設定,則更改是臨時的。在閘道器與雲端服務之間的下一次同步處理時,系統會覆寫您在本機所做的任何變更。

  2. 請遵循適用的程序:

    1. 前往VPN檢視 >遠端存取部分 >遠端存取使用者頁面。

    2. 點擊新增.

      新增本地使用者 視窗打開。

    3. 在欄位中輸入必要資訊。

      注意-電子郵件電話號碼欄位是非必填的。但是,如果您想要授與此使用者遠端存取 VPN 權限,則在遠端存取 VPN 連線期間,雙因素驗證是必要的資訊。

    4. 遠端存取權限中勾選適合選項。

    5. 按一下「儲存」.

    您可以使用 Active Directory 或 RADIUS 伺服器來自動填充您的使用者和群組。

    查看設定遠端存取的身份驗證伺服器.

    若要檢視已定義的身份驗證伺服器表格,請前往VPN檢視 >遠端存取部分 >身份驗證伺服器頁面。

    1. 點選表格中的使用者名稱,然後點選編輯

      您也可以按兩下使用者名稱。

    2. 選擇 遠端存取權限

    3. 點擊確定.

    1. 點選編輯權限

    2. 在頂端點選適用的篩選器:

      • 點選使用者以查看本機設定的使用者。

      • 點選 Active Directory,以查看 Active Directory 伺服器上設定的使用者群

    3. 在左欄中,選取適用使用者名稱/使用者群組關閉 指定有相關職責的使用者群組。附近的複選框。

    4. 按一下「儲存」.

    • 若要檢視目前連線的遠端使用者,請前往VPN檢視 >遠端存取部分 >已連線的遠端使用者頁面。

    • 若要檢視目前的遠端存取 VPN 通道,請前往紀錄和顯示器檢視 >狀態部分 > VPN 通道頁面。

    • 若要檢視目前連線的遠端存取 VPN 使用者的流量,請前往紀錄和顯示器檢視 >紀錄部分 >安全性紀錄頁面。

      注意事項 :在VPN檢視 >遠端存取部分 >刀鋒控制頁面上,須選擇「記錄遠端存取使用者的流量」

遠端存取 VPN 排程程式

從 R81.10.15 開始:使用遠端存取 VPN 排程器,可將 VPN 遠端存取設定為僅在特定時段內啟用,例如在正常營業時間內。

VPN 遠端存取控制頁面上,遠端存取 VPN 狀態顯示在遠端存取部分的最下面。

  • VPN 遠端存取已啟用

  • 由於 VPN 排程器,VPN 遠端存取未啟用

  • VPN 遠端存取 VPN 排程器未設定

VPN遠端存取遠端存取控制頁面部分:

  1. 按一下可用選項:

    • 如果尚未啟用排程器,WebUI 將會顯示這一行:

      遠端存取 VPN 排程器未設定

      按一下行尾的設定

    • 如果已經啟用排程器,WebUI 將顯示這一行:

      由於目前排程器設定,遠端存取 VPN 為活動

      按一下文字中的排程器連結。

    開啟遠端存取 VPN 排程器視窗。

  2. 若要啟用這個功能,請撥開滑桿「遠端存取 VPN 排程器已啟用」

    滑塊會變為綠色。

  3. 定義的時間間隔內,遠端存取 VPN 將一行中選擇動作:

    • 活動:在設定的小時和日期內啟用遠端存取 VPN 刀鋒。

    • 未活動(預設):在設定的小時和天數內停用遠端存取 VPN 刀鋒。

  4. 選用:選擇當排程器關閉遠端存取 VPN 時中斷 VPN 使用者連線

  5. 點擊新增.

  6. 設定排程器並按一下「儲存」

    1. 開始時間

    2. 結束時間

  7. 按一下「儲存」.

VPN遠端存取遠端存取控制頁面部分:

  1. 遠端存取 VPN 由於目前排程器設定而未活動一行中,按一下排程器連結。

  2. 按一下排程器。

  3. 單擊 編輯.

  4. 設妥後按一下「儲存」

  5. 按一下「儲存」.

VPN遠端存取遠端存取控制頁面部分:

  1. 遠端存取 VPN 由於目前排程器設定而未活動一行中,按一下排程器連結。

  2. 按一下排程器。

  3. 點擊刪除.

  4. 點擊刪除確認。

  5. 按一下「儲存」.

允許或阻止特定來源的遠端存取 VPN 流量

從 R81.10.15 開始可封鎖或允許選定物件的流量,包括網路物件關閉 代表企業拓撲不同部分的邏輯物件-電腦、IP位址、流量通訊協定等。系統管理員會在安全性原則中使用這些物件。和可更新物件(地理位置)。

VPN遠端存取遠端存取控制頁面部分:

  1. 按一下可用選項:

    • 如果尚未啟用允許或阻止列表,WebUI 將顯示這一行:

      不允許或阻止特定物件的存取

      按一下行尾的設定

    • 如果已經啟用允許或阻止列表,WebUI 會顯示這一行:

      僅允許從選取物件存取

      按一下文字中的選定物件連結。

    開啟遠端存取 VPN 允許或阻止清單視窗。

  2. 若要啟用這個功能,請撥開滑桿「遠端存取 VPN 允許或阻止清單已啟用」

    滑塊會變為綠色。

  3. 以下來源的流量將是一行中可選擇:

    • 允許(預設):僅允許選定物件的流量並阻止所有其他來源的流量。

    • 阻止:僅阻止選定物件的流量並允許所有其他來源的流量。

  4. 按一下+新增然後選擇網路物件地理位置

    重要提示:預設這個清單是空白的。請務必選擇物件,以防意外行為 :允許所有流量或阻止所有流量。

    1. 按一下地理位置

      開啟「匯入可更新物件」視窗。

    2. 搜尋欄位中輸入文字,然後勾選相關大洲和國家。

      注意事項:清單中最多支援選定100個地理位置物件。參閱sk182654

    3. 按一下「儲存」.

    1. 按一下網路物件

      開啟「選擇網路物件」視窗。

    2. 點擊新增.

      新增網路物件 視窗打開。

    3. 類型中單選:

      • 單一IP

      • IP 範圍

      • 整合網路

      • 萬用字元

    4. 輸入物件名稱

    5. 輸入網路位址子網路掩碼

    6. 按一下「儲存」.

VPN遠端存取遠端存取控制頁面部分:

  1. 「僅允許存取選定物件」一行中,按一下「選定物件」連結。

  2. 在清單中,按一下要刪除的物件。

    每次只能選擇一個物件。

  3. 在工具列中,按一下「刪除」

  4. 按一下「儲存」.

進階選項

更多相關資訊請參閱設定進階遠端存取選項.

變更預設遠端存取 VPN 連接埠

Quantum Spark 閘道器上的預設遠端存取 VPN 連線埠為 TCP 443。如果將裝置上的 WebUI 設為也在 TCP 連線埠 443 上運作,則VPN檢視 >遠端存取部分 >刀鋒控制頁面上會出現衝突訊息

如果您啟用下列其中一個遠端存取 VPN 用戶端:

  • Check Point VPN 客戶端

  • 行動用戶端

  • SSL VPN

然後,您必須更改默認的遠端存取 VPN 連接埠:

  1. 單擊 更改連接埠 連結。

    遠端訪問埠設定 視窗開啟。

  2. 遠端存取連接埠欄位中,輸入新的連接埠號碼。

  3. 選取保留連接埠 443 進行連接埠轉送

  4. 按一下「儲存」.

相同辦公室模式集區中的遠端存取 VPN 用戶端之間的連線

請遵循此程序,允許從相同辦公室模式集區取得 IP 位址的遠端存取 VPN 用戶端之間的連線。

  1. 前往使用者和物件檢視 >網路資源部分 >網路物件頁面。

  2. 點擊 新建 為辦公模式網路創建一個新的網路物件:

    1. 在 「類型」選單中,選取網路

    2. 在 「網路位址」欄位中,輸入適用的網路 IP 位址。

    3. 在 「子網路遮罩」欄位中,輸入必要的子網路遮罩。

    4. 在「物件名稱」欄位中,輸入適用的名稱。

      例如:OMPOOL

    5. 按一下「儲存」.

  3. 前往裝置檢視 >進階部分 >進階設定頁面。

  4. 設置參數VPN 遠端存取 - 啟用回連接

    1. 在頂端的搜尋欄位中,輸入:

      VPN 遠端存取 - 啟用後退連線

    2. 選取參數 VPN 遠端存取-啟用後退連線,然後按一下編輯

    3. 選擇啟用後退連接選項

    4. 按一下「儲存」.

  5. 設定存取原則規則關閉 規則庫中的一組流量參數和其他條件,可對通訊工作階段採取指定動作。,以允許 Office 模式網路中電腦之間的流量:

    1. 前往存取原則檢視 >防火牆部分 >原則頁面。

    2. Incoming、Internal 和 VPN 流量部分,點擊新建

    3. 設定此規則:

      來源

      目的

      服務

      動作

      日誌

      OMPOOL

      OMPOOL

      *Any

      Accept

      Log, 或者None

    4. 按一下「儲存」.

  6. 設定 NAT 原則規則,以停用 Office 模式網路中電腦之間的流量上的 NAT:

    1. 前往存取原則檢視 >防火牆部分 > NAT頁面。

    2. 在「NAT 規則」區段中,點選「檢視 NAT 規則」。

    3. 點擊新增.

    4. 設定此規則:

      原始來源

      原始目標

      原始服務

      轉換的來源

      轉換的目標

      轉譯的服務

      OMPOOL

      OMPOOL

      *Any

      *Original

      *Original

      *Original

    5. 按一下「儲存」.