要新增新的 VPN 網站，請執行以下操作：

1. 點擊新增.

   「新建 VPN 網站」視窗將在「遠端網站」選項卡中打開。

2. 輸入站點名稱。

3. 選取連線類型：

   • 主機名稱或 IP 位址 - 輸入 IP 位址 或主機名稱。

     如果選擇「IP 位址」，並且需要設定靜態 NAT IP 位址，請選擇「 靜態 NAT 後面」並輸入 IP 位址。

     注意 - 靜態 NAT 後面僅適用於 IPv4 位址。

   • 高可用性或負載共享：選擇這一項須在「進階」索引標籤上設定探查方法。偵測 UserCheck規則動作，允許流量和檔案進入內部網路並記錄。方法監視要用於 VPN 的 IP 位址：持續或一次一個。

     負載共享模式：設定備份 IP 位址清單來分發資料。

     高可用性模式：

     • 設定備用 IP 位址列表，以防故障。

     • 主要 IP 位址：將一個現有 IP 位址設為主要 IP 位址，或新增IP 位址，設為主要 IP 位址。

     主機或 IP 位址為高可用性或負載共用模式的 VPN 網站狀態會顯示在表格的回應欄位中。例如，2 個中有 0 個有回應。

   • 只有遠端站點啟動 VPN - 只能從遠端站點啟動與此設備的連線。例如，當遠端站點隱藏在 NAT 設備後面時。在這種情況下，此設備僅回應隧道啟動請求。這需要一種安全的遠端站點身份驗證和標識方法。

4. 選擇身份驗證方法。這必須與您用於將此設備設定為其他閘道的遠端站點的身份驗證匹配。

   • 預共用金鑰 - 如果選擇此選項，請輸入與遠端閘道中設定的密碼相同的 密碼 並 確認 。

     注意：密碼或共用金鑰中不可使用以下字元：{ } [ ] ` ~ | ‘ " \ （最大字數：255）

   • 證書 - 閘道使用自己的證書對自身進行身份驗證。更多詳細資訊請參閱VPN >內部憑證。

5. 選取遠端站點加密網域。

   設定條件以加密流量併發送到此遠端站點。

   • 手動 定義遠端網路拓撲 - 當目標包含在網路物件 代表企業拓撲不同部分的邏輯物件-電腦、IP位址、流量通訊協定等。系統管理員會在安全性原則中使用這些物件。清單中時，將加密流量。點擊選擇「 以選擇 代表遠端站點內部網路的網路。按下新增以創建網路物件。

   • 通過此網站 路由所有流量 - 所有流量都經過加密併發送到此遠端站點。不能設定多個遠端站點。

     設定路由所有流量後，您可以從 VPN 流量中排除網路物件。

     若要排除網路物件或特定 IP 位址：

     1. 點擊排除網路。

     2. 在遠端站台路由拓撲排除項表格中：

        • 若要新增網路物件和 IP 位址，請按一下新增。

        • 若要從排除表格中移除物件，請選取物件名稱，然後按一下移除。

     3. 點擊套用

   • 根據路由表加密：如果使用動態路由，則根據來源或服務和目的地加密流量。須在裝置>本機網路頁面中建立虛擬通道介面 (VTI)，並與這個遠端網站關聯。然後，您可以使用此 VTI 建立路由規則 規則庫中的一組流量參數和其他條件，可對通訊工作階段採取指定動作。。與這些路由規則匹配的流量將被加密並路由到遠端站點。

   • 隱藏在遠端閘道器的外部 IP 後面：遠端站點位於 NAT 後面，並且流量從遠端站點後面發到這個閘道器。選擇此選項時，無需定義加密網域。

6. 排除網路 - 選擇此選項可從指定的加密網域中排除網路。如果兩個閘道位於同一社區中並保護網路的相同部分，這可能很有用。

7. 點擊套用

• 設定

  • 選擇此選項可設定遠端站點是否為Check Point安全閘道。要啟用永久 VPN 隧道，請選取該複選框。

  • 選擇為此網站禁用 NAT。即使定義了隱藏 NAT，也會使用原始 IP 位址。

• 加密方法

  選擇 IKE 版本：

  IKE版本	筆記
  IKEv1	IKE 協商的模式是主模式和積極模式。 對於 IKE 協商，主模式使用六個數據包，積極模式使用三個數據包。 我們建議您使用更安全的主模式。 按照預設，不會選取啟用積極模式，且會使用主要模式。 僅在必要時啟用積極模式，且 VPN 通道的另一端不支援主要模式。 （第三方閘道器主要不在主模式下工作。） 積極模式用於創建隧道，其中一個閘道位於NAT 後面。在這種情況下，預共用金鑰無法提供足夠的資料用於在主模式下進行身份驗證。必須使用證書和閘道（對點）ID 或在積極模式下可用的輔助標識元對來完成身份驗證。輔助標識碼方法在 IKEv2 中也可用。 如果選擇 為 IKEv1啟用積極模式： 使用 Diffie-Hellman 群組 - 確定 IKE 階段 1 中用於交換 IKE 階段 2 金鑰的共用 DH 金鑰的強度。具有更多位的群組可確保更強的密鑰，但性能較低。 使用此閘道的識別碼 啟動 VPN 隧道 - 當此閘道的 IP 位址是動態的並且身份驗證方法是證書和對點 ID 時，您必須輸入 閘道 ID。對於 類型, ，選擇網域名稱或使用者名。
  IKEv2	當您創建隧道並且其中一個閘道在沒有證書（使用預共用金鑰）的情況下位於 NAT 後面時，使用 IKEv2 協定，您可以使用輔助標識碼耦合來允許身份驗證。 在這種情況下，預共用金鑰是不夠的。 如果選擇使用這些識別碼建立 IKEv2 VPN 隧道，請設定以下設定： 對點ID - 輸入識別碼。 閘道 ID - 選擇「使用全域識別碼」或「替代全域標識碼」 （輸入新識別元）。
  優先使用 IKEv2，支援 IKEv1	按照前兩個選項的說明設定欄位。 其他證書匹配 （使用預共用金鑰時不適用）： 在遠端網站標籤中選擇憑證比對時，先需在VPN >憑證信任的 CA頁面中新增簽署遠端網站憑證的 CA。 在「進階」選項卡中，可以選擇將證書與「任何受信任的 CA」或「內部 CA」匹配。 您還可以在證書上設定更多匹配條件。 探查法 僅當您在「遠端站點」選項卡中為連線類型選擇「高可用性」或「負載共用」時，才會顯示此部分。 當遠端站點有多個用於 VPN 流量的 IP 位址時，將通過以下偵測方法之一發現 VPN 的正確位址： 持續偵測 - 啟動session時，所有可能的目標 IP 位址都會持續接收 RDP 數據包，直到其中一個地址回應。連線通過第一個IP進行回應（如果主IP已設定並處於活動狀態以實現高可用性，則連線到主IP），並一直使用此IP，直到IP停止回應。RDP 偵測在打開連線並繼續後台程序時啟動。 一次性偵測 - 啟動session時，所有可能的目標 IP 位址都會收到一個 RDP 工作階段來測試路由。選擇第一個回應的IP，並保持選取狀態，直到 VPN 設定更改。

註解： 更多安裝憑證的相關資訊請參閱管理已安裝的證書. 必須在回應方閘道中將發起方的閘道ID設定為對點ID。 必須啟用「遠端存取」邊欄選項卡，對點ID才能正常工作。 在不落後於 NAT 的閘道上，對於「連線類型」，選擇「僅遠端站點啟動 VPN」。 設定遠端站點時，不要選擇靜態 NAT 後面。

初始隧道測試從遠端站點開始。如果尚未設定，請點擊「 跳過」。VPN 網站將新增到表中。