来源:蜘蛛抓取(WebSpider)
时间:2016-10-14 14:46
标签:
江南职业技术学院
江南计算技术研究所 SJW08-VPN 安全网关江南计算技术研究所SJW08-VPN 安全网关用户手册(4.2 版)江南计算技术研究所 二零零五年一月江南计算技术研究所北京技术中心 电话:010-1�江南计算技术研究所 SJW08-VPN 安全网关目第一章 概录述 ...................................................................................................................................................... 11.1 江南计算技术研究所 VPN 产品系列 ....................................................................................................... 1 1.2 关于本手册 ................................................................................................................................................. 1 第二章 硬件安装................................................................................................................................................... 1 2.1 安全说明 ..................................................................................................................................................... 1 2.2 安装指南 ..................................................................................................................................................... 1 第三章 配置准备................................................................................................................................................... 3 3.1 控制面板安装 ............................................................................................................................................. 3 3.2 登录 VPN 网关 ........................................................................................................................................... 3 3.2.1 本地登录 .............................................................................................................................................. 3 3.2.2 远程登录 .............................................................................................................................................. 3 3.3 控制面板界面 ............................................................................................................................................. 4 第四章 网络设置................................................................................................................................................... 6 4.1 网络接口设置 ............................................................................................................................................. 6 4.2 透明网络 ..................................................................................................................................................... 7 4.3 静态路由 ..................................................................................................................................................... 9 4.4 ADSL 用户设置 ........................................................................................................................................ 10 4.5 MODEM 用户设置 .......................................................................................................................................11 第五章 VPN 设置 ............................................................................................................................................... 12 5.1 证书 ........................................................................................................................................................... 12 5.2 SMC 设置 .................................................................................................................................................. 12 5.3 加密算法 ................................................................................................................................................... 13 5.4 静态隧道 ................................................................................................................................................... 14 5.5 信任设备 ................................................................................................................................................... 14 5.6 动态隧道 ................................................................................................................................................... 14 5.7 虚拟路由 ................................................................................................................................................... 15 5.8 活跃隧道 ................................................................................................................................................... 16 5.9 客户端配置 ............................................................................................................................................... 16 5.9.1 基本设置 ............................................................................................................................................ 17 5.9.2 用户设置 ............................................................................................................................................ 18 5.9.3 上线用户列表 .................................................................................................................................... 19 第六章 防火墙设置............................................................................................................................................. 20 6.1 包过滤规则 ............................................................................................................................................... 20 6.1.1 添加 .................................................................................................................................................... 20 6.1.2 删除 .................................................................................................................................................... 21 6.1.3 更改 .................................................................................................................................................... 21 6.1.4 清空 .................................................................................................................................................... 21江南计算技术研究所北京技术中心 电话:010-1�江南计算技术研究所 SJW08-VPN 安全网关6.1.5 上移/下移 ........................................................................................................................................... 21 6.2 NAT 规则 ................................................................................................................................................... 21 6.2.1 NAT 地址池......................................................................................................................................... 22 6.2.2 源 NAT 规则....................................................................................................................................... 22 6.2.3 反向 NAT 规则................................................................................................................................... 23 6.2.4 IP-MAC 地址绑定 .............................................................................................................................. 24 6.2.5 本机安全策略 .................................................................................................................................... 25 6.2.6 非法登录主机 .................................................................................................................................... 26 第七章 服务器设置............................................................................................................................................. 27 7.1 DHCP 服务器 ............................................................................................................................................ 27 7.2 拨号服务器 ............................................................................................................................................... 28 7.3 L2TP 服务器 ............................................................................................................................................... 29 7.4 拨号用户 ................................................................................................................................................... 31 7.5 DNS 代理................................................................................................................................................... 32 7.6 SNMP 代理 ................................................................................................................................................ 33 7.7 附录 ........................................................................................................................................................... 36 7.7.1 Windows 上 L2TP over IPSec VPN 客户端的配置 ........................................................................... 36 7.7.2 Windows 上 L2TP VPN 客户端的配置 .............................................................................................. 45 第八章 带宽管理................................................................................................................................................. 46 第九章 双机热备份............................................................................................................................................. 51 第十章 系统日志................................................................................................................................................. 53 第十一章 其他设置............................................................................................................................................... 1 第十二章 常见问题解答....................................................................................................................................... 3江南计算技术研究所北京技术中心电话:010-2�江南计算技术研究所 SJW08-VPN 安全网关第一章 概 述Internet 技术正日益改变着人们的工作和生活方式,基于Internet构建信息网络传输平台已成为政府、金融、企业 等部门组建专用网络的首选方案之一,“江南计算技术研究所VPN(虚拟专用网)系列产品”正是您基于Internet架 设自己的专用网络的最佳选择。1.1 江南计算技术研究所 VPN 产品系列江南计算技术研究所 VPN 系列产品集 VPN、防火墙等网络安全功能于一身,产品系列包括江南计算技术研究所 VPN400/300/200/160/80/60/50 安全网关、江南计算技术研究所 VPN 软件网关、江南计算技术研究所 VPN 客户端, 以及与 VPN 产品相配套的“江南计算技术研究所安全管理中心”。1.2 关于本手册内容本手册提供了江南计算技术研究所VPN系列产品的安装配置使用说明,适用于江南计算技术研究所VPN硬件网 关(4.1版)全线产品,使用者可按照本手册所描述,完成产品的所有配置。读者本手册适用于购买我公司VPN网关产品的用户,要求使用者具有一定的计算机网络基础知识以及TCP/IP和VPN 相关的基本概念。江南计算技术研究所北京技术中心电话:010-1�江南计算技术研究所 SJW08-VPN 安全网关第二章 硬件安装2.1 安全说明● 江南计算技术研究所 VPN 安全网关属网络安全专用产品,请勿尝试自行维修。 ● 接通电源之前,一定仔细检查了电源的输出值,以免发生过压毁机。 ● 请勿在设备的通风口或开口处填塞任何物件,否则可能导致内部元件过热、短路而发生火灾或触电。 ● 设备开启电源后,切勿将其置于通风不良或室温过高的环境中,例如:房屋角落、办公物品较多处。 ● 使用交流电变压器类外接电源的 VPN 设备时, 应确保已将外接电源放置在了通风的位置, 切勿用纸张或其他影响散热的物件覆盖外接电源。● 请勿在潮湿的环境中使用 VPN 安全网关。2.2 安装指南江南计算技术研究所 VPN 安全网关的网络安装十分简单,在开始安装连接 VPN 网关之前,需要准备好必要的 网线、RS232 串口控制线以及电源线等物品,并确保 VPN 网关周围留有足够的通风散热空间,请不要将重物放置在 VPN 网关设备上。在网线、控制线缆连接完毕后,将 VPN 网关的电源线稳定、可靠地插在机箱电源插座和电源插座 上。网线实例:注意:RJ-45 网线存在“直连线”和“交叉线”两种类型,通过网线两头 RJ-45接头中的细线颜色对比,可以轻易地判断出网线的类型。细线色序一致时为直连线;色序在两头出现 1-3、2-6 对应, 其余一致时为交叉线,不同类型的网线应用在不同的网络设备连接时。●当 VPN 设备的网口与路由器、主机网卡相连时,用交叉线; ●当 VPN 设备的网口与 HUB(集线器) 、SWITCH(交换机) 、ADSL 拨号 MODEM 相连时,用直连线。串口线(9 针 RS232 接头)实例:江南计算技术研究所北京技术中心电话:010-1�江南计算技术研究所 SJW08-VPN 安全网关江南计算技术研究所 VPN 硬件接口示意:控制口 接入控制台串口电源插座 接入 220V 交流电Modem 口 接入拨号 Modem 内网口 外网口 接入外网以太口或 ADSL 以太口电源开关接入内网 Switch 或 Hub电源插座 接入直流电源转换器网络连接步骤: 1. 将 VPN 网关平稳地放置在机架或固定物上(如:办公桌) ; 2. 用 RJ-45 接头的以太网线将 VPN 网关的“内网口”接入您的局网集线器或交换机的网口上; 3. 用 RJ-45 接头的以太网线将 VPN 网关的“外网口”接入外网的网络设备上(如:路由器、交换机等) ,当您使 用 ADSL 拨号上网时, 将您的 “外网口” 接至 ADSL 拨号 Modem 的以太网口上; 若您使用普通的拨号 Modem, 请将 VPN 设备的“MODEM”口用专用串口线接至 Modem 串口上; 4. 若您需要本地配置您的 VPN 网关,还需要利用 RS232 串口线将 VPN 网关“控制口”与控制台(如:笔记本 电脑)相连; 5. 插入电源线缆将电源接入您的 VPN 网关。若您使用的 VPN 产品需要外接电源转换器,则将专用的外接电源 的插头接入 VPN 设备的电源插口。注意:应确保电源线两头稳固地插入了电源插座; 6. 打开电源开关,观察电源指示灯和网络接口上的连接指示灯(有关指示灯信息请查阅相关 VPN 设备的指示灯 说明) ,当确认机器工作正常,网络连接正常时,您便完成了 VPN 安全网关的网络安装连接; 7. 通过 VPN 控制台对 VPN 网关进行各项系统参数设置后,江南计算技术研究所 VPN 安全网关将会为您提供满 意的服务。江南计算技术研究所北京技术中心电话:010-2�江南计算技术研究所 SJW08-VPN 安全网关第三章 配置准备3.1 控制面板安装通过“控制面板”您可以配置江南计算技术研究所 VPN 网关的各种参数。控制面板是运行在 WINDOWS 操作 系统上的一个应用程序,您首先需要准备一台装有 WINDOWS 操作系统的便携机或台式机,并在准备好的机器上拷 入 VPN 网关控制面板应用程序,您的这台便携机或台式机就可以用作 VPN 网关的控制台了。3.2 登录 VPN 网关在控制台上进入控制面板程序所在的目录,双击控制面板启动程序,这时系统将显示“VPN 网关地址簿”界面, 如图 3-1 所示:图 3-1 登录 VPN 网关有 2 种方式,一种是通过网络远程登录 VPN 网关,另一种是利用本地的串口登录 VPN 网关。在 第一次设置 VPN 网关设备时,既可以利用本地串口进行登录,也可以通过网络进行登录,设备出厂时为“内网口” 分配了 IP 地址:192.168.1.1。3.2.1 本地登录选择“本地管理 VPN 网关”即通过控制台 RS232 串口登录,将网关控制台的串口与需要配置的 VPN 网关设备 控制串口用串口连接线相连,在登录口令栏中输入正确的口令(初始默认口令为 sjw08) ,在“端口”框中填入相应 的端口号(例如:COM1) ,点击“应用”保存该登录信息,点击“登录”按钮进行登录,口令/端口输入不正确时 不能登录江南计算技术研究所 VPN 网关。 在使用“超级终端”登录 VPN 设备时,串口通信特性为: 波特率 数据位 奇偶校验 停止位 数据流控制 38400bps 8位 无 1 bit 硬件。注意:若您的机器(如:便携机)没有串口,需要用 USB 口转串口线接入 VPN 的控制口,这时,您所使用的本地登录串口号可在“设备管理器”查找。一般查看方法为: “控制面板”―&“系统”―&“硬件”―&“设备管理器” ―&“端口” 。3.2.2 远程登录江南计算技术研究所北京技术中心 电话:010-3�江南计算技术研究所 SJW08-VPN 安全网关 选择“远程管理 VPN 网关” ,如图 3-2 所示:图 3-2 为了方便用户管理 VPN 网关,控制面板将您所管理的 VPN 网关进行了分组。当您是第一次通过网络远程管理 某个 VPN 网关时,首先为其定义组属性,点击“添加组”按钮,为您管理的 VPN 网关命名一个组名,再点击“添 加网关” ,为您管理的 VPN 网关命名、定义网关 IP 地址、端口号、登录口令和对此网关的说明,点击“应用”保 存所有信息,点击“登录”按钮登录系统。当您再次远程登录该 VPN 网关时,只需在网关地址簿中选中相应的设 备即可。 远程登录分为 2 种方式,即:SSH 登录方式和 TELNET 登录方式。SSH 登录方式为您提供了加密的登录通道, 所有的登录信息(包括登录口令等)均以密文方式传输,推荐远程登录时使用 SSH 登录方式。3.3 控制面板界面登录成功后将弹出 VPN 网关控制界面如图 3-3 所示:标题栏菜单栏工具栏 标题栏:显示登录网关的 IP 地址、证书 ID 号及网关名称; 菜单栏:提供“管理” “查 、 看”和“帮助”下拉菜单; 工具栏: 提供 VPN 网关管理 的标准工具按钮; 管理界面区:显示控制面板 所提供的所有管理功能项; 列表区:依据管理界面中选定的 管理功能, 列出相应的可配置项,管理界面区状态栏 图 3-3列表区用户可以在列表区中选定相应的 项目进行配置的增、删、改; 状态栏:显示控制面板工作的相 应状态。江南计算技术研究所北京技术中心电话:010-4�江南计算技术研究所 SJW08-VPN 安全网关 江南计算技术研究所 VPN 控制面板为您提供了简洁的标准工具按钮,其功能如下: 工具按钮 功能 点击“地址簿”您将打开地址簿,可从中选择所需要登录的 VPN 网关。在配置完一台 VPN 网关后, 当您希望配置另一台 VPN 网关时,可选用此项地址簿功能; 重新启动 VPN 网关,当您点击此按钮后,系统将提示确认是否重新启动、是否将配置保存等信息; 永久保存 VPN 网关的配置信息; 显示或隐藏命令输出栏,当显示命令输出栏时,管理员可以在命令输出栏中观察到 VPN 网关所执 行的命令情况; 显示或隐藏管理界面;立即退出控制面板。江南计算技术研究所北京技术中心电话:010-5�江南计算技术研究所 SJW08-VPN 安全网关第四章 网络设置用户可以在“网络设置”功能界面中设置 VPN 网关的各种网络参数特性,包括: “网络接口”“透明网络”“静 、 、 态路由”“ADSL 用户设置”“MODEM 用户设置”等。 、 、4.1 网络接口设置用户在网络接口设置页面中为 VPN 网关上各个网口配置网络通讯参数,包括“网络类型”“IP 地址”“网络 、 、 掩码” ,以及“路由器 IP 地址”等。 VPN 设备出厂时,已经默认存在三个网络接口:INTERNAL(内网口) 、EXTERNAL(外网口)和 VPN0,并 且这三个网络接口不允许删除(VPN0 是 VPN 网关内置的虚拟设备,不允许更改) 。双击任意一个网络接口项目或 在某个网络接口项目上点击鼠标右键并选择“编辑项目属性” ,可以修改选中项目的各项参数。如图 4-1 所示:图 4-1 INTERNAL、EXTERNAL 和 VPN0 三个网络接口项目属性中,接口名称不允许更改。 “设备名称”表示该网络接口对应的实际网络设备,下拉列表中列出了 VPN 设备上的所有空闲的网络设备。 “接口状态”表示本网络接口是否活跃,UP 表示活跃,DOWN 表示非活跃。 “MAC 地址”显示该物理网卡的 MAC 地址参数。 如果该网络接口是定义的某个网桥的成员,则在“所属透明网络”中列出了该网络接口所属的网桥名称。 “网络类型”列表中包括 ETH(以太网) 、ADSL 接入、MODEM 接入、DHCP 动态地址分配。INTERNAL 网 络类型固定为以太网络,EXTERNAL 网络类型需要用户选择符合实际的相应网络类型。当用户选择了“ETH”后,江南计算技术研究所北京技术中心 电话:010-6�江南计算技术研究所 SJW08-VPN 安全网关 用户必须设置相应的以太网 IP 地址、网络掩码,EXTERNAL 还需要选择本网出口的路由器 IP 地址。如果用户选择 了“ADSL”或“MODEM”类型,则必须进行“ADSL 用户设置”或“MODEM 用户设置” “ADSL 用户设置” 。 请参考 4.4 部分, “MODEM 用户设置”请参考 4.5 部分。 在“网络接口属性”对话框中点击“添加从地址”按钮,弹出“增加从地址”对话框,当用户有多个网段时, 可在此为网关设置多网段的 IP 及掩码。如图 4-2:图 4-2 在右侧的网络接口视图中点击鼠标右键,选择“增加新项目” ,将弹出网络接口属性对话框(如图 4-3) 。如果 有未用的网络设备,可以通过该对话框为该网络设备指定各项参数,在设置这些参数之后,该网络设备就可以正常 使用了。图 4-34.2 透明网络在该页面中用户可以为 VPN 设备配置透明接入相关参数。透明网络可以使 VPN 设备在接入网络后,原来的网江南计算技术研究所北京技术中心 电话:010-7�江南计算技术研究所 SJW08-VPN 安全网关 络拓扑及设置不需更改。江南计算技术研究所 VPN 网关采用的透明接入方式为网桥方式。VPN 设备出厂时, “透 明网络”内容为空。若想增加一个透明网络条目,请在右侧视图中单击鼠标右键,选择“增加新项目” 。对话框如 图 4-4 所示:图 4-4 在“透明网络名称”中您可以自定义该透明网络的名称; “设备名称”中列出了可用的透明网络设备标识。 “透 明网络名称”和“设备名称”均不能和已有的透明网络相应字段重复。 在添加“透明网络”条目后,可以双击条目对其做进一步配置,如下图:江南计算技术研究所北京技术中心电话:010-8�江南计算技术研究所 SJW08-VPN 安全网关图 4-5 “未绑定端口”中列出了待选的网络接口; “已绑定接口”中列出的网络接口之间将实现透明连接。您可以通过 “绑定接口”和“解除接口”按钮进行设置。4.3 静态路由该功能用来手工添加和修改系统路由表中的静态路由条目。 静态路由指的是 VPN 设备中固定的路由条目。 VPN 设备出厂时, “静态路由”内容为空。若想增加一个静态路由条目,请在右侧视图中单击鼠标右键,选择“增加 新项目” 。对话框如图 4-6 所示:如下图:江南计算技术研究所北京技术中心电话:010-9�江南计算技术研究所 SJW08-VPN 安全网关图 4-6 分别填入“目的 IP 地址”“目的地址掩码”和“网关地址” 、 ,如果有必要,选择合适的网络接口。单击“添加” 添加该条静态路由。 “目的 IP 地址”和“目的地址掩码”规定的是数据包的目的 IP 范围。在该 IP 范围内的数据包才会按照该规则 进行路由。 “网关地址”表示 VPN 设备将把数据包发送给这个地址的网络设备。 “网络接口”如果选择“自动选择网络接口” ,VPN 会自动选择一个可以到达“网关地址”的网络接口发送该 数据包;否则将通过用户指定的网络接口发送。 静态路由条目添加之后不能更改,如需改动,只能先删除原来的条目再添加。4.4 ADSL 用户设置当 EXTERNAL 网络接口的类型为“ADSL”时,您可以进行 ADSL 的参数设置。选择左边的“ADSL 用户设 置”节点并双击右侧视图中的“ADSL 拨号用户设置”条目,弹出如图 4-7 对话框:江南计算技术研究所北京技术中心电话:010-10�江南计算技术研究所 SJW08-VPN 安全网关 图 4-7 在该对话框中设置 ADSL 拨号的用户名和口令,并选择启动方式。 “自动拨号”表示 VPN 网关在开机时会自动 拨号, “拨号启动方式”中的“动态拨号”表示 VPN 网关只在内网有数据包需要跟 INTERNET 通讯时才拨号。4.5 Modem 用户设置当 EXTERNAL 网络接口的类型为 “MODEM” 您可以进行 MODEM 的参数设置。 “管理界面”“MODEM 时, 选择 的 用户设置”并双击右侧列表中的“MODEM 拨号用户设置”条目,弹出如图 4-8 对话框:图 4-8 在该对话框中设置 MODEM 拨号的电话号码、 用户名和口令以及启动方式。 “高级设置” 中的连接速率表示 VPN 网关与 MODEM 之间的通讯速率,通常按默认配置即可。 “拨号启动方式”中的“自动拨号”表示 VPN 网关在开 机时会自动拨号, “动态拨号”表示 VPN 网关只在需要跟 INTERNET 建立连接时才拨号。江南计算技术研究所北京技术中心电话:010-11�江南计算技术研究所 SJW08-VPN 安全网关第五章 VPN 设置5.1 证书证书是 VPN 网关用于进行验证的身份标志,江南计算技术研究所 VPN 网关设备之间根据对方的证书信息验证 对方身份的合法性。 双击“证书”条目将弹出“证书”对话框,导入方式分为两种,一种是文件导入另一种为 USBKEY 导入。当使 用 USBKEY 导入证书时需要正确输入 USBKEY 的口令,在证书导入 VPN 网关系统后, “本机证书信息”框中将出 现“本机 ID”“本机名称”和“证书公钥”等内容。如图 5-1 所示: 、图 5-15.2SMC 设置SMC 设置界面如图 5-2 所示:江南计算技术研究所北京技术中心电话:010-12�江南计算技术研究所 SJW08-VPN 安全网关图 5-2 江南计算技术研究所 VPN 设备支持主、从 SMC 服务器的工作方式,VPN 设备首先在主 SMC 上进行身份认证 并下载策略,当主 SMC 不能正常工作时,VPN 设备将尝试在从 SMC 上进行身份认证并下载策略。 用户需要选择 SMC 的地址类型,有两种地址类型可以选择:IP 地址或者是 DNS 域名。选择 IP 地址方式时,在 “IP 地址”栏中,填入 SMC 的 IP 地址;选择 DNS 域名时,在“域名”栏中填入 SMC 的域名。 当 SMC 的通告端 口、认证端口或下载端口有变化时,则必须指定 SMC 端口,建议使用默认的端口设置。 若启用了在线认证功能, 在认证成功后 VPN 设备将从 SMC 中下载和本台 VPN 设备属于同一个安全域的信任设 备的信息;不启用在线认证将不能从 SMC 上下载设备信息。 当 SMC 位于中心 VPN 网关保护子网内,需要将中心 VPN 网关的外网口地址填写到“本机强制通告 IP 地址” 中。5.3加密算法加密算法列表如图 5-3 所示:图 5-3 该列表列出了本机支持所有加密算法,状态列标志出算法是否被加载。若需要加载一个算法时,在列表中用鼠 标右键单击该算法,选择“加载”按钮,当状态栏中显示该算法“已加载”时,便完成了该算法的加载工作。加载 加密算法时,如果该算法需要硬件加密设备,硬件加密设备必须已安装,否则算法加载不能成功。江南计算技术研究所北京技术中心电话:010-13�江南计算技术研究所 SJW08-VPN 安全网关5.4静态隧道您可以通过手工设置静态隧道。点击“添加”将弹出“手工添加隧道”对话框,您可以在此对话框中填入相应的隧道信息以定义一条静态隧道。可以对定义好的静态隧道进行“删除”“修改”“启用”“禁用”等操作。手工 、 、 、 设置的隧道封装模式为隧道封装。图 5-45.5信任设备当 SMC 地址正确输入后,VPN 网关从 SMC 中下载与本机有信任关系的主机信息,如图 5-5 所示:图 5-5 列表中显示了设备状态、设备 ID、设备名、设备类型、外网口 IP 地址、内网口 IP 地址、NAT 状态、IKE 地址 /端口、IKE 漂移地址/端口等信息,这些信息均从 SMC 自动下载。5.6动态隧道在“动态隧道”中,您可以设置与信任设备之间的隧道各项参数。在隧道列表中显示关于本台 VPN 设备的所有隧道,单击鼠标右键并选择“添加”命令弹出如图 5-6 所示对话框:江南计算技术研究所北京技术中心电话:010-14�江南计算技术研究所 SJW08-VPN 安全网关图 5-6 用户需要填入隧道的名称、对端设备 ID,定义加密算法和认证算法,钩选“自动发起隧道协商”等信息。信任 设备列表显示了从 SMC 下载的与本台 VPN 设备属于同一个安全域的设备,也可以在信任设备列表中选中某一设备 作为隧道的对端设备。点击“确定”便定义了一条隧道。 点击“高级”按钮将进入“隧道高级设置”对话框,如下图所示:图 5-7 用户可以在此定义隧道两端的保护子网,填入相应的地址和网络掩码,点击“确定”便完成了本地和远端保护 子网的设置工作。5.7虚拟路由虚拟路由表如图 5-8 所示:图 5-8江南计算技术研究所北京技术中心 电话:010-15�江南计算技术研究所 SJW08-VPN 安全网关 虚拟路由定义为:从某一源 IP 地址(或网段)发出的到某一目的 IP 地址(或网段)的数据包,从本 VPN 设备 中的某一隧道通过。 虚拟路由表中显示了数据包的源和目的 IP 地址(或网段) ,以及需要经过的隧道,点击“添加”按钮弹出如图 5-9 所示对话框:图 5-9 填写对端的子网地址、子网掩码,在“隧道名称选择”列表中选择到达此子网所使用的隧道,点击“确定”便 完成了虚拟路由的添加。 您可以对使用该隧道进行通讯的数据进行源地址控制, 去掉 “忽略源地址” 选项, 可以将源地址参数设置到 VPN 网关中,此时只有符合该地址的数据包才会转发。 利用隧道路由,您可以将隧道级连起来,将网络信息通过分段的隧道送达到目的地。5.8活跃隧道当与本台 VPN 网络设备相关联的隧道活跃时,则在窗口中显示相应的隧道信息,信息包括:本地保护网段/掩码、隧道起点、隧道终点、远端保护网段/掩码等。每条隧道均具有一个状态,用一个圆点来表示。状态圆点带有颜 色, “红色”代表隧道断开; “蓝色”代表隧道建立; “黄色”代表中间过渡状态。5.9 客户端配置为方便使用江南计算技术研究所 VPN 客户端,江南计算技术研究所 VPN 网关 4.2 版支持在本机上对 VPN 客户 端(4.2 版)的配置定义工作,以尽量减少 VPN 客户端的配置,使得 VPN 客户端只需指定 VPN 网关地址和认证方 式便可以和 VPN 网关进行连接通信。江南计算技术研究所北京技术中心电话:010-16�江南计算技术研究所 SJW08-VPN 安全网关5.9.1 基本设置在“基本设置”中,您可以设置客户端的认证参数和客户端虚拟网卡地址等。如下图所示:用户可选择的“认证方式”有: 1. 用户名、口令认证; 2. VPN 证书认证; 3. VPN 证书认证+用户名、口令认证; 4. X509 证书认证;江南计算技术研究所北京技术中心 电话:010-17�江南计算技术研究所 SJW08-VPN 安全网关 5. X509 证书认证+用户名、口令认证。 当用户选择“用户名、口令认证”方式时,需要在本 VPN 网关“客户端配置”的“用户设置”中“添加”该用 户的“用户名”和“口令” ;当选择“VPN 证书认证”方式时,需要在本 VPN 网关导入本网关的 VPN 电子证书。若 选择“VPN 证书认证+用户名、口令认证”则既需要定义用户名、口令,又需要导入电子证书。 进行用户身份认证时可选择“本地认证”或“Radius 服务器认证”“本地认证”系指在本 VPN 网关进行相关用 。 户身份认证; “Radius 服务器认证”系指在一台 Radius 服务器上进行相关用户身份认证。当选择 Radius 服务器认证 时需指定“服务器 IP 地址”“服务端口”以及登录验证的“共享密钥” 、 。 “缺省权限设置”定义了 VPN 客户端可以访问的 VPN 网关所保护的内部网段地址,VPN 网关还可以在“用户 设置”中定义一些客户端可访问的 VPN 网关所保护的其他内部网段地址。 “地址设置”允许 VPN 网关指定客户端动态获取其虚拟网卡的地址范围以及分配给客户端的 DNS 和 WINS 服 务器地址,其界面如下图所示。5.9.2 用户设置“用户设置”允许 VPN 网关定义使用本 VPN 网关进行隧道连接的客户端用户信息。当选中“用户设置”后在 界面右侧点击鼠标右键将弹出用户定义界面如下图所示:江南计算技术研究所北京技术中心电话:010-18�江南计算技术研究所 SJW08-VPN 安全网关填写“用户名”“用户口令”及“确认口令”并指定了客户端可访问的内网地址后,点击“确定”便完成了客 、 户端用户信息的定义。 用户名状态灯定义: 蓝色: 红色: 表示该用户处于“启动”状态; 表示该用户处于“停止”状态。5.9.3 上线用户列表上线用户列表将显示 VPN 客户端上线情况,如下图所示:用户名状态灯定义: 蓝色: 红色: 表示隧道建立,工作正常; 表示隧道未建立,不能正常通信。江南计算技术研究所北京技术中心电话:010-19�江南计算技术研究所 SJW08-VPN 安全网关第六章 防火墙设置6.1 包过滤规则江南计算技术研究所 VPN 网关内置基于状态的包过滤型防火墙,可以自动识别基于 IP 的多种通讯协议,对应 用同一种协议的各种服务进行分别控制。 VPN 网关设备的防火墙控制策略描述为:基于 IP 的网络协议在防火墙规则表中有匹配项的,按先匹配上的规则 进行网络访问控制;没有匹配项的,按防火墙系统默认规则进行网络访问控制。系统默认规则为“允许通过” 。 防火墙的控制语义为:对于从客户地址 X 到服务器地址 Y 的 P 协议 S 服务的 IP 数据流进行允许或拒绝网络访 问控制;例如:对于从客户地址 10.10.197.0/24 到服务器地址 192.168.1.0/24 的 TCP 协议 FTP 服务的 IP 数据流进行 允许网络访问控制。 “包过滤规则”分区域设置,一个区域对应一个网络接口。在一个区域中设置的访问控制规则意思指对要访问 这个区域的数据包进行控制。6.1.1 添加在右侧列表中单击鼠标右键并选择“添加”命令用于增加一条防火墙控制规则,点击“添加”按钮后界面如图 6-1 所示。图 6-1?基本设置电话:010-江南计算技术研究所北京技术中心20�江南计算技术研究所 SJW08-VPN 安全网关 “策略”表示对匹配该规则的数据包是允许通过还是丢弃。 在“网络协议”对话框中,用户可以选择 VPN 网关所支持的各种基于 IP 的网络协议,并可以选择该协议支持 的多种服务(例如:选择基于 IP 的 TCP 协议的 FTP 服务)。如果一个用户自定义的服务没有在下拉服务列表中列出, 可以直接输入这个服务的端口号。?网络接口设置您可以指定数据包的源网络接口。?网络地址设置在“源地址设置”对话框中,用户可以指定使用上述协议和服务的发起方的 IP 地址和网段。 在对话框的“IP 地址”栏中填写服务连接发起方的主机或子网地址,在“网络掩码”栏中填写网络掩码。对话框中提供了“地址类型”下拉选择框以方便用户输入,如果选择了“单一主机”则不用填写“网络掩码” (注意:以 “网络掩码”的输入为最终结果) 。 在“目的地址设置”对话框中,用户可以指定提供上述协议和服务的服务方的 IP 地址和网段。 在对话框的“IP 地址”栏中填写服务提供方的主机或子网地址,在“网络掩码”栏中填写网络掩码。对话框中 提供了“地址类型”下拉选择框以方便用户输入,如果选择了“单一主机”则不用填写“网络掩码” (注意:以“网 络掩码”的输入为最终结果) 。6.1.2 删除“删除”按钮用于删除原先已设置防火墙规则项,若需要删除一个防火墙规则项,则在规则列表中选中要删除 的防火墙规则项(点击该防火墙规则项即可) ,然后单击鼠标右键选择“删除”按钮,即完成了对该防火墙规则项的 删除,该规则项将在上述界面中消失。6.1.3 更改当您需要更改一个已经存在的防火墙规则项时,首先选中要更改的规则项(点击该规则项即可) ,然后单击鼠标 右键选择“更改”按钮或双击该防火墙规则项,更改防火墙规则与添加防火墙规则的具体操作类似,详请参见“添 加”一节。6.1.4 清空“清空”按钮用于一次性删除当前网络接口对应的所有防火墙规则。6.1.5 上移/下移“上移”/“下移”按钮是在防火墙规则表中移动防火墙规则的手段,利用上移/下移可以提高/降低某一规则 的匹配命中率。6.2 NAT 规则“NAT 规则”设置包括“NAT 地址池”“源 NAT 规则” 、 、和“反向 NAT 规则”三部分。江南计算技术研究所北京技术中心电话:010-21�江南计算技术研究所 SJW08-VPN 安全网关6.2.1 NAT 地址池NAT 地址池可以用在手工指定 VPN 网关做源 NAT(主要用作代理上网)时,NAT 之后的数据包源 IP 地址范围。 在右侧列表中单击鼠标右键并选择“添加”命令,弹出如下“添加地址池”对话框,在该对话中可以指定地址池的 名称、起始地址和结束地址。一个地址池条目最多可以包含 255 个地址。您可以添加多个地址池条目。图 6-26.2.2 源 NAT 规则源 NAT 规则的语义为:从内网的某个网址(段)到外网的某各网址(段)利用某种网络协议(例如:TCP)进 行网络通信需要进行 NAT 代理,源地址代理成为 VPN 设备的某个网络接口(例如:拨号网络)或某个地址池中的 地址。 在右侧视图中单击鼠标右键并选择“添加”命令弹出“添加源 NAT 规则”对话框:江南计算技术研究所北京技术中心电话:010-22�江南计算技术研究所 SJW08-VPN 安全网关图 6-3 在“网络设置”中可以定义该 NAT 规则的网络协议、网络服务和发送网络接口。网络协议和网络服务的含义参 见“防火墙设置”部分; “发送网络接口”表示该 NAT 规则起作用的网络接口,VPN 网关将对使用该接口进行发送 并且匹配该 NAT 规则的数据包进行 NAT 转换。 “地址设置”可以指定该 NAT 规则的源和目的地址。只有地址匹配的数据包才会进行 NAT 转换。全“0”的地 址和掩码代表所有的地址和网段。 “映射设置”可以设置数据包映射后的源地址。该项有 2 种选择,当选择“自动选择发送网络接口地址”时, VPN 会在发送网络接口上自动选择一个地址作为数据包映射后的源地址;当选择“自定义地址池”时,需要在“地 址池”中选择一个地址池,VPN 会在该地址池中选择一个地址作为数据包映射后的源地址。6.2.3 反向 NAT 规则反向 NAT 规则是指某一外网地址(段)欲访问本地内网的一台主机,但目的地址指向本 VPN 设备的外网口 IP 地址时,VPN 设备将该外网口地址映射到内部的一台主机 IP 地址上的过程。 反向 NAT 规则的语义为:当外网某一 IP 地址(网段)利用某网络协议(例如:TCP 协议)访问本 VPN 设备的 某一外网口地址和端口时,将该外网口的地址和端口映射为内网的某一台主机的 IP 地址和服务端口。 在右侧视图中单击鼠标右键并选择 “添加”命令可以添加一条反向 NAT 规则,弹出对话框如图 6-4 所示:江南计算技术研究所北京技术中心电话:010-23�江南计算技术研究所 SJW08-VPN 安全网关图 6-4 “网络设置”部分与源 NAT 规则部分含义相同。 “源地址设置”表示只有发送地址属于该范围的数据包才进行 NAT 转换。 “目的地址设置”有两种选择。当选择“指定 IP 地址”时,需要手工输入一个 IP 地址,只有目的地址为该 IP 地址的数据包才进行 NAT 转换。当选择“与本机网络接口相同”时,您需要在下面的对话框中选择一个网络接口, VPN 网关会取该网络接口的 IP 地址作为 NAT 规则的目的地址。此项功能适用于目的地址为动态的情况,如:外网 通过 ADSL 拨号接入。 “映射设置”可以设置映射后的目的 IP 地址和目的端口。映射后的目的地址必须为实际存在的内部主机 IP 地 址,映射后的目的端口为“0”时表示端口映射后不发生改变。说明:NAT 规则的“修改”“删除”“上移” 、 、 “下移”和“清空”操作与包过滤规则操作类似,请参考“包过滤 规则”部分。6.2.4 IP-MAC 地址绑定在“IP-MAC 地址绑定”栏中,用户将某些网络的 IP 地址和它的 MAC 地址进行绑定,以防止他人冒用用户的 IP 地址进行网络访问操作。可以通过“手工增加”的方式添加 MAC 地址绑定关系,也可以通过系统的 ARP 表“系 统列表添加” 。当您选择手工增加时,在右侧视图中单击鼠标右键并选择“手工增加”按钮,通过如图 6-5 所示的界 面,手工填入需要绑定的 IP 地址和它的 MAC 地址。江南计算技术研究所北京技术中心电话:010-24�江南计算技术研究所 SJW08-VPN 安全网关图 6-5 当用户希望从网关的 ARP 表中获得 IP 地址和 MAC 地址的绑定关系时,在右侧视图中单击鼠标右键并选择“系 统列表添加”按钮,从如图 6-6 所示的系统 ARP 表中进行选择并添加。图 6-6 从 ARP 表中进行添加绑定关系的方式为:选中左边尚未被绑定的 IP 地址项,点击“添加”按钮,当右边视框中 出现 IP 地址和 MAC 地址项时点击“应用” ,您便完成了该 IP 地址和相应的 MAC 地址的绑定关系。 经过以上两种方式添加的绑定关系,可以通过“删除”“清空”两个按钮对所选中的选中项进行相应的操作。 、 最后,在右侧视图中单击鼠标右键并选择“启用地址绑定”命令使得设置工作生效。6.2.5 本机安全策略在此项中设置本机的安全控制策略,在此列表中列出的所有规则都是“允许”的,凡是没有列出的规则都被拒 绝。如图 6-7 所示:图 6-7 VPN 设备出厂时,已经默认存在三条访问本机的策略。网络协议为 tcp、网络服务为 ssh 的条目是对远程用 ssh 方式登录本 VPN 网关的操作进行控制;网络协议为 tcp,网络服务为 telnet 的条目是对远程用 telnet 方式登录本 VPN 网关的操作进行控制;网络协议为 icmp,网络服务为 ANY 的条目是对远程 ping 命令的控制。 在右侧视图中单击鼠标右键并选择 “添加”命令,弹出如图 6-8 所示对话框:江南计算技术研究所北京技术中心 电话:010-25�江南计算技术研究所 SJW08-VPN 安全网关图 6-8 “基本设置”中的“策略”说明了对匹配该规则的请求如何处理,该项只有一个“允许”选项(所有没有添加 的规则都表示“拒绝”; )“网络协议”和“网络服务”参见“包过滤规则”部分; “进入网络接口”表示该规则所监 控的数据包进入网络接口。 “网络地址设置”可以设置对源地址为该范围的远程主机匹配该策略。用户可以对列表中 的规则进行修改和删除。 说明:本机安全策略的“修改”“删除”“上移” 、 、 “下移”和“清空”操作与包过滤规则操作类似,请参考“包 过滤规则”部分。6.2.6 非法登录主机当用户在右侧视图中单击鼠标右键并选择 “启用自动防护”命令后,通过网络登录 VPN 网关,连续三次输入 密码错误时,系统会认为此 IP 地址主机为非法登录,将在非法登录主机列表中列出清单,如图 6-9 所示:图 6-9 并拒绝在列表中的主机登录 VPN 网关。 以此保证本机安全。 若要恢复此台主机的登录, 将其从列表中删除即可。江南计算技术研究所北京技术中心电话:010-26�江南计算技术研究所 SJW08-VPN 安全网关第七章 服务器设置VPN 安全网关提供了 DHCP 服务器、拨号服务器、L2tp 服务器、设置拨号用户、DNS 代理和 SNMP 代理等功 能。7.1 DHCP 服务器DHCP 服务器可以为 VPN 安全网关所保护的网内主机动态地配置网络环境, 包括设置自动分配的 IP 地址范围、 缺省路由器地址、主、从 DNS 服务器地址等。 在“管理界面”中点击“服务器设置” ,再点击下层的“DHCP 服务器” ,可以看到如图 7-1 所示的界面,在右 侧列表区中的条目记录了当前的 DHCP 的状态信息等。图 7-1 在上述条目上,单击鼠标右键,从弹出的菜单中选择“设置” ,或者双击此条目,会弹出如图 7-2 所示的界面。图 7-2在图 7-2 所示界面中,先点击“启动”按钮,进入到如图 7-3 所示界面,可以通过它对 DHCP 服务器进行设置。江南计算技术研究所北京技术中心 电话:010-27�江南计算技术研究所 SJW08-VPN 安全网关图 7-3 在图 7-3 所示界面中,在“基本设置”中可以设置为网内主机所动态配置的基本网络环境参数,包括动态配置 的地址段(范围) 、路由器地址、主、从 DNS 地址等。在“地址池设置”中,可以添加多个不连续的地址段,这对 于在某些地址需要保留使用从而造成地址段不连续的情况下非常有用。但需要注意的是,必须使得这些地址段均在 前面“基本设置”中已经设置好的地址段内。点击“设置”按钮,可以保存所作的设置。7.2 拨号服务器拨号服务器可以为远端拨入主机分配 IP 地址,进行远程拨入控制服务。在“管理界面”中点击“服务器设置” , 再点击下层的“拨号服务器” ,可以看到如图 7-4 所示的界面,在右侧列表区中的条目记录了当前的拨号服务器的状 态信息等。图 7-4 在上述条目上,单击鼠标右键,从弹出的菜单中选择“设置” ,或者双击此条目,会弹出如图 7-5 所示的界面。江南计算技术研究所北京技术中心电话:010-28�江南计算技术研究所 SJW08-VPN 安全网关图 7-5 在图 7-5 所示界面中,先点击“启动”按钮,进入到如图 7-6 所示界面,可以通过它对拨号服务器进行设置。图 7-6 在图 7-6 所示界面中,在“基本设置”中可以设置拨号服务器的本地 IP 地址和为远程接入端的分配的 IP 地址。 点击“设置”按钮,可以保存所作的设置。7.3 L2tp 服务器L2tp 即第二层隧道协议,它是 PPP 协议的扩展。L2tp 服务器可以为远端拨入用户提供基于第二层隧道的 VPN 服务。 在“管理界面”中点击“服务器设置” ,再点击下层的“L2tp 服务器” ,可以看到如图 7-7 所示的界面,在右侧 列表区中的条目记录了当前的 L2tp 服务器的状态信息等。江南计算技术研究所北京技术中心电话:010-29�江南计算技术研究所 SJW08-VPN 安全网关图 7-7 在上述条目上,单击鼠标右键,从弹出的菜单中选择“设置” ,或者双击此条目,会弹出如图 7-8 所示的界面。图 7-8 在图 7-8 所示界面中,先点击“启动”按钮,进入到如图 7-9 所示界面,可以通过它对 L2tp 服务器进行设置。图 7-9 在图 7-9 所示界面中,在“基本设置”中可以设置 L2tp 服务器的本地 IP 地址,点击“设置”按钮,可以保存 所作的设置。在“地址池设置”中可以设置为远程接入端的分配的 IP 地址范围。在“上线用户列表”中可以看到已 江南计算技术研究所北京技术中心 电话:010-�江南计算技术研究所 SJW08-VPN 安全网关 经上线的用户名称和拨入接口。 要使用基于 L2TP 的 VPN 服务,除了要对 L2TP 服务器进行正确配置外,还要对基于 L2TP 的 VPN 客户端进行 正确配置。Microsoft Windows 2000/XP 系统均具有这样的客户端,具体配置参见本章附录一节。7.4 拨号用户拨号用户设置可以对使用前述的拨号服务器、L2tp 服务器的拨入的拨号用户进行管理,包括添加用户、删除用 户、修改用户帐号以及显示用户状态(在线或离线)等。 在“管理界面”中点击“服务器设置” ,再点击下层的“拨号用户” ,可以看到如图 7-10 所示的界面,初始时, 由于没有添加任何用户,所以在右侧列表区中没有任何条目。图 7-10 在列表区中,单击鼠标右键,从弹出的菜单中选择“添加” ,便出现入图 7-11 所示的界面,通过它可以设置用 户名及其密码,点击“确定”即添加了一个新的拨号用户。图 7-11 添加了新的拨号用户后,在右侧列表区会显示所有的拨号用户及其状态信息等。如图 7-12 所示,在相应的用户 条目上双击,或者单击鼠标右键,在弹出的菜单中选择“更改口令”可以完成对用户口令的修改。在列表区中单击 鼠标右键,在弹出的菜单中选择“清空”可以删除所有的拨号用户。江南计算技术研究所北京技术中心电话:010-31�江南计算技术研究所 SJW08-VPN 安全网关图 7-127.5 DNS 代理DNS 代理可以为网内主机提供 DNS 代理服务, 即负责把网内主机对它的 DNS 查询请求转发给互联网上的 DNS 服务器。 在“管理界面”中点击“服务器设置” ,再点击下层的“DNS 代理” ,可以看到如图 7-13 所示的界面,在右侧 列表区中的条目记录了当前的 DNS 代理服务的状态信息等。图 7-13在上述条目上,单击鼠标右键,从弹出的菜单中选择“设置” ,或者双击此条目,会弹出如图 7-14 所示的界面。江南计算技术研究所北京技术中心电话:010-32�江南计算技术研究所 SJW08-VPN 安全网关图 7-14 在图 7-14 所示界面中,先点击“启动”按钮,进入到如图 7-15 所示界面,可以通过它对 DNS 代理进行设置。图 7-15 在“DNS 服务器地址列表”中,可以添加互联网上的 DNS 服务器 IP 地址。使得 DNS 代理能够将网内主机的 DNS 查询转发到这些 DNS 服务器上。7.6 SNMP 代理VPN 安全网关的 SNMP 代理功能支持 SNMPv1~v3 协议, 能够使得 VPN 安全网关设备被 SNMP 管理进程高效、 安全地管理。 在“管理界面”中点击“服务器设置” ,再点击下层的“SNMP 代理” ,可以看到如图 7-16 所示的界面,在右侧 列表区中的条目记录了当前的 SNMP 代理的状态信息等。江南计算技术研究所北京技术中心电话:010-33�江南计算技术研究所 SJW08-VPN 安全网关图 7-16 在上述条目上,单击鼠标右键,从弹出的菜单中选择“设置” ,或者双击此条目,会弹出如图 7-17 所示的界面。图 7-17 在图 7-17 中选中“启动 SNMP”复选框后,会出现如图 7-18 所示的界面,通过它可以完成对 SNMP 代理的设 置。江南计算技术研究所北京技术中心电话:010-34�江南计算技术研究所 SJW08-VPN 安全网关图 7-18 其中, “启动 SNMP 自陷”表示可以由本台被管理的 VPN 安全网关设备上的 SNMP 代理进程主动地向 SNMP 管理进程报告其工作状态等参数信息。 在“V1/V2 协议”部分,可以对关于 SNMPv1~v2 协议的参数进行设置。共同体名是指 SNMP 管理进程和代理 进程之间通讯所使用的口令,为明文格式。在“共同体名”文本框中,可以设置默认共同体名,预先设置的默认值 是 public。点击“设置”按钮可以保存对共同体名所作的修改。在“允许管理地址列表”中,单击“添加”按钮, 弹出如图 7-19 所示的界面。可以通过它添加允许对此 VPN 安全网关设备进行管理的设备的 IP 地址(段)及其共同 体名。注意,当“允许管理地址列表”为空时,表示任意地址的设备均可通过 SNMPv1~v2 协议对其进行管理;当 “允许管理地址列表”成功添加一项后,则只有列出的地址(段)才能通过 SNMPv1~v2 协议对其进行管理。并且 此时“共同体名”文本框中预先设置的默认共同体名将不再生效。图 7-19 在“V3 协议”部分,可以对关于 SNMPv3 协议的参数进行设置。SNMPv3 可以为管理进程和代理进程之间通 讯提供身份认证和加密机制,从而保证了通讯的安全。单击“添加”按钮,弹出如图 7-20 所示的界面。可以通过 它设置用于管理进程和代理进程之间通讯的用户名、口令、认证算法、加密算法和加密密钥等。目前认证算法支持 MD5 和 SHA,加密算法暂只支持 DES。江南计算技术研究所北京技术中心 电话:010-35�江南计算技术研究所 SJW08-VPN 安全网关图 7-207.7 附录L2TP VPN 本身并不提供加密服务,现在常用的是利用 L2TP over IPSec 机制的 L2TP over IPSec VPN。这样使得 L2TP 利用 IPSec 增强了安全性,支持数据包的认证、加密和密钥管理。因此下面对这两种基于 L2TP 的 VPN 客户端 配置进行说明。7.7.1 Windows 上 L2TP over IPSec VPN 客户端的配置在 Windows XP 和 Windows 2000 上 L2TP over IPSec VPN 的客户端配置是不同的。 一、Windows XP 上配置 L2TP over IPSec VPN 客户端 1. 新建一个 L2TP over IPSec VPN 连接 在 Windows 系统“开始”菜单中,选择“设置”―& “网络连接”―& “新建连接向导” ,将弹出如图 7-21 所 示建立一个新连接的界面。通过它可以新建 L2TP over IPSec VPN 连接。图 7-21 在图 7-21 所示界面中, “网络连接类型”中选择“连接到我的工作场所的网络” 。点击“下一步”按钮。将会弹 出如图 7-22 所示的界面。江南计算技术研究所北京技术中心电话:010-36�江南计算技术研究所 SJW08-VPN 安全网关图 7-22 在图 7-22 所示界面中, “网络连接”中,选择“虚拟专用网络连接” ,点击“下一步”按钮。将会弹出如图 7-23 所示的界面。图 7-23 在图 7-23 所示界面中,在“连接名”文本框中输入新建连接的名称。点击“下一步”按钮。将会弹出如图 7-24 所示的界面。图 7-24 在图 7-24 所示界面中,选择“不拨初始连接” ,点击“下一步”按钮。将会弹出如图 7-25 所示的界面。江南计算技术研究所北京技术中心电话:010-37�江南计算技术研究所 SJW08-VPN 安全网关图 7-25 在图 7-25 所示界面中,在“VPN 服务器选项”设置 VPN 服务器的 IP 地址或主机名。点击“下一步”按钮。在 接下来弹出的界面中点击“完成”按钮即新建了一个 VPN 连接。 双击新建的连接图标,弹出如图 7-26 所示的界面。其中,用户名和密码可以使用在 VPN 安全网关“拨号用户” 中添加的用户和密码。图 7-26 图 7-26 所示的界面中。点击“属性”按钮,在弹出的界面中选择“安全”属性页,进行如图 7-27 所示的配置。图 7-27江南计算技术研究所北京技术中心 电话:010-38�江南计算技术研究所 SJW08-VPN 安全网关 在图 7-27 所示界面中,再点击属性页中的“IPSec 设置”按钮,弹出如图 7-28 所示的界面。图 7-28 在图 7-28 所示界面中,选中“使用预共享的密钥作身份认证”复选框,再输入预共享密钥。注意:此处输入的 预共享密钥必须与后述 VPN 网关设置的静态隧道的预共享密钥相同,隧道才能协商成功。 在图 7-26 所示的界面中。点击“属性”按钮,在弹出的界面中选择“网络”属性页,如图 7-29 所示,在“VPN 类型”中选择“L2TP IPSec VPN”图 7-29 2. 在 VPN 安全网关上手工添加一条静态隧道 添加静态隧道的方法可参见“VPN 设置”一章。注意,在如图 7-30 所示的界面中, “远端 VPN 网关 IP”设置 为 0.0.0.0,表示可以与任意 IP 地址发起的隧道协商。 “认证方式”采用“预共享密钥认证” ,并且填入的预共享密 钥必须与前述新建 L2TP over IPSec VPN 连接预共享密钥相同。江南计算技术研究所北京技术中心电话:010-39�江南计算技术研究所 SJW08-VPN 安全网关 图 7-30 经过以上两方面的设置,并且启动 L2tp 服务器后,即可通过已创建的 L2TP over IPSec VPN 连接来建立本机到 VPN 安全网关的 L2TP over IPSec 连接。 二、配置 Windows 2000 上的 L2TP over IPSec VPN 客户端注意:由于 Windows 2000 存在的安全漏洞,导致其在进行隧道协商时实际采用的是 DES 加密,强度和保密性存在先天不足。并且 VPN 安全网关并不支持强度不够的 DES 加密,所以为保证通讯的安全可靠,必须采用 3DES 加 密。为此需要先对 Windows2000 操作系统进行相应的补丁升级。可以给操作系统打上 sp2(或以上)系统补丁或者 Encpack_Win2000Admin_CHS 补丁即可(MS KB Q818043) ,相应的补丁可以到微软官方网站上下载。 接下来,在 Windows 2000 上配置 L2TP over IPSec VPN 客户端和 Windows XP 过程相似,但需要注意的是:在 新建一个 L2TP over IPSec VPN 连接(虽然 Windows 2000 系统默认是基于 L2TP over IPSec 机制的 VPN,但在新 建连接的“网络”属性页 VPN 类型中显示却是“第二层隧道协议(L2TP),实际上此时并不是基于 L2TP 的 VPN 客 ” 户端,要使用基于 L2TP VPN 客户端需要修改注册表,详见 7.7.2 节) ,同时需要对新建连接属性中的“安全措施” 属性页作如图 7-31 所示的设置。图 7-31 然后,在 VPN 安全网关上手工添加一条静态隧道。 除此之外,还需要利用 Windows 本地安全设置手工设置隧道属性等。具体过程如下: 在 Windows 系统“开始”菜单中,选择“设置”―& “控制面板”―& “管理工具”―& “本地安全设置” , 将弹出如图 7-32 所示界面。通过它可以添加和设置 IP 安全策略。图 7-32江南计算技术研究所北京技术中心 电话:010-40�江南计算技术研究所 SJW08-VPN 安全网关 在图 7-32 所示界面中,在左侧列框中选择“IP 安全策略” ,在右侧列表框中单击鼠标右键,从弹出的菜单中选 择“创建 IP 安全策略” ,即可用“IP 安全策略向导”来生成新的 IP 安全策略。具体过程如图 7-33 至 7-37 所示。图 7-33图 7-34图 7-35江南计算技术研究所北京技术中心电话:010-41�江南计算技术研究所 SJW08-VPN 安全网关图 7-36图 7-37在创建过程完成后,会自动弹出如图 7-38 所示的界面。通过它可以设置安全策略的各种属性。江南计算技术研究所北京技术中心电话:010-42�江南计算技术研究所 SJW08-VPN 安全网关 图 7-38 在图 7-38 所示界面中,点击“添加”按钮,将会弹出“安全规则向导”界面,通过它可以添加一条 IP 安全规 则。 使用“安全规则向导”添加 IP 安全规则及其所作设置如图 7-39 至 7-44 所示:图 7-39图 7-40图 7-41江南计算技术研究所北京技术中心电话:010-43�江南计算技术研究所 SJW08-VPN 安全网关图 7-42图 7-43图 7-44 在图 7-42 所示界面中,身份认证采用预共享密钥方式,但必须保证它和在 VPN 安全网关上手工设置的静态隧 道的预共享密钥相同。江南计算技术研究所北京技术中心电话:010-44�江南计算技术研究所 SJW08-VPN 安全网关图 7-45 在添加和设置 IP 安全策略的后,需要如图 7-45 所示将其“指派” ,从而使 IP 安全策略生效。 在完成所有配置后,就可以在 Windows 2000 上利用创建的 L2TP over IPSec VPN 连接来拨号登录到远程 VPN 网关。7.7.2 Windows 上 L2TP VPN 客户端的配置由于 Windows 默认采用基于 L2TP over IPSec 的 VPN,为了能够使用基于 L2TP 的 VPN 还需要修改注册表。具 体方法是:打开注册表后,找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 一项,在其下建 立名为 ProhibitIpSec 的 REG_DWORD,并且设置其值为 1,然后重启操作系统,即可解除 L2TP 和 IPSec 的绑定。 接下来新建一个 L2TP VPN 的客户端连接即可, 具体过程与前述 L2TP over IPSec VPN 客户端连接建立过程类似。 新建一个连接时, 可以在新建连接的 “网络” 属性页的 VPN 类型中进行选择 “第二层隧道协议 (L2TP) 但在 Windows ” ( XP Home/Professional 上仍然会显示“L2TP IPSec VPN” ,实际上此时是指 L2TP VPN) 。由于 L2TP 并不需要加密, 所以它不需要在 VPN 网关处添加一条静态隧道。江南计算技术研究所北京技术中心电话:010-45�江南计算技术研究所 SJW08-VPN 安全网关第八章 带宽管理带宽管理使用户能够对流经网络接口的网络流量预先进行分配管理,从而保证了用户对网络连接带宽的要求。 带宽管理针对所有网络接口进行管理。其中 INTERNAL、EXTERNAL 分别指对流向内、外网口的流量进行管理;而 VPN0 是指对流向隧道的流量进行管理。 要进行带宽管理,首先在“管理界面”中点击“带宽管理” ,在右侧列表区中会出现如图 8-1 所示的多个条目, 每个条目分别对应于网络设置中已经设置好并存在的网络接口。图 8-1 对流向某个网络接口的流量进行管理,需要进行以下三个方面的设置:1.设置带宽值图 8-2 如图 8-2 所示,可以在列表区中其对应的条目单击鼠标右键,在弹出的右键菜单中选择“修改带宽” ,会弹出如 图 8-3 示的一个对话框,在其中可以对流经此网络接口的总流量值进行设置。江南计算技术研究所北京技术中心电话:010-46�江南计算技术研究所 SJW08-VPN 安全网关图 8-32.添加带宽组在设置好带宽值后,便可以通过添加若干个带宽组来对总的带宽进行分配管理。例如,如前所述设置了带宽值 为 10000Kbps 后,可以添加两个带宽组 tcg1 和 tcg2 来分配和管理这些带宽。图 8-4 如图 8-4 所示,可以在“管理界面”中“带宽管理”下,需启用带宽管理的网络接口名(例如 INTERNAL)节 点下,单击“带宽组” ,在右侧会出现已添加的带宽组列表,在列表区中单击鼠标右键,从弹出的菜单中选择“添加” , 会弹出如图 8-5 示的界面。可以通过它设置此带宽组的名称、保证带宽、最大带宽、优先级。图 8-5 其中, 带宽组名称在所有网络接口的带宽组名称的集合中是唯一的。 保证带宽是指当网络流量很大甚至满载时,江南计算技术研究所北京技术中心 电话:010-47�江南计算技术研究所 SJW08-VPN 安全网关 分配给此带宽组的最小流量。最大带宽是指当网络空闲轻载时,分配给此带宽组的最大流量值。优先级则是指当添 加了多个带宽组,进行带宽管理控制时,多个带宽组去共享其他空闲带宽组中的带宽的优先顺序。优先级数值越小, 优先级别就越高。 在右侧列表区中双击某网络接口条目,会出现“带宽组”和“带宽规则”两个图标,双击“带宽组”图标,可 以查看到已经添加成功的带宽组。如图 8-6 所示。图 8-6 在已经添加的带宽组条目上单击鼠标右键,从弹出菜单选择“修改” ,或者双击此条目,可以修改带宽组的参数 设置。3.添加带宽规则在添加带宽组后,还需要添加带宽规则。带宽规则属于具体的带宽组,是能够按照协议类型对网络连接的某个 方向上的带宽流量进行管理控制的具体策略。例如,如前所述设置了添加了两个带宽组 tcg1 和 tcg2 后,可以分别为 它们各添加两条带宽规则,从而可对具体网络环境下的网络带宽进行控制。图 8-7 如图 8-7 所示,可以在“管理界面”中“带宽管理”下,需启用带宽管理的网络接口名(例如 INTERNAL)节 点下,单击“带宽规则” ,在右侧会出现已添加的带宽规则列表,在列表区中单击鼠标右键,从弹出的菜单中选择“添 加” ,会弹出如图 8-8 示的界面。可以设置此带宽规则的名称、所属带宽组、规则优先级、带宽规则应用的网络协议、 江南计算技术研究所北京技术中心 电话:010-�江南计算技术研究所 SJW08-VPN 安全网关 源和目的网络设置等。其中,带宽规则名称在所有网络接口的带宽规则名称的集合中是唯一的。优先级则是指当在 同一个带宽组中添加了多个带宽规则,进行带宽管理控制时,多条带宽规则去共享其他空闲带宽规则中的带宽的优 先顺序。优先级数值越小,优先级别就越高。注意:端口号为 0 表示任意端口,IP 地址为 0.0.0.0 且地址掩码为 0.0.0.0 表示任意网络地址。图 8-8 在右侧列表区中双击某网络接口条目,会出现“带宽组”和“带宽规则”两个图标,双击“带宽规则”图标, 可以查看到已经添加成功的带宽规则。如图 8-9 所示。图 8-9 在已经添加的带宽规则条目上单击鼠标右键,从弹出菜单选择“修改” ,或者双击此条目,可以修改带宽规则的 参数设置。在完成以上的设置后,如图 8-10 所示,可以在右侧列表区中相应的网络接口条目上单击鼠标右键,从弹出的菜 单中选择“启用” ,即可使得所有对该网络接口制定的进行带宽管理的带宽组和带宽规则生效。江南计算技术研究所北京技术中心电话:010-49�江南计算技术研究所 SJW08-VPN 安全网关图 8-10江南计算技术研究所北京技术中心电话:010-50�江南计算技术研究所 SJW08-VPN 安全网关第九章 双机热备份VPN 安全网关的双机热备份功能为用户提供了一个高可靠性的 VPN 网络环境。它的主要原理是:两台 VPN 安 全网关并连接入网络线路中协同工作,其中一台为“主工作机” ,另一台为“从工作机” 。当主工作机发生故障时, 从工作机立即自动地接管主工作机的所有工作,使得 VPN 链路保持畅通。 VPN 安全网关双机热备份的网络连接方式如图 9-1 所示: VPN 安全网关 双机热备Internet图 9-1 在图 9-1 中,VPN 安全网关的内、外网口通过交换机或者集线器相连,局部形成了并联的两条网络通道。 相应地,VPN 安全网关具有三种工作模式:无双机热备、双机热备―主工作机、双机热备―从工作机。默认情 况下,VPN 安全网关处于无双机热备工作模式状态下。在“管理界面”中点击“双机热备份” ,在右侧列表区中会显 示一个条目,它记录了 VPN 安全网关当前所处于的工作模式、状态和镜像 IP 地址。这里镜像 IP 地址是指一台 VPN 安全网关处于双机热备-主工作机(或双机热备-从工作机)工作模式下,另一台与其并行工作并处于双机热备- 从工作机(或双机热备-主工作机)工作模式下的 VPN 安全网关的 IP 地址。显然,它对于处于无双机热备工作模式 下的 VPN 安全网关是没有意义的。 双击上述条目,弹出如图 9-2 所示的界面,可以通过它来设置 VPN 安全网关的工作模式及其镜像 IP 地址,点 击“设置”按钮即可保存设置。图 9-2 然而,为了使双机热备份功能正常运转,必须对 VPN 安全网关进行必要的参数设置,参数设置要求如下: 1. 主、从工作机的镜像地址必须配置在各自的第一个从地址上,要么同时为内网,要么同时为外网 例如:为主工作机的内网口分配从地址为 1.1.1.1/24,为从工作机的内网口分配从地址为 1.1.1.2/24,则主、 从工作机可以通过该地址进行网络监控和数据镜像通讯。 2. 在主、从工作机上设置相同的 SMC 地址 例如:在主、从工作机上设置 SMC 地址同为 10.10.197.14。江南计算技术研究所北京技术中心 电话:010-51�江南计算技术研究所 SJW08-VPN 安全网关 3. 在主、从工作机导入相同的证书 例如:在主、从工作机上分别导入 ID 号为 1 的电子证书。 4. 将两台 VPN 网关设备分别定义为主工作机和从工作机工作模式,并分别将镜像 IP 地址指向对方 例如:将主工作机的镜像 IP 地址设置为从工作机的内网口从地址,即:1.1.1.2;将从工作机的镜像 IP 地址 设置为主工作机内网口从地址 1.1.1.1。 5. 在主、从工作机上设置相同的安全隧道策略 (在以上参数设置中,设置方法可参见“网络设置”和“VPN 设置”等章节) 。设置成功并保存所有配置后,便完成了双机热备份的网络部署和系统参数的设置。江南计算技术研究所北京技术中心电话:010-52�江南计算技术研究所 SJW08-VPN 安全网关第十章 系统日志系统日志记录了整个系统发生的重要事件的相关信息,为系统管理员及时准确的了解系统的运行状况和进行错 误排查提供了帮助。 在“管理界面”中点击“系统日志” ,可以看到 VPN 安全网关所记录的日志情况如图 10-1 所示:图 10-1 VPN 安全网关系统日志记录了系统事件所发生的时间、VPN 安全网关设备 ID(即已导入的标识此设备的数字 证书 ID) 、日志来源、操作成功与否、发生错误的类型以及一些附加信息。 在列表区单击鼠标右键,可以控制配置日志子系统和守护进程日志子系统的启动和停止、翻页查看日志历史记 录以及刷新和清空日志历史记录等。江南计算技术研究所北京技术中心电话:010-53�第十一章 其他设置控制面板为您提供了配置 VPN 网关的一些附助命令,当您点击“其他设置”面板将弹出界面如下图所示:图 11-1 口令设置: 管理员可通过“口令设置”更改 VPN 网关的登录口令,当您需要更改登录口令时,系统将提示确认原登录口令; 启动脚本设置: 允许管理员编辑网关启动时自动执行的脚本文件,使 VPN 网关启动时处理特定的启动序列; 固件升级: 网关固件升级时使用,点击“固件升级”后,浏览至固件升级文件所在目录, “打开”固件升级文件即可。导入配置: VPN 网关的配置参数可以以文件的方式集中导出作为系统配置参数的备份, “导入配置”可以将先前导出的参数 一次性地设置到 VPN 设备中,为 VPN 网关的配置提供了方便。 注意:导入配置后,一定不要存盘,重新起动,新的配置才能生效。配置备份: 将 VPN 网关的所有配置参数以文件的方式集中导出,以备系统恢复参数(导入配置)之用; 清空配置: 将 VPN 网关的配置参数清空; 时钟显示: 显示 VPN 网关的当前时钟; 802.1x 认证: 在某些网络接入时需要进行 802.1x 的身份认证,当需要进行 802.1x 身份认证时,点击“802.1x 认证”图标系统 将弹出界面如下图所示:江南计算技术研究所北京技术中心电话:010-1�图 11-2 您可以在如上界面中钩选“启用 802.1x” ,并在“信息”框中选择使用认证的接口名,输入“用户名”和“口令” , 选择认证方式。 可选的接口名有: EXTERNAL(外网口) INTERNAL(内网口) VPN0 口,等 可选择的认证方式有: MD5 MSCHAPV23 PEAP4 TLS TTLS2,等方式。 当您钩选了启用 802.1x 认证,并正确填写了各信息参数后,点击“开始认证”便可进行 802.1x 相关的用户身份 认证。版本信息: 显示 VPN 网关的固件版本,当您点击“版本信息”时,系统将弹出版本信息如下图所示:图 11-3江南计算技术研究所北京技术中心电话:010-2�第十二章 常见问题解答Q1、VPN 的通信协议、端口用了哪些,防火墙是否需要放开? 回答: VPN 设备采用了 UDP、TCP、ESP、AH 协议,协议号分别为 17、6、50、51,使用的端口有:500/UDP、 4500/UDP、2012/UDP、2013/TCP、2014/TCP。另外安全包还使用了 11/UDP、12/UDP,因此,如果网络中有 防火墙的话(包括 ISP 商)需要将上述端口放开,以保证 VPN 的正常通信。 Q2、网关的信任设备列表为空? 回答: 1. 检查是否已经拨号成功。 2. 检查策略服务器的地址是否填写正确,可以与网管员确认。 3. 确认策略服务器是否在线,可以 ping 策略服务器的地址。 4. 检查证书是否导入,或证书是否合法,指的是证书是否是由中心统一发放的。 Q3、能下载信任设备列表,但隧道建立不成功,隧道灯始终不变为篮色? 回答: 1. 查看隧道的对端端点的 ID 是否在信任列表中存在,如不存在,则说明对端端点与你不在同一个安全域里, 属不可信任设备,可与网管员联系。 2. 查看隧道的对端端点是否在线,如对端不在线,隧道肯定不能建立。 3. 可点击“刷新隧道列表”按钮,重新刷新隧道状态,因为界面不是即时刷新状态的。 4. 询问 ISP 商是否有防火墙设置,对 VPN 通信端口:500/UDP、4500/UDP、2012/UDP、2013/TCP、2014/TCP 是否开放。 Q4、修改了硬件网关的配置,当时生效了,但重起后又无效了? 回答: 由于硬件网关在运行时采用的是 Ramdisk,因此修改配置当时生效,但并没有保存到电子盘中,如要想使 它永久生效,在修改配置后,须点击“存盘” 。 Q5、两个 VPN 设备都在 NAT 后,能不能通信? 回答: 由于不同的 NAT 的实现方式不一样, 没有一个统一的标准, 因此如果两个 NAT 后的设备不能直接建立隧道, 可采用中间转发的方式实现通信, 即通过都与第三个不在 NAT 后的设备建立隧道, 数据包通过第三个设备转发。 具体操作如下: 1. 将设备 1 与设备 3 建立好一条隧道。 2. 将设备 2 与设备 3 建立好一条隧道。 3. 在设备 1 上添加一条虚拟路由,目的地是设备 2 后的网段,走 1??3 这条隧道。 4. 在设备 2 上添加一条虚拟路由,目的地是设备 1 后的网段,走 2??3 这条隧道。 Q6、隧道建立正常,但 VPN 网络不通? 回答: 这种问题一般有三个可能,一是虚拟路由表错误,二是防火墙的原因,三是路由的原因。具体操作如下: 1. 检查对方的子网是否在虚拟路由表中存在。 2. 如果虚拟路由存在,检查它所对应的隧道名称是否正确,即是否是与通信对端的 VPN 端点建立的隧道(通 过中间转发的例外) 。 3. 检查防火墙规则是否允许这两个子网的数据包通过。 4. 检查主机的路由表是否是从 VPN 的内网口走。 5. 如还不通,通知对方做同样的检查。江南计算技术研究所北京技术中心 电话:010-3�Q7、隧道建立后,能 ping 通对方子网的部分主机,但其中有一台主机 ping 不通? 回答: 1. 检查防火墙是否对远端这台主机的地址做了特别的限制。 2. 检查远端这台主机的路由表,查看它的回应包的路由是否转给了 VPN 的内网口。 Q8、ADSL 拨号在线时间太长,是否需要重拨? 回答: 由于 ISP 商及一些拨号设备的原因,如果 ADSL 拨号在线时间太长,需要重新复位,在此情况下,上网也 是不通了,可以简单的将拨号 Modem 重起一次。 Q9、如果 ADSL 拨号需要一个电话号码,硬件网关不能直接拨号? 回答: 某些地方的 ADSL 拨号不仅需要用户名、口令,还需要电话号码,由于硬件网关的拨号程序没有电话号码 这一选项, 此时它不能负责拨号的功能, 只能用一台 Windows 机器拨号, 因为 ISP 商会提供这种拨号的 Windows 平台的驱动程序,将硬件网关安装在这台机器里面,拨号的机器同时还做 NAT,可以安装 Sygate 之类的软件。 Q10、安全包与硬件网关后的主机 ping 一个 2000 字节长度的包不通? 回答: 由于安全包与硬件网关的碎包机制不一样,但安全包与安全包之间,网关与网关之间,ping 2000 或更长 的包均能通信。但这项并不影响正常的业务通信,因为对正常的业务通信,采用的修改 MTU、PMTU、修改 MSS 等技术手段来处理了大包问题。 Q11、如果 Internet 接入商给了一个私有 IP,且这个 IP 与 本公司内部子网的某个 IP 网段有冲突,隧道道通信是否 能正常? 回答: 如果 ISP 商给的 IP 是在公司内网某个 IP 网段内,应将 VPN 外网卡的这个 IP 地址的掩码设为 255.255.255.252,这会尽可能的减少冲突的可能。另外,如果这个 IP 刚好是属于本地内网,可向 ISP 商另外申 请一个 IP,或者将本地内网的 IP 与它错开。江南计算技术研究所北京技术中心电话:010-4�江南计算技术研究北京技术中心电话: (010) 传真: (010) 地址: 北京市朝阳区马甸裕民路12号华展国际公寓C座1206室 邮编: 100029江南计算技术研究所北京技术中心电话:010-5
更多相关文档
