要新增新的 VPN 網站，請執行以下操作：

1. 點擊新增.

   「新建 VPN 網站」視窗將在「遠端網站」選項卡中打開。

2. 輸入站點名稱。

3. 選取連線類型：

   • 主機名稱或 IP 位址 - 輸入 IP 位址 或主機名稱。

     如果選擇「IP 位址」，並且需要設定靜態 NAT IP 位址，請選擇「 靜態 NAT 後面」並輸入 IP 位址。

     注意 - 靜態 NAT 後面僅適用於 IPv4 位址。

   • 高可用性或 負載共用 - 設定發生故障時的備份IP位址清單（高可用性）或分發數據（負載共用）。設備使用偵測 UserCheck 規則動作，允許流量和檔案進入內部網路並記錄它們。來監視遠端站點的IP位址。在高可用性中，可以將其中一個IP位址設定為主位址。

     選擇此選項時，必須在「 進階 」選項卡上設定偵測方法。偵測方法監視要用於 VPN 的 IP 位址：持續或一次一個。

     按兩下新建以添加 IP位址，並根據需要設置主IP位址以實現高可用性。

   • 只有遠端站點啟動 VPN - 只能從遠端站點啟動與此設備的連線。例如，當遠端站點隱藏在 NAT 設備後面時。在這種情況下，此設備僅回應隧道啟動請求。這需要一種安全的遠端站點身份驗證和標識方法。

4. 選擇身份驗證方法。這必須與您用於將此設備設定為其他閘道的遠端站點的身份驗證匹配。

   • 預共用金鑰 - 如果選擇此選項，請輸入與遠端閘道中設定的密碼相同的 密碼 並 確認 。

     注意 - 您不能在密碼或共享密鑰中使用這些字元：{ } [ ] ` ~ | ‘ " \（最大字元數：255）

   • 證書 - 閘道使用自己的證書對自身進行身份驗證。有關詳細資訊，請參閱 VPN > 內部證書。

5. 選取遠端站點加密網域。設定條件以加密流量併發送到此遠端站點。

   • 手動 定義遠端網路拓撲 - 當目標包含在網路物件 代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。清單中時，將加密流量。點擊選擇「 以選擇 代表遠端站點內部網路的網路。按下新增以創建網路物件。

   • 通過此網站 路由所有流量 - 所有流量都經過加密併發送到此遠端站點。不能設定多個遠端站點。

     設定路由所有流量後，您可以從 VPN 流量中排除網路物件。

     若要排除網路物件或特定 IP 位址：

     1. 點擊排除網路。

     2. 在遠端站台路由拓撲排除項表格中：

        • 若要新增網路物件和 IP 位址，請按一下新增。

        • 若要從排除表格中移除物件，請選取物件名稱，然後按一下移除。

     3. 點擊套用

   • 根據路由表 加密 - 如果使用動態路由，則根據來源或服務以及目標加密流量。您必須在「 設備 > 本地網路 」頁面中創建虛擬隧道介面 （VTI），並將其與此遠端站點關聯。然後，您可以使用此 VTI 建立路由規則 規則庫中的一群組流量參數和其他條件，可導致針對通訊工作階段採取指定的動作。。與這些路由規則匹配的流量將被加密並路由到遠端站點。

   • 隱藏在遠端閘道 的外部IP後面 - 如果遠端站點位於 NAT 後面，並且流量從遠端站點後面啟動到此閘道。選擇此選項時，無需定義加密網域。

6. 排除網路 - 選擇此選項可從指定的加密網域中排除網路。如果兩個閘道位於同一社區中並保護網路的相同部分，這可能很有用。

7. 點擊套用

• 設定

  • 選擇此選項可設定遠端站點是否為Check Point安全閘道。要啟用永久 VPN 隧道，請選取該複選框。

  • 選擇為此網站禁用 NAT。即使定義了隱藏 NAT，也會使用原始 IP 位址。

• 加密方法

  選擇 IKE 版本：

  IKE版本	筆記
  IKEv1	IKE 協商的模式是主模式和積極模式。 對於 IKE 協商，主模式使用六個數據包，積極模式使用三個數據包。 我們建議您使用更安全的主模式。 按照預設，不會選取啟用積極模式，且會使用主要模式。 僅在必要時啟用積極模式，VPN 隧道的另一端不支援主模式。（第三方閘道主要在主模式下不起作用。 積極模式用於創建隧道，其中一個閘道位於NAT 後面。在這種情況下，預共用金鑰無法提供足夠的資料用於在主模式下進行身份驗證。必須使用證書和閘道（對點）ID 或在積極模式下可用的輔助標識元對來完成身份驗證。輔助標識碼方法在 IKEv2 中也可用。 如果選擇 為 IKEv1啟用積極模式： 使用 Diffie-Hellman 群組 - 確定 IKE 階段 1 中用於交換 IKE 階段 2 金鑰的共用 DH 金鑰的強度。具有更多位的群組可確保更強的密鑰，但性能較低。 使用此閘道的識別碼 啟動 VPN 隧道 - 當此閘道的 IP 位址是動態的並且身份驗證方法是證書和對點 ID 時，您必須輸入 閘道 ID。對於 類型, ，選擇網域名稱或使用者名。
  IKEv2	當您創建隧道並且其中一個閘道在沒有證書（使用預共用金鑰）的情況下位於 NAT 後面時，使用 IKEv2 協定，您可以使用輔助標識碼耦合來允許身份驗證。 在這種情況下，預共用金鑰是不夠的。 如果選擇使用這些識別碼建立 IKEv2 VPN 隧道，請設定以下設定： 對點ID - 輸入識別碼。 閘道 ID - 選擇「使用全域識別碼」或「替代全域標識碼」 （輸入新識別元）。
  首選 IKEv2，支援 IKEv1	按照前兩個選項的說明設定欄位。 其他證書匹配 （使用預共用金鑰時不適用）： 在「遠端站點」選項卡中選擇證書匹配時，首先需要在「VPN > 證書受信任的 CA」頁中新增對遠端站點證書進行簽名的 CA。 在「進階」選項卡中，可以選擇將證書與「任何受信任的 CA」或「內部 CA」匹配。 您還可以在證書上設定更多匹配條件。 偵測方式 僅當您在「遠端站點」選項卡中為連線類型選擇「高可用性」或「負載共用」時，才會顯示此部分。 當遠端站點有多個用於 VPN 流量的 IP 位址時，將通過以下偵測方法之一發現 VPN 的正確位址： 持續偵測 - 啟動session時，所有可能的目標 IP 位址都會持續接收 RDP 數據包，直到其中一個地址回應。連線通過第一個IP進行回應（如果主IP已設定並處於活動狀態以實現高可用性，則連線到主IP），並一直使用此IP，直到IP停止回應。RDP 偵測在打開連線並繼續後台程序時啟動。 一次性偵測 - 啟動session時，所有可能的目標 IP 位址都會收到一個 RDP 工作階段來測試路由。選擇第一個回應的IP，並保持選取狀態，直到 VPN 設定更改。

筆記： 有關安裝證書的詳細資訊，請參閱 管理已安裝的證書。 必須在回應方閘道中將發起方的閘道ID設定為對點ID。 必須啟用「遠端存取」邊欄選項卡，對點ID才能正常工作。 在不落後於 NAT 的閘道上，對於「連線類型」，選擇「僅遠端站點啟動 VPN」。 設定遠端站點時，不要選擇靜態 NAT 後面。

初始隧道測試從遠端站點開始。如果尚未設定，請點擊「 跳過」。VPN 網站將新增到表中。