CheckPoint上的拓扑配置

Question

在CheckPoint防火墙(R77)的拓扑配置中。用于反欺骗的部分，是否可以配置两个不同的外部接口？

我已经为通过远程数据中心访问internet的外部配置了一个接口。

但是现在我在另一个界面上为我的本地用户提供了一个新的本地互联网接入，我想知道我是否可以配置另一个外部接口。

我并不真正理解内部和外部界面在反欺骗过程中的区别。

Answer 1

在检查点防火墙(R77)的拓扑配置中。用于反欺骗的部分，是否可以配置两个不同的外部接口？

这是可能的--例如，本文介绍了R77中的ISP冗余技术.清楚地描述了这种情况：

如果安全网关在网关对象的拓扑页面中有两个外部接口，则可以自动配置链接。

CCSA考试成绩的这个片段声明：

• 可以将多个接口定义为外部接口。

...In 这情况下，计算外部拓扑的相同行为适用于所有外部定义的接口--也就是说，任何内部接口上没有包含的任何网络在所有外部接口上都是有效的。

然而，可能会出现并发症。例如，有一个特定的设置可以使其打破更少的东西："支持具有多个外部地址的网关的连接性增强“。引用其中的一部分：

问题是，当VPN-1网关有两个外部接口时，VPN-1网关需要一种路由机制，该路由机制可以将返回到Office模式IP地址的数据包路由到适当的外部路由器，而SecureClient -1网关外部IP地址是基于该外部接口产生的。“支持具有多个外部接口的网关的连接性增强”选项满足了这一特定需求。

过去还存在一个问题，即需要无限许可才能传输到通过两个外部接口的路由。这条线已经有10年历史了，所以就拿一点盐来看吧。

我自己已经有10年没有大量的CheckPoint控制台时间了，但我记得当我使用它时，我使用了一些具有多个外部接口的实现，没有任何特殊的问题*。

*...due到多个接口。