Embed Size (px)
Citation preview
21 August 2012
用户指南
Check Point GO
R75 HFA3
© 2012 Check Point Software Technologies Ltd.
保留所有权利。本产品及其相关文档均受版权法保护,应严格依照限制其使用、复制、分发与反汇编的授权
协议分发。未经 Check Point
事先书面许可,不得以任何形式或手段复制本产品或相关文档的任何内容。尽管在编写本手册的过程中我们
小心谨慎,并采取了一切可能的预防措施,但错误或疏忽在所难免,Check Point
对此不承担任何责任。本出版物及其所述功能如有更改,恕不另行通告。
有限权限声明:
政府使用、复制或披露均受 DFARS 252.227-7013 与 FAR 52.227-19 之 the Rights in Technical Data and
Computer Software 条款之 (c)(1)(ii) 小段规定制约。
商标:
请参阅版权页 (http://www.checkpoint.com/copyright.html),获取我们的商标一览表。
请参阅第三方版权通告
(http://www.checkpoint.com/3rd_party_copyright.html),获取相关版权及第三方授权一览表。
重要信息 最新软件
建议安装最新发布的软件,尽享最新改善功能、稳定修补程序、加强型安全性能,及针对新型及变种攻击的
保护。
修改历史
日期 描述
21 August 2012 本文档首次发布
目录
重要信息 ................................................................................................................... 3
Check Point GO 安全工作区 .................................................................................... 5 欢迎使用 Check Point GO ................................................................................... 5
首次安装 .............................................................................................................. 5 选择强力密码 .................................................................................................. 6
Windows 访问特权 .......................................................................................... 6
更新 Check Point GO 策略 .................................................................................. 6
升级Check Point GO ........................................................................................... 7
登录 Check Point GO .......................................................................................... 7
文件夹模式 ...................................................................................................... 7
重置丢失的密码 ............................................................................................... 8
设备过期 ......................................................................................................... 9
高级操作 .............................................................................................................. 9
磁盘清理 .............................................................................................................10
虚拟桌面的使用 ..................................................................................................10
Check Point GO 桌面图标 ..............................................................................10
开始菜单与任务栏 ..........................................................................................11
FTP 共享文件夹 .............................................................................................11
在 Check Point GO 与主 PC 之间切换 ...........................................................11
在主 PC 与 Check Point GO 之间切换 ...........................................................11
将文件导出至主机 ..........................................................................................11
从主 PC 导入文件 ..........................................................................................12
关闭 Secure Portable Workspace ....................................................................12
Check Point GO Portable Apps ............................................................................ 14 使用远程 VPN 客户端 ............................................................................................. 15
概述 ....................................................................................................................15
使用站点向导创建站点 ........................................................................................15
连接站点 .............................................................................................................16
热点检测与排除 ..................................................................................................16
与站点保持连接 ..................................................................................................16
选择身份验证方案 ...............................................................................................16
证书 ...............................................................................................................17
用户名与密码 .................................................................................................18
SecurID..........................................................................................................19 挑战响应 ........................................................................................................20
更改身份验证方案 ...............................................................................................20
故障诊断 ................................................................................................................. 21
登录 Windows .....................................................................................................21
收集日志 .............................................................................................................21
章节 1
Check Point GO 安全工作区 本节讲述如何利用 Check Point GO 安全工作区。
在本章中
欢迎使用 Check Point GO 5
首次安装 5
更新 Check Point GO 策略 6
升级Check Point GO 7
登录 Check Point GO 7
高级操作 9
磁盘清理 10
虚拟桌面的使用 10
关闭 Secure Portable Workspace 12
欢迎使用 Check Point GO
Check Point GO 是一款能提供便携式安全虚拟空间的设备,它将 Check Point
安全软件集成到了加密U盘上。
Check Point GO 将在您的任何 PC
上创建一个临时的安全虚拟工作区,允许您从任意位置安全地访问资源,但又不用担心数据丢失。
使用 Check Point GO,您可在加密的 USB
盘上存储工作文件,如果公司政策允许,还可与主机互传文件。Check Point GO 进程一旦结束,它不会在主
PC 上留下任何痕迹。
首次安装
本节说明如何选择强密码,以及如何对 Check Point GO 进行首次设置。
首次设置Check Point GO时:
1. 插入Check Point GO USB 磁盘至宿主 PC 上的 USB 端口。
首次设置向导将指导您完成整个初始配置。若设置未自动出现:
a) 在宿主 PC 桌面上双击我的电脑。
b) 在新的 Check Point GO 设备上右键单击并选择打开。
Windows 版本不同,Check Point GO 设备的名称可能会有不同。
c) 双击Check Point GO 图标。
Check Point GO 开始载入。
2. 首次配置向导随即打开。您可选择一种语言。这将设置 Check Point GO
界面与联机帮助使用的语言。确保主机支持所选语言。
您还可通过登录窗口的高级设置,在其他时间更改语言。
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 6
3. 单击下一步。
随即显示许可证协议。
4. 选择我接受协议条款,然后点击下一步。
5. 输入设备密码。
确保创建强密码(使用密码强度指示器),记住以后的设备登录密码。
可通过以下方法为您的 Check Point GO 设备创建密码:
在创建密码字段输入密码,并在确认密码字段确认,然后单击下一步。
也可单击创建密码与确认密码右边的虚拟键盘按钮来打开虚拟键盘。 使用鼠标输入密码并单击返回。
注意 -
使用虚拟键盘可提高登录过程的安全性。可确保键盘操作记录器无法记录您的密码。
6. 点击下一步。 等待 Check Point GO 载入及 Check Point GO 虚拟桌面显示。
了解 Check Point GO 弹出窗口会解释 Check Point GO 控制栏上可用的各种操作。
允许在安全区运行的应用程序会在虚拟桌面或“开始菜单”上显示图标。
此安装过程仅出现一次。当您再次插入 Check Point GO 设备时,您只须登录,虚拟桌面即会打开。
选择强力密码
首次设置 Check Point GO 时,系统会提示您选择一个密码。我们建议您给设备选择一个强力密码。
强力密码:
长度足够
由随机字母与数字组成的长度为 15 个字符的密码远比 8
字符密码安全可靠。密码每增加一位,其保护力度也相应地提高。
混用字母、数字与符号
混用大小写字母、数字与符号(包括键盘的下档标点符号)。
避免使用序列或重复字符
例如,12345 或 aaaaa。
避免使用数字或数字的相似体
例如,用数字 1 取代字母 i 或者用字母 o 取代数字 0。
避免包含您的登录名
避免使用任何语言的现有单词
Windows 访问特权
当您首次将Check Point GO 设备与电脑连接,会出现一个窗口,要求您对go.exe
进程授权。这个进程是Check Point GO设备
不可缺少的一部分。点击 确认,开始使用设备。
更新 Check Point GO 策略
建议您立即更新 Check Point GO 政策。单击 Check Point GO
桌面上的连接站点图标。单击此图标即可打开一个向导,供您配置内置远程访问 VPN 客户端。
如想配置客户端,请参阅使用远程 VPN 客户端 (页码为: 15)。
在配置 VPN 客户端后,您可单击更新气球,下载最新 Check Point GO 政策。
在下载新的政策后,Check Point GO 会自动关闭并重新加载。
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 7
升级Check Point GO
Check Point GO自动检测软件新升级。如有新升级,Check Point GO将下载升级包。您在登陆Check Point
GO之后,可用软件升级窗口弹出。
完成Check Point GO升级的步骤:
点击升级。
升级Check Point GO设备窗口打开,显示进程条。
注意!不要移除Check Point GO设备。
当 升级结束 窗口弹出,点击下一步。
登陆到Check Point GO,
升级设备锁
。其中有一个选项设置,公司可以用来确认Check Point
GO设备已经升级。如果有可用升级,设备必须完成升级。在Check Point
GO运行系统升级完毕之前,您不能使用本设备。
登录 Check Point GO
重要须知 - 连续七次登录失败后,Check Point GO
设备将被锁定。需要远程密码重设才能解锁设备。如继续尝试访问该
设备,Check Point GO
会将这一行为视作野蛮的强行攻击,并在您尝试三次之后,对设备进
行重新格式化。重新格式化将清除保存的所有数据。如果忘了密码,
请按重设丢失的密码 ("重置丢失的密码" 页码为: 8)之说明行事。
登录 Check Point GO:
1. 将 Check Point GO USB 盘插入主 PC 上的可用 USB 端口。
插入 USB 盘 后,安全区将初始化,且登录屏幕显示如下信息:
2. 您可使用以下任一方法登录 Check Point GO:
在设备密码中输入于首次安装 (页码为: 5)中创建的密码并单击登录。
单击位于“设备密码”字段右侧的虚拟键盘按钮,打开虚拟密码。使用鼠标输入密码并单击返回。
注意 -
使用虚拟键盘能确保键盘记录器不会记录您的密码,从而能提升登录过
程的安全性。
如果忘了密码,请参阅:重设丢失的密码 ("重置丢失的密码" 页码为: 8)
注意 - 密码重设只有在您首次登录 VPN 网关后才适用。
文件夹模式
文件夹模式可以在不打开Secure Workspace 桌面环境的情况下,访问设备中的加密 Check Point
GO文件夹。在Windows Explorer中浏览加密存储,直接添加或移除文件。
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 8
您的系统管理员可以为Check Point GO设备中的这些配置设置规则:
文件夹模式启动。
只能在可信任的计算机上使用文件夹模式。
文件夹模式为默认登陆选项。
文件夹模式停止。
如需直接进入设备中的文件和文件夹:
插入设备,
在登陆窗口选择只使用文件夹模式。
输入设备密码。
Windows Exploer打开,显示 Check Point GO 用户文件夹。 Check Point GO 用户
文件夹中包含以下程序的子文件夹:
应用数据
桌面
文件
链接
音乐
图片
公共
视频
编辑,根据需要添加或移除文件。
请注意-在所有Windows应用(比如Word)中, 文件 > 打开,文件 > 保存 (或 另存为)
选项都不能用于导航和修改 Check Point GO中的文件。
在打开、修改和保存之前,使用Windows Explorer复制或移动 Check Point GO
文件夹之外的文件。
重置丢失的密码
重要须知 - 连续七次登录失败后,Check Point GO
设备将被锁定。需要重设远程密码才能解锁设备。如继续尝试访问该设备,Check Point GO
会将这一行为视作暴力攻击,并在您尝试三次之后,将对设备进行格式化。重新格式化将清除保
存的所有数据。如果您忘记密码,请按此节指令执行。
重设丢失的密码:
1. 在 Check Point GO 登录窗口中,单击忘记密码?
密码重设向导随即开启。
选择任一密码重设模式:
基础- 这是默认设置。 如果管理员未传授过其他办法,请选择此选项。
高级- 只有在管理员要求您选择该选项时,才选择该选项。
2. 输入您的新密码。
3. 等待帮助 ID 显示。
4. 使用所列数字,致电咨询台并出示帮助 ID。
5. 输入咨询台提供的解锁代码,并一直等待,直至出现远程密码重置完成消息。
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 9
注意 -
若输入解锁代码不正确,则重置程序会失败。若尝试重置后从计算
机删除 Check Point GO,然后再重置,或断开 VPN
站点,则最多可尝试重置五次。
6. 使用新的密码登录 Check Point GO 设备。
设备过期
登录至 Check Point GO 设备时,可能会看到一条设备已锁定消息。Check Point GO 设备在
指定日期后锁定。
可在预先规定的日期之后完成初始向导。
已经过指定的时间段。
经过预定义的一段时间后设备过期。
预定义的 VPN 验证尝试次数。
七次错误密码尝试。
设备过期后可以:
格式化设备。点击高级按钮 > 格式化设备选项卡,使用 > 恢复出厂设置选项。
使用 Check Point GO 登录窗口中显示的远程密码重置链接。
要使用远程密码重置功能:
必须连接至指定 VPN 站点至少一次。
您的系统管理员必须为您配置了远程密码重置。
高级操作
单击设备登录窗口中的高级按钮可打开以下选项卡:
更改密码-
可更改密码。如知道原先密码则可使用此选项。可通过物理键盘输入更改密码,也可点击每个字段旁的虚
拟键盘图标,然后使用鼠标输入密码更改信息。
格式化设备 - 可通过此选项卡将 Check Point GO
恢复至其默认设置,并删除设备上的所有数据。有两种选项:
删除用户数据与 Portable Apps(保留安全策略与 VPN 设置)
格式化选项适用于所有用户,需要用户密码。(用户格式化)
恢复至出厂默认值
此格式化选项需提供系统管理员设置的密码。(管理格式化)。
重置密码 - 密码丢失或忘记可使用此选项重置。从登录窗口单击忘记密码可打开相同选项。
设备操作 - 此选项卡功能包括:
为您的系统管理员启用记录及收集日志 - 如选择“收集日志”,则 Log Collector
打开。输入设备密码,即 Check Point GO 的登录密码。
安装或卸载自动启动器 - 自动启动器会在主机电脑上安装,并在 Check Point GO
插入主机时自动启动。
自动升级自动启动器 - 自动启动器将在主机上自动安装更新。
设备信息 — 显示软件与固件版本以及您的 Check Point GO 设备的序列号。
常规 - 此选项卡功能包括:
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 10
还原兼容性警告 - 无论何时选择 Check Point GO
不显示兼容性警告,该设置均会将其重新显示出来。
设置语言 - 设置 Check Point GO
界面及在线帮助的语言。请确保您的主机支持所选语言。也可从初始向导选择语言。
从 YouTube 查看 Check Point GO 视频教程。
磁盘清理
右键单击主 PC 系统托盘上的 Check Point GO 图标,即可打开一个菜单,显示磁盘清理功能。
将删除 Check Point GO 工作文件,如临时日志。
虚拟桌面的使用
Check Point GO 桌面图标
本表说明 Check Point GO 桌面工具栏及系统托盘上图标,以及各图标的功能。
图标 名称 功能
Check Point GO
图标 点击以在 Check Point GO 与主机桌面间切换。
右键单击可提供多种选项。
Check Point GO
文件夹图标 将文件保存在设备上此文件夹中。
Portable Apps 单击即可管理 Portable Apps。
VPN 图标 右键单击可连接 VPN 或查看 VPN 设置。如有红色 x 号,表明 VPN
未连接。若地球图标为彩色,表明 VPN 已连接。
关闭 Check Point
GO 图标
Check Point GO 关闭。Check Point GO 关闭前随即显示一个确认窗口。
最小化图标 最小化 Check Point GO 桌面以查看宿主 PC。
重启图标 Check Point GO 重启。如更新已准备完成可进行安装,重启也将安装更新。
信任/不信任主机图标 将鼠标移至此图标上可查看您的主机是否可信任。可信任的主机指公司内部网
络中以及曾经在公司内部网络中的电脑。即使已不在公司内部网络中,其仍将
被视为可信任的。不可信任的电脑指从未在内部网络中的电脑。
USB
磁盘容量指示器 如想确定 Check Point GO 磁盘可用空间,请将鼠标移近 Check Point GO
控制条上的磁盘容量指示器
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 11
图标 名称 功能
导出图标 导出文件至主机。
导入图标 从主机导入文件至 Check Point GO。
隐藏工具栏图标 隐藏工具栏。将鼠标停在工具栏区域上将再次可见。
开始菜单与任务栏
虚拟桌面的开始菜单与任务栏同主 PC 上的
开始菜单与任务栏功能相同:提供许可的应用程序的快捷方式。许可的应用程序出现在开始 >
安全程序菜单上。
Check Point GO 中的应用程序,如 Internet Explorer 与 Word 运行方式与主桌面上的相同。
FTP 共享文件夹
如在桌面上看到此共享文件夹的快捷方式,表明您的系统管理员在公司网络内配置了至
共享文件夹的 FTP 链接。点击快捷方式打开 Windows Explorer。Windows explorer
显示共享文件夹的内容。
在 Check Point GO 与主 PC 之间切换
在 Check Point GO 与主机之间切换有两种方法:
单击任务栏通知区域的 Check Point GO 图标。
单击 Check Point GO 工具栏上的最小化按钮。
也可使用键盘快捷键:Windows 键 + S。
注意 - 由于宿主 PC 上还有其它应用,Windows 键 + S 快捷键有时可能会不起作用。
在主 PC 与 Check Point GO 之间切换
宿主 PC 与 Check Point GO 之间切换有两种方法:
右键单击宿主 PC 系统托盘上的 Check Point GO 图标并选择切换至 Check Point GO 桌面。
或者使用快捷键。Windows 键 + S。
注意 - 由于宿主 PC 上还有其它应用,Windows 键 + S 快捷键有时可能会不起作用。
将文件导出至主机
文件看似可直接存入主 PC ,但事实并非如此。文件不能直接存入主 PC。
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 12
重要须知 - 只能使用 Check Point GO“导出”按钮将他们导入主 PC。
理解 Check Point GO 虚拟化文件系统
加载后,Check Point GO 就会创建一份主 PC 文件系统的虚拟化副本。这包含多种含义。如果您在 Check
Point GO 中打开 Windows 资源管理器并输入主 PC
的驱动器盘符,该驱动器会被显示出来。但您看不见驱动器的文件系统。您看见的是它的 Check Point GO
虚拟化副本。要真实地与主 PC 互传文件,您必须使用 Check Point GO 导入与导出功能。
如果在 Windows 资源浏览器中对某个文件进行了编辑并将其直接存入主机,文件被另存为 Check Point GO
上的虚拟化副本,而不是被存入主机文件系统。例如,如果您在 Check Point GO 中进入主机 C
盘,并对某个文本文件的内容进行编辑,随后再保存它,所做的更改并未被保存。您先应将文件保存到 Check
Point GO 上,然后再单击 Check Point GO 控制栏上的“导出”按钮,把它导出到主 PC 上。
单击导出按钮
1. 单击 Check Point GO 控制栏上的导出按钮
复制文件至 PC窗口随即开启。
2. 选择要导出的文件并单击复制到 PC。
3. 切换至主 PC。
被导出的文件位于桌面上的下载自 Check Point GO 文件夹中。
从主 PC 导入文件
文件将通过 Check Point GO 控制栏上的导入按钮进行导入。
您对主 PC
上的文件夹与文件只具备只读权限,包括通过映射驱动器可使用文件与文件夹。但是,如果您想运行程序或
打开文件但您又不具备相应的权限,系统就会显示一条错误消息。
将文件导入 Check Point GO:
1. 插入 Check Point GO,并单击控制栏上的“导入”按钮
复制文件至 Check Point GO窗口随即开启。
2. 浏览至主 PC 上您要导入的文件。
3. 选择要导入的文件并单击复制到 Check Point GO。
该文件随即被导入,并存放到 Check Point GO 桌面上的下载自 PC 文件夹中。
关闭 Secure Portable Workspace
关闭 Check Point GO 有多种方法:
通过 Check Point GO 中的开始菜单关闭 - 在 Check Point GO 开始菜单中选择关闭 Check Point
GO。随即出现一个供您保存打开的文件的确认与提示窗口
通过 Check Point GO 的控制栏关闭 - 单击 Check Point GO 控制栏上的 X 按钮。
通过宿主 PC 上的系统托盘关闭 - 右键单击系统托盘的 Check Point GO 图标并选择关闭 Check Point
GO。
Check Point GO 安全工作区
Check Point GO 用户指南 R75 HFA3 | 13
注意 - USB 闪存驱动器内的 FAT
系统对突然断电反应不良,比如在输入输出过程中拔出设备。应始终确保正确关闭
Check Point GO,以防数据丢失、FAT
文件系统损坏,或主机进程冻结。耐心等待,直至被告知可安全移除设备。若 FAT
损坏导致全部数据丢失,将设备重新格式化至出厂默认值。
章节 2
Check Point GO Portable Apps Portable applications (apps) 是运行在 Check Point GO Secure Workspace 桌面环境下的虚拟 Windows
程序。Portable Apps 存储在云端。您的系统管理员设置的 Secure Workspace 策略决定哪些应用为:
必需
此类应用已经安装在设备上,无法卸载。
可选 您可视情况安装或卸载此类应用。
安装 Portable App:
在 Check Point GO
1. 桌面上双击管理 Portable Apps 图标。
Check Point GO Portable Apps 窗口打开。
该窗口显示可从云端下载哪些 Portable Apps,并将应用分为相应的类别。
2. 在所需 Portable App 上单击安装,开始下载并安装。
Portable App 下载及安装期间,可取消操作。
已安装的应用可点击卸载来予以卸载。
安装后桌面上会显示 Portable Apps 图标。带向下箭头的图标标明是从云端下载的 Portable Apps。
章节 3
使用远程 VPN 客户端
在本章中
概述 15
使用站点向导创建站点 15
连接站点 16
热点检测与排除 16
与站点保持连接 16
选择身份验证方案 16
更改身份验证方案 20
概述
Check Point GO 包含一个远程 VPN 客户端,用来安全地访问企业资源。
这一安全的 VPN 连接还可用于:
更新设备的软件
下载安全政策
使用站点向导创建站点
如果 Check Point GO
位于内部网络上,且您是首次尝试连接该站点,设备可能会自动检测系统管理员以前配置的任意站点。
注意 - 自动检测只有在系统管理员配置了这种行为后才有效。
如果 Check Point GO 并不是位于内部网络上,站点向导将打开。站点向导允许手动配置站点。
1. 单击下一步并输入服务器地址或名称,以及一个便于记忆的显示名(可选)。
如果您不知道该信息,请与系统管理员联系。
2. 单击下一步,将您从系统管理员那里收到的指纹与屏幕显示的进行比较:
如果指纹相符,请单击确定。
身分验证方法窗口随即开启。
注意 -
如果系统管理员为您预先设定了一种身份验证方法,如用户密码,系统就不会显示此窗口
。
3. 选择身份验证 ("选择身份验证方案" 页码为: 16)办法。
应由系统管理员提供该信息。
4. 输入您的身份验证凭据。例如,如果使用证书进行身份验证,请浏览系统管理员提供的证书。
5. 单击下一步完成站点的创建。
显示创建站点的信息。
使用远程 VPN 客户端
Check Point GO 用户指南 R75 HFA3 | 16
6. 单击完成。
多个站点
出于安全考虑,不支持多个站点。这是为了防止一个站点上的敏感信息被意外地传输至另一个站点上。
如想连接不同站点,您必须重新格式化设备 ("高级操作" 页码为:
9)并再次运行站点向导。请记住,重新格式化将清除保存的所有数据。
连接站点
连接至站点:
1. 右键单击 Check Point GO 系统托盘上的 VPN 客户端图标以显示客户端菜单。
若手动配置站点,必须选择一种身份验证方案。
2. 单击连接。
Check Point GO 设有内置单一登录功能。通过用户名和密码验证,或使用证书验证时,必须仅在首次登录时输入您的登录
凭据。客户端会存储这些密码凭据,并在与公司网站的连接下次打开时再次自动使用。
若通过其它方法验证(如 SecureID),每次会话时都会提示您在弹出窗口中输入密码凭据。等待 Check
Point GO 连接并下载您的系统管理员配置的 Check Point GO 策略。
VPN 客户端连至站点时,系统托盘上的图标保持为绿色。
热点检测与排除
许多公共无线网络(“无线热点”)均拥有一个 Web
门户,用来问候客户或并获得某些身份验证或支付手段。此类门户会禁止设备的 VPN
组件自动连接指定站点。这类热点能被设备自动检测。首次通过热点服务器连接时:
1. 连接自然会失败,因为不存在任何注册细节。
2. 客户端将自动打开其内部浏览器窗口,显示热点注册表。例如。
3. 请输入相关身份验证信息以及支付证书。
客户端能自动检测表单的提交,并立即连接站点。
与站点保持连接
为确保您与现用站点一直保持连接,请:
1. 右键单击系统托盘中的客户端图标并选择属性。
站点属性窗口随即开启。
2. 从设置标签上,在窗口的总是连接区域,选择启用总是连接。
选择身份验证方案
本节讲述多种向指定站点进行身份验证的方法。如果手动配置站点,您必须选择如下身份验证办法之一:
用户名和密码
证书
SecurID
质询响应
智能卡
使用远程 VPN 客户端
Check Point GO 用户指南 R75 HFA3 | 17
证书
系统管理员可能会要求您使用证书文件进行身份验证。
理解证书
证书是由可信任的第三方(称为证书机构,简称 CA)颁发的数字 ID 卡。尽管有一些相当知名的外部 CA,如
VeriSign 与 Entrust,但 Check Point GO 通常使用由站点的安全网关(他们拥有自己的内部证书机构,即
ICA)颁发的数字证书。Check Point GO 使用的数字证书包含如下信息:
您的姓名
一个序列号
过期日期
证书所有者的公共密钥的副本(用于消息与数字签名的加密)
发怔机构的数字签名(以 ICA 为例),以便安全网关可验证证书是否真实、有效。
所谓证书,就是采用 PKCS#12 格式且扩展名为 .p12 的文件。
利用现有证书进行身份验证
如果证书为选定的身份验证办法,默认情况下,Check Point GO 就会尝试导入 .p12 文件。(请参阅
连接站点 (页码为: 16)。)
1. 单击导入,浏览至您的证书。
2. 在密码字段中输入证书密码。
3. 单击连接。
证书的获得
证书要么由系统管理员提供,要么通过注册与续订过程获得。您也可单击“连接”对话框上出现的如果没有针对
此网站的证书,请单击此处链接,注册一个证书。
注册证书
注册是指向认可的证书机构 (CA)(本例为 Check Point 内部
CA)申请并获得证书的过程。在注册过程中,系统管理员将创建一个证书,并把证书的注册密钥发送给您。
客户段将此密钥发送给站点网关,并接收一个证书,然后直接保存到 Check Point GO 设备上。
注册证书:
1. 右键单击 Check Point GO 系统托盘中的 VPN 客户端图标。
2. 选择站点属性。
3. 在设置标签上,单击注册。
4. 输入:
a) 新证书的密码。如想了解密码选择提示,请参阅选择强力密码 (页码为: 6)。
b) 由系统管理员提供的注册密钥
5. 单击连接,等待证书的注册。
证书将直接保存到 Check Point GO 设备上。
重新导入证书
如想重新导入证书:
使用远程 VPN 客户端
Check Point GO 用户指南 R75 HFA3 | 18
1. 右键单击 Check Point GO 系统托盘中的 VPN 客户端图标。
2. 选择站点属性。
3. 在设置标签上,单击重设。
此操作将删除以前保存的身份验证数据。
4. 右键单击 Check Point GO 系统托盘中的 VPN 客户端图标。
5. 从菜单上选择连接。
证书导入窗口随即打开。
6. 单击导入。
打开证书文件窗口随即打开。
7. 选择证书并单击打开。
8. 在返回至导入窗口后,输入证书密码并单击连接。
续订证书
在使用证书进行验证时,您每次连接网站时,客户端都要检查证书距离过期日期还有多久。必要时,在连接
过程中,就会续订证书。系统托盘中会出现一个消息气泡:证书续订正在进行中。
如想手动续订证书,请:
1. 右键单击 Check Point GO 系统托盘中的 VPN 客户端图标。
2. 选择站点属性。
3. 在设置标签上,单击续订。
证书被自动续订,并直接保存到 Check Point GO 设备上。
智能卡
使用智能卡进行 VPN 站点身份验证之前,确保智能卡读卡器:
已插入宿主 PC 中。
可识别您的证书。插入智能卡后,读卡器的图形界面应显示您的证书。
按如下步骤使用智能卡进行身份验证:
1. 插入 Check Point GO。
2. 打开 Check Point GO VPN客户端。
3. 若身份验证方法已设定为智能卡,从下拉框中选择证书,然后单击连接。
则客户端与站点建立连接。
重要提示:
每次拔/插智能卡时,连接 VPN 前智能卡客户端均会弹出智能卡客户端要求输入智能卡密码。
智能卡仍在读卡器中时,连接及断开站点均无需输入智能卡密码。
若智能卡读卡器或或智能卡从主机 USB
端口拔出,下次重新验证时客户端检测到证书已不可用,将从站点断开。
若所选身份验证方法为智能卡,Check Point GO VPN 客户端不会显示证书注册与更新。
用户名与密码
用户名与密码是最简单的验证形式。确定适宜的用户名与密码。牢固的密码:
长度足够
由随机字母与数字组成的长度为 15 个字符的密码远比 8
字符密码安全可靠。密码每增加一位,其保护力度也相应地提高。
使用远程 VPN 客户端
Check Point GO 用户指南 R75 HFA3 | 19
混用字母、数字与符号
混用大小写字母、数字与符号(包括键盘的下档标点符号)。
避免使用序列或重复字符
例如,12345 或 aaaaa。
避免使用数字或数字的相似体
例如,用数字 1 取代字母 i 或者用字母 o 取代数字 0。
避免包含您的登录名
避免使用任何语言的现有单词
用户名与密码重设
该选项的功用在于删除输入的上一用户名与密码,从而有效地清除单点登录 (SSO) 缓冲区数据。单点登录
(SSO) 缓冲区是 Check Point GO 设备保存您首次与企业站点建立连接时提供的 VPN
身份验证的地方,以免您以后再输入他们。如想删除他们,请从站点属性 > 设置标签上,单击重设。
SecurID
RSA SecurID 身分验证机制由硬件(USB 内存 FOB、USB 令牌)或软件 (softID)
组成,利用内置时钟与编码的随机密钥,按固定间隔(通常为一分钟)生成验证码。
最典型的 SecurID 令牌形式就是手持设备。该设备通常为密钥 FOB 或一张长形卡。令牌可拥有一个 PIN
键盘,供用户输入 PIN 以生成一个密码。如果令牌未配备 PIN
键盘,系统会显示一个令牌密码。令牌密码就是密钥 FOB 上显示的不断变化的数字。
Check Point GO 站点向导支持这两种方式以及 SoftID (see "SecurID 身份验证设备" 页码为: 19)。
Check Point GO 同时使用 PIN 与令牌密码,或者单独使用密码,向安全网关进行身份验证。
SecurID 身份验证设备
目前存在数种版本的 SecurID 设备。原有格式是一种显示数字代码(令牌代码)
与时限的小巧设备。令牌代码每 60
秒变化一次,可作为身份验证的基础。如想进行身份验证,用户必须在令牌代码的开头加入一个特殊的PIN(
个人标识号)。时限指明多长时间后将生成另一个令牌代码。远程用户要求同时将 PIN
号及令牌代码输入客户端主连接窗口。
新格式与信用卡类似,将显示令牌代码、时限和用于键入 PIN
号的数字键盘。这些类型的设备把令牌代码与您输入的PIN号组合,生成一个密码。VPN
客户端仅需输入此密码。
密钥 FOB
包含控制网络服务与信息访问的内置身份验证机制的一种小型硬件设备,就称之为密钥
FOB。密码可在所有者不知晓的情况下被窃取,而一旦密钥 FOB 丢失,即可立马得知。如同其他 SecurID
服务,密钥 FOB 也可提供双重身份验证:用户拥有一个确认自己为设备所有者的个人标识号
(PIN);在用户准确无误地输入自己的 PIN 后,设备会显示一个允许登录网络的数字。SecurID SID700 密钥
FOB 即为此种设备的典范。
在为已确定 SecurID 为首选身份验证办法的用户开启 Check Point GO 窗口后,系统将显示一个供您输入 PIN
的字段。
使用远程 VPN 客户端
Check Point GO 用户指南 R75 HFA3 | 20
SoftID
SoftID
SoftID 的工作原理与密码设备一样,但只包含主机上安装的软件。
高级视图显示令牌与密码以及 Copy 按钮,允许用户在 softID 与 客户端之间执行剪切与粘贴操作。
挑战响应
挑战与响应是一种身份验证协议,即一方提出一个问题(挑战),另一方给出一个答案(响应)。如想通过
身份验证,必须给出问题的有效答案。使用智能卡的安全系统均依托挑战与响应协议。
更改身份验证方案
更改指定站点所用 VPN 客户端的身份验证方案:
1. 右键单击系统托盘上的客户端图标,选择站点属性。
站点属性窗口打开
2. 在设置选项卡上通过身份验证下拉框选择下列选项:
用户名与密码(默认)
证书 - P12
SecurID - Keyfob
SecurID - PinPad
SoftID
质询响应
智能卡
章节 4
故障诊断
在本章中
登录 Windows 21
收集日志 21
登录 Windows
Check Point GO 不支持在主 PC 上使用访客帐号。因此,如果登录 Windows
时出现意外行为,请确认现用用户帐号不是访客帐号。
收集日志
如想解决 Check Point GO 问题,系统管理员可能会要求您收集设备日志。
您可以在设备打开时收集日志文件,否则响应失败。
打开
意味着 Check Point GO 设备被加载且您已登录至 Secure Workspace。
关闭或锁定说明 Check Point GO 正在运行,但您还没登录至 Secure Workspace。
冻结说明设备未能启动或停止响应。
从打开的设备中收集日志
使用 Log Collector 创建日志。Log Collector 在 Check Point GO 设备内外均可运行。
在 Check Point GO 内运行 Log Collector:
1. 在系统托盘右键单击 Check Point GO 图标。
2. 选择收集日志。
3. 弹出消息将转向主机桌面,即 Log Collector 运行之处。
4. 从 Check Point GO 外运行 Log Collector:
5. 在宿主 PC 系统托盘上右键单击 Check Point GO 图标。
6. 选择收集日志。
Log Collector 打开。
7. 选择要收集的日志的类型:正常或扩展。
如果不确定,请询问您的系统管理员。
8. 在文本框内填入一小段问题描述。
从已关闭的设备中收集日志:
1. 在设备登录窗口中单击高级按钮。
2. 选择设备操作选项卡。
3. 选择启用日志记录,然后单击收集日志。
故障诊断
Check Point GO 用户指南 R75 HFA3 | 22
4. 按照以上过程指令,从第三步开始从 Check Point GO 外运行 Log Collector。系统会提示您在 "Log
Collector" 对话框中输入设备密码。
注意 - 要在设备处于关闭状态时使用 Log
Collector,您需要输入密码。如果未能输入正确密码,您只能通过仅收
集登录日志链接,收集最少的日志。在收集日志并被压缩至 .cab
文件后,保存 .cab 文件的目录将被自动打开。
从关闭的设备收集日志的另一种办法:
您也可以通过打开光盘(Check Point GO
驱动器)上的Utils目录并单击CollectTool.exe从关闭的设备收集日志。
从冻结的设备收集日志:
即使Check Point GO设备无法启动或者没有响应,依然能收集日志:
1. 从宿主 PC 上,打开我的电脑,显示器驱动:
2. 打开光盘(Check Point GO 驱动器)。
3. 打开Utils目录。
4. 单击 CollectTool.exe,启动日志收集过程。
