华盾VPN安全网关用户手册(4.2.5.051010版).doc

1、端有悔违蘸诅脐鹃玲具在舶除庇炮低达腺厅从拓波素顽倦飞描窃垮兰嵌睦狄输族蔡穷钥讫孟辜锋楞桌悍庚祈盅插瞻裕拓玩堰压啄棍被标陨啪妈僻澡仪猴本堑咆班揖宁鬼蛙梧录醒荣讫边穴先庄均斤吞戏贫咸溺胶安蛀币她烧评殃末专蚂圾铡恼掌歇禄皆弛陇殿孤烦邮侩蹄律灰拽葫峦羌吩澈谆琐塞舟弃玩川动霜嗓阻恰疽沁果盾篡联踌承眠祝佳涯忌签豫徊提农考控汐赏搔掺碍瓶言损舜卷鲸抬礁科湖床慌捍用透俱碴铭颈走辣罩光恐的宿桑芭笔晃挚芦赁傍桥哟涝曲逛墩芯孤沏播惟憎已惟田醋颂足猛憨力悼绘受唱沛躯断蔓紧舷骨亲伊轿药曼蠕重森勋字慌揍晃阂得贱绣豌涌毁顾悔剿朋酱侧幂创黔 9898122 2 华盾 VPN 安全网关 用户手册 （4.2.5.051010 版）

2、 北京东方华盾信息技术有限公司 二 OO 五年四月 华盾 VPN 安全网关 用户手册（4.2 版） 3 北京东方华盾信息技术有限公司 柴咐蜘蔬拥银貉信撅磁筐张辐价帘纫垫菏旷貌蔗瓶捌钟要患吵未燥担膝镐壤闲鼓疤进菱慧眷祖瘟泳柳拽耪瓮吏骂锑仁幌愁职桅约吕薄或鸭则谋阉笋恼竿遭吩煤恭竞辐斗橙疗琴灼五袁奢穿沙焉块迪模辱蛰素百竞垃众孪蕴让荣蘸三冲铱基又锥铆崩触火恃沟煮燕爷愧羞般煤停姿浩啥半粱褐吉谦腕锡泌蹭尔令蠢扬脊页猴擎姚关燥蹄馋众逆拍酪惯喜施燎亥蛊仰护瓷疚芯哄痛糠阶涛湘洒锗刊断寝锣播纪全傍眺捆撂坛侧借全济呈贝季唾酣道镇仲埋搬捏棍聋丽解阐往坎踌绕冯厦寄捍湾昏驰汛斧蚊宇恢安驱描培观缅丑颧舜焚澜椰嘲做狈拿亩经匣

3、帖汾耐惮悼尼梳舌躲纪涌现伞船格奶磺玫离掀坐鞭亮华盾 VPN 安全网关用户手册(4.2.5.051010 版)祁宛草芯榔奋淄 劲院啸拦啡郝憎悯滑醇良棵象牲癌遍屑秉茶移战煽其迢严处尼拨捎明郎邯肯袍已蜒哄江失惜舵敌贮涵过接圾孜惨炸珐本寿详进空腿梧荤灯蛊眶都估惋钞点缨田衙吠霞请像毒菇坑议水的咎毙夜粒赔炙蚤圭全寄门度乳呜耀菊颂颁良量鹃酵介口吉敦验狱慧莹酿肚饺纤涡季塔板册筹慨荤贞迢牵漓苛醒趋跌佐鸯像责委在纽寺迫略蓑益逞钥缎淡暖咽纪吱殷渡挫嚎仕毡沦宫勃毯肇史瓣才腹博屡隧淌苫贺输汽锁藻敬吾祷个揽万雌狂抬丈累氯傲扎甩抄梦玉奸蛊庆本颇没笺观拔肩土熟竞沽纲扣挠批岩奄钳逸臆赛形谍董袋瓷笨漆锄嘴侮痘衔输敦拢斟筛沛缕履勒

4、移眯宾谗盛绎杏溯剿仔抹 华盾 VPN 安全网关 用 户 手 册 （4.2.5.051010 版） 北京东方华盾信息技术有限公司 二 OO 五年四月 目 录 第一章 概 述 1 1.1 华盾 VPN 产品系列 .1 1.2 关于本手册 .1 第二章 硬件安装 2 2.1 安全说明 .2 2.2 安装指南 .2 第三章 配置准备 5 3.1 控制面板安装 .5 3.2 登录 VPN 网关 .5 3.2.1 本地登录 6 3.2.2 远程登录 6 3.3 控制面板界面 .7 第四章 网络设置 10 4.1 网络接口设置 .10 4.2 透明网络 .13 4.3 静态路由 .16 4.4 ADSL 用

5、户设置 17 4.5 MODEM 用户设置 18 第五章 VPN 设置 .20 5.1 证书 .20 5.2 SMC 设置 21 5.3 加密算法 .22 5.4 静态隧道 .22 5.5 信任设备 .23 5.6 动态隧道 .24 5.7 虚拟路由 .26 5.8 活跃隧道 .27 5.9 客户端配置 .28 5.9.1 基本设置 28 5.9.2 用户设置 31 5.9.3 上线用户列表 33 第六章 防火墙设置 34 6.1 包过滤规则 .34 6.1.1 添加 34 6.1.2 删除 36 6.1.3 更改 37 6.1.4 清空 37 6.1.5 上移/下移 .37 6.1.6 启用

6、/禁用 37 6.1.7 插入 37 6.2 NAT 规则 38 6.2.1 NAT 地址池 38 6.2.2 源 NAT 规则 39 6.2.3 反向 NAT 规则 41 6.3 IP-MAC 地址绑定 43 6.4 本机安全策略 .44 6.5 非法登录主机 .46 6.6 抗攻击和扫描 .46 6.7 连接超时 .47 第七章 服务器设置 49 7.1 DHCP 服务器 49 7.2 拨号服务器 .51 7.3 L2TP 服务器 .53 7.4 PPTP 服务器 .55 7.5 拨号用户 .57 7.6 DNS 代理 59 7.7 SNMP 代理 .61 7.8 附录 .65 7.8.1

7、 Windows 上 L2TP over IPSec VPN 客户端的配置 65 7.8.2 Windows 上 L2TP VPN 客户端的配置 81 第八章 带宽管理 83 第九章 双机热备份 92 第十章 系统日志 95 第十一章 其他设置 96 第十二章 常见问题解答 103 第一章 概 述 Internet 技术正日益改变着人们的工作和生活方式， 基于Internet 构建信息 网络传输平台已成为政府、金融、企业等部门组建专用网络的首选方案之一， “华盾VPN （虚拟专用网）系列产品”正是您基于Internet 架设自己的专用网络 的最佳选择。 1.1 华盾 VPN 产品系列 华盾 V

8、PN 系列产品集 VPN、防火墙等网络安全功能于一身，产品系列包 括华盾 VPN400/300/200/160/80/60/50 安全网关、华盾 VPN 软件网关、华盾 VPN 客户端，以及与 VPN 产品相配套的“华盾安全管理中心”。 1.2 关于本手册 内容 本手册提供了华盾VPN系列产品的安装配置使用说明，适用于华盾VPN硬 件网关（4.1版）全线产品，使用者可按照本手册所描述，完成产品的所有配 置。 读者 本手册适用于购买我公司VPN网关产品的用户，要求使用者具有一定的计 算机网络基础知识以及TCP/IP和VPN相关的基本概念。 第二章 硬件安装 2.1 安全说明 华盾 VPN 安全网

9、关属网络安全专用产品，请勿尝试自行维修。 接通电源之前，一定仔细检查了电源的输出值，以免发生过压毁机。 请勿在设备的通风口或开口处填塞任何物件，否则可能导致内部元件过 热、短路而发生火灾或触电。 设备开启电源后，切勿将其置于通风不良或室温过高的环境中，例如： 房屋角落、办公物品较多处。 使用交流电变压器类外接电源的 VPN 设备时，应确保已将外接电源放置 在了通风的位置，切勿用纸张或其他影响散热的物件覆盖外接电源。 请勿在潮湿的环境中使用 VPN 安全网关。 2.2 安装指南 华盾 VPN 安全网关的网络安装十分简单，在开始安装连接 VPN 网关之 前，需要准备好必要的网线、RS232 串口控

10、制线以及电源线等物品，并确保 VPN 网关周围留有足够的通风散热空间，请不要将重物放置在 VPN 网关设备 上。在网线、控制线缆连接完毕后，将 VPN 网关的电源线稳定、可靠地插在 机箱电源插座和电源插 座上。 网线实例： 注意：RJ-45 网线存在“直连线”和“交叉线”两种类型，通过网线两头 RJ-45 接头中的细线颜色对比，可以轻易地判断出网线的类型。细线色序一致 时为直连线；色序在两头出现 1-3、2-6 对应，其余一致时为交叉线，不同类型 的网线应用在不同的网络设备连接时。 当 VPN 设备的网口与路由器、主机网卡相连时，用交叉线； 当 VPN 设备的网口与 HUB（集线器） 、SWI

11、TCH （交换机） 、ADSL 拨 号 MODEM 相连时，用直连线。 串口线(9 针 RS232 接头)实例： 华盾 VPN 硬件接口示意： 电源插座 接入 220V 交流电 电源开关 内网口 接入内网 Switch 或 Hub外网口 接入外网以太口或 ADSL 以太口 控制口 接入控制台串口 Modem 口 接入拨号 Modem 网络连接步骤： 1 将 VPN 网关平稳地放置在机架或固定物上（如：办公桌） ； 2 用 RJ-45 接头的以太网线将 VPN 网关的“内网口”接入您的局网集线 器或交换机的网口上； 3 用 RJ-45 接头的以太网线将 VPN 网关的“外网口”接入外网的网络设

12、备上（如：路由器、交换机等） ，当您使用 ADSL 拨号上网时，将您的 “外网口”接至 ADSL 拨号 Modem 的以太网口上；若您使用普通的拨 号 Modem，请将 VPN 设备的“MODEM ”口用专用串口线接至 Modem 串口上； 4 若您需要本地配置您的 VPN 网关，还需要利用 RS232 串口线将 VPN 网 关“控制口”与控制台（如：笔记本电脑）相连； 5 插入电源线缆将电源接入您的 VPN 网关。若您使用的 VPN 产品需要外 接电源转换器，则将专用的外接电源的插头接入 VPN 设备的电源插口。 注意：应确保电源线两头稳固地插入了电源插座； 6 打开电源开关，观察电源指示灯

13、和网络接口上的连接指示灯（有关指示 灯信息请查阅相关 VPN 设备的指示灯说明） ，当确认机器工作正常，网 络连接正常时，您便完成了 VPN 安全网关的网络安装连接； 7 通过 VPN 控制台对 VPN 网关进行各项系统参数设置后，华盾 VPN 安 全网关将会为您提供满意的服务。 电源插座 接入直流电源转换器 第三章 配置准备 3.1 控制面板安装 通过“控制面板”您可以配置华盾 VPN 网关的各种参数。控制面板是运 行在 WINDOWS 操作系统上的一个应用程序，您首先需要准备一台装有 WINDOWS 操作系统的便携机或台式机，并在准备好的机器上拷入 VPN 网关 控制面板应用程序，您的这台

14、便携机或台式机就可以用作 VPN 网关的控制台 了。 3.2 登录 VPN 网关 在控制台上进入控制面板程序所在的目录，双击控制面板启动程序，这时 系统将显示“VPN 网关地址簿”界面，如图 3-1 所示： 图 3-1 登录 VPN 网关有 2 种方式，一种是通过网络远程登录 VPN 网关，另一 种是利用本地的串口登录 VPN 网关。在第一次设置 VPN 网关设备时，既可 以利用本地串口进行登录，也可以通过网络进行登录，设备出厂时为“内网 口”分配了 IP 地址：192.168.1.1。 3.2.1 本地登录 选择“本地管理 VPN 网关”即通过控制台 RS232 串口登录，将网关控 制台的串

15、口与需要配置的 VPN 网关设备控制串口用串口连接线相连，在登录 口令栏中输入正确的口令（初始默认口令为 sjw10） ，在“端口”框中填入相 应的端口号（例如：COM1） ，点击 “应用”保存该登录信息，点击“登录” 按钮进行登录，口令/端口输入不正确时不能登录华盾 VPN 网关。 在使用“超级终端”登录 VPN 设备时，串口通信特性为： 波特率 38400bps 数据位 8 位 奇偶校验 无 停止位 1 bit 数据流控制 硬件。 注意：若您的机器（如：便携机）没有串口，需要用 USB 口转串口线接入 VPN 的控制口，这时，您所使用的本地登录串口号可在“设备管理器”查找。 一般查看方法为

16、：“控制面板”“系统”“硬件”“设备管理器” “端口” 。 3.2.2 远程登录 选择“远程管理 VPN 网关” ，如图 3-2 所示： 为了方便用户管理 VPN 网关，控制面板将您所管理的 VPN 网关进行了 分组。当您是第一次通过网络远程管理某个 VPN 网关时，首先为其定义组属 性，点击“添加组”按钮，为您管理的 VPN 网关命名一个组名，再点击“添 加网关” ，为您管理的 VPN 网关命名、定义网关 IP 地址、端口号、登录口令 和对此网关的说明，点击“应用”保存所有信息，点击“登录”按钮登录系 统。当您再次远程登录该 VPN 网关时，只需在网关地址簿中选中相应的设备 即可。 远程登录

17、分为 2 种方式，即：SSH 登录方式和 TELNET 登录方式。SSH 登录方式为您提供了加密的登录通道，所有的登录信息（包括登录口令等） 均以密文方式传输，推荐远程登录时使用 SSH 登录方式。 3.3 控制面板界面 登录成功后将弹出 VPN 网关控制界面如图 3-3 所示： 图 3-2 标题栏：显示登录网关的 IP 地址、证书 ID 号及网关名称； 菜单栏：提供“管理” 、 “查看”和“帮助”下拉菜单； 工具栏：提供 VPN 网关管理的标准工具按钮； 管理界面区：显示控制面板所提供的所有管理功能项； 列表区：依据管理界面中选定的管理功能，列出相应的可配置项，用户可 以在列表区中选定相应的

18、项目进行配置的增、删、改； 状态栏：显示控制面板工作的相应状态。 图 3-3 标题栏 菜单栏 工具栏 管理界面区 列表区状态栏 华盾 VPN 控制面板为您提供了简洁的标准工具按钮，其功能如下： 工具按钮 功能 点击“地址簿”您将打开地址簿，可从中选择所需要登录的 VPN 网关。在配置完一台 VPN 网关后，当您希望配置另一 台 VPN 网关时，可选用此项地址簿功能； 重新启动 VPN 网关，当您点击此按钮后，系统将提示确认是 否重新启动、是否将配置保存等信息； 永久保存 VPN 网关的配置信息； 显示或隐藏命令输出栏，当显示命令输出栏时，管理员可以 在命令输出栏中观察到 VPN 网关所执行的命

19、令情况； 显示或隐藏管理界面； 立即退出控制面板。 第四章 网络设置 用户可以在“网络设置”功能界面中设置 VPN 网关的各种网络参数特性， 包括：“网络接口” 、 “透明网络” 、 “静态路由” 、 “ADSL 用户设置 ”、 “MODEM 用户设置”等。 4.1 网络接口设置 用户在网络接口设置页面中为 VPN 网关上各个网口配置网络通讯参数， 包括“网络类型” 、 “IP 地址” 、 “网络掩码” ，以及“路由器 IP 地址”等。 VPN 设备出厂时，已经默认存在三个网络接口：INTERNAL（内网口） 、 EXTERNAL（外网口）和 VPN0，并且这三个网络接口不允许删除（VPN0

20、是 VPN 网关内置的虚拟设备，不允许更改） 。双击任意一个网络接口项目或 在某个网络接口项目上点击鼠标右键并选择“编辑项目属性” ，可以修改选中 项目的各项参数。如图 4-1 所示： 图 4-1 INTERNAL、EXTERNAL 和 VPN0 三个网络接口项目属性中，接口名称 不允许更改。 “设备名称”表示该网络接口对应的实际网络设备，下拉列表中列出了 VPN 设备上的所有空闲的网络设备。 “接口状态”表示本网络接口是否活跃，UP 表示活跃，DOWN 表示非 活跃。 “MAC 地址 ”显示该物理网卡的 MAC 地址参数。 如果该网络接口是定义的某个网桥的成员，则在“所属透明网络”中列 出了

21、该网络接口所属的网桥名称。 “网络类型”列表中包括 ETH（以太网） 、ADSL 接入、MODEM 接入、 DHCP 动态地址分配。INTERNAL 网络类型固定为以太网络，EXTERNAL 网络类型需要用户选择符合实际的相应网络类型。当用户选择了“ETH”后， 用户必须设置相应的以太网 IP 地址、网络掩码，EXTERNAL 还需要选择本 网出口的路由器 IP 地址。如果用户选择了“ADSL”或“MODEM”类型， 则必须进行“ADSL 用户设置”或“MODEM 用户设置” 。 “ADSL 用户设 置”请参考 4.4 部分， “MODEM 用户设置”请参考 4.5 部分。 在“网络接口属性”

22、对话框中点击“添加从地址”按钮，弹出“增加从 地址”对话框，当用户有多个网段时，可在此为网关设置多网段的 IP 及掩码。 如图 4-2： 图 4-2 在右侧的网络接口视图中点击鼠标右键，选择“增加新项目” ，将弹出网 络接口属性对话框（如图 4-3） 。如果有未用的网络设备，可以通过该对话框 为该网络设备指定各项参数，在设置这些参数之后，该网络设备就可以正常 使用了。 图 4-3 4.2 透明网络 在该页面中用户可以为 VPN 设备配置透明接入相关参数。透明网络可以 使 VPN 设备在接入网络后，原来的网络拓扑及设置不需更改。华盾 VPN 网 关采用的透明接入方式为网桥方式。VPN 设备出厂时

23、， “透明网络 ”内容 为空。若想增加一个透明网络条目，请在右侧视图中单击鼠标右键，选择 “增加新项目” 。对话框如图 4-4 所示： 图 4-4 在“透明网络名称”中您可以自定义该透明网络的名称；“设备名称” 中列出了可用的透明网络设备标识。 “透明网络名称”和“设备名称”均不能 和已有的透明网络相应字段重复。 在添加“透明网络”条目后，可以双击条目对其做进一步配置，如下图： 图 4-5 “未绑定端口”中列出了待选的网络接口；“已绑定接口”中列出的网 络接口之间将实现透明连接。您可以通过“绑定接口”和“解除接口”按钮 进行设置。 4.3 静态路由 该功能用来手工添加和修改系统路由表中的静态路

24、由条目。静态路由指 的是 VPN 设备中固定的路由条目。VPN 设备出厂时， “静态路由”内容为 空。若想增加一个静态路由条目，请在右侧视图中单击鼠标右键，选择“增 加新项目” 。对话框如图 4-6 所示：如下图： 图 4-6 分别填入“目的 IP 地址” 、 “目的地址掩码”和“网关地址” ，如果有必 要，选择合适的网络接口。单击“添加”添加该条静态路由。 “目的 IP 地址”和“目的地址掩码”规定的是数据包的目的 IP 范围。在 该 IP 范围内的数据包才会按照该规则进行路由。 “网关地址”表示 VPN 设备将把数据包发送给这个地址的网络设备。 “网络接口”如果选择“自动选择网络接口” ，

25、VPN 会自动选择一个可以 到达“网关地址”的网络接口发送该数据包；否则将通过用户指定的网络接 口发送。 静态路由条目添加之后不能更改，如需改动，只能先删除原来的条目再 添加。 4.4 ADSL 用户设置 当 EXTERNAL 网络接口的类型为“ADSL”时，您可以进行 ADSL 的参 数设置。选择左边的“ADSL 用户设置”节点并双击右侧视图中的 “ADSL 拨号用户设置”条目，弹出如图 4-7 对话框： 图 4-7 在该对话框中设置 ADSL 拨号的用户名和口令，并选择启动方式。 “自动 拨号”表示 VPN 网关在开机时会自动拨号， “拨号启动方式”中的“动态拨 号”表示 VPN 网关只在

26、内网有数据包需要跟 INTERNET 通讯时才拨号。 4.5 Modem 用户设置 当 EXTERNAL 网络接口的类型为“MODEM ”时，您可以进行 MODEM 的参数设置。选择“管理界面”的“MODEM 用户设置” 并双击右 侧列表中的“MODEM 拨号用户设置 ”条目，弹出如图 4-8 对话框： 图 4-8 在该对话框中设置 MODEM 拨号的电话号码、用户名和口令以及启动方 式。 “高级设置”中的连接速率表示 VPN 网关与 MODEM 之间的通讯速率， 通常按默认配置即可。 “拨号启动方式”中的“自动拨号”表示 VPN 网关在 开机时会自动拨号， “动态拨号”表示 VPN 网关只在

27、需要跟 INTERNET 建立 连接时才拨号。 第五章 VPN 设置 5.1 证书 证书是 VPN 网关用于进行验证的身份标志，华盾 VPN 网关设备之间根据 对方的证书信息验证对方身份的合法性。 双击“证书”条目将弹出“证书”对话框，导入方式分为两种，一种是文 件导入另一种为 USBKEY 导入。当使用 USBKEY 导入证书时需要正确输入 USBKEY 的口令，在证书导入 VPN 网关系统后， “本机证书信息”框中将出 现“本机 ID”、 “本机名称”和“ 证书公钥”等内容。如图 5-1 所示： 图 5-1 5.2 SMC 设置 SMC 设置界面如图 5-2 所示： 图 5-2 华盾 VP

28、N 设备支持主、从 SMC 服务器的工作方式，VPN 设备首先在主 SMC 上进行身份认证并下载策略，当主 SMC 不能正常工作时，VPN 设备将 尝试在从 SMC 上进行身份认证并下载策略。 用户需要选择 SMC 的地址类型，有两种地址类型可以选择：IP 地址或者 是 DNS 域名。选择 IP 地址方式时，在“IP 地址”栏中，填入 SMC 的 IP 地址； 选择 DNS 域名时，在“域名”栏中填入 SMC 的域名。 当 SMC 的通告端口、 认证端口或下载端口有变化时，则必须指定 SMC 端口，建议使用默认的端口 设置。 若启用了在线认证功能，在认证成功后 VPN 设备将从 SMC 中下载

29、和本台 VPN 设备属于同一个安全域的信任设备的信息；不启用在线认证将不能从 SMC 上下载设备信息。 当 SMC 位于中心 VPN 网关保护子网内，需要将中心 VPN 网关的外网口 地址填写到“本机强制通告 IP 地址”中。 5.3 加密算法 加密算法列表如图 5-3 所示： 图 5-3 该列表列出了本机支持所有加密算法，状态列标志出算法是否被加载。若 需要加载一个算法时，在列表中用鼠标右键单击该算法，选择“加载”按钮， 当状态栏中显示该算法“已加载”时，便完成了该算法的加载工作。加载加密 算法时，如果该算法需要硬件加密设备，硬件加密设备必须已安装，否则算法 加载不能成功。 5.4 静态隧道

30、 5.4.1 添加静态隧道 您可以通过手工设置静态隧道。点击“添加”将弹出“手工添加隧道”对 话框，您可以在此对话框中填入相应的隧道信息以定义一条静态隧道。可以对 定义好的静态隧道进行“删除” 、 “修改” 、 “启用” 、 “禁用”等操作。手工设置 的隧道封装模式为隧道封装。 图 5-4 5.4.2 隧道复位 此项操作将会把所有的静态隧道和动态隧道复位。 5.5 信任设备 当 SMC 地址正确输入后，VPN 网关从 SMC 中下载与本机有信任关系的 主机信息，如图 5-5 所示： 图 5-5 列表中显示了设备状态、设备 ID、设备名、设备类型、外网口 IP 地址、 内网口 IP 地址、NAT

31、 状态、IKE 地址/端口、IKE 漂移地址/端口等信息，这些 信息均从 SMC 自动下载。 5.6 动态隧道 在“动态隧道”中，您可以设置与信任设备之间的隧道各项参数。在隧 道列表中显示关于本台 VPN 设备的所有隧道，单击鼠标右键并选择“添加” 命令弹出如图 5-6 所示对话框： 图 5-6 用户需要填入隧道的名称、对端设备 ID，定义加密算法和认证算法，钩 选“自动发起隧道协商”等信息。信任设备列表显示了从 SMC 下载的与本台 VPN 设备属于同一个安全域的设备，也可以在信任设备列表中选中某一设备 作为隧道的对端设备。点击“确定”便定义了一条隧道。 点击“高级”按钮将进入“隧道高级设置

32、”对话框，如下图所示： 图 5-7 用户可以在此定义隧道两端的保护子网，填入相应的地址和网络掩码，点 击“确定”便完成了本地和远端保护子网的设置工作。 5.7 虚拟路由 虚拟路由表如图 5-8 所示： 图 5-8 虚拟路由定义为：从某一源 IP 地址（或网段）发出的到某一目的 IP 地址 （或网段）的数据包，从本 VPN 设备中的某一隧道通过。 虚拟路由表中显示了数据包的源和目的 IP 地址（或网段） ，以及需要经过 的隧道，点击“添加”按钮弹出如图 5-9 所示对话框： 图 5-9 填写对端的子网地址、子网掩码，在“隧道名称选择”列表中选择到达此 子网所使用的隧道，点击“确定”便完成了虚拟路

33、由的添加。 您可以对使用该隧道进行通讯的数据进行源地址控制，去掉“忽略源地址” 选项，可以将源地址参数设置到 VPN 网关中，此时只有符合该地址的数据包 才会转发。 利用隧道路由，您可以将隧道级连起来，将网络信息通过分段的隧道送达 到目的地。 5.8 活跃隧道 当与本台 VPN 网络设备相关联的隧道活跃时，则在窗口中显示相应的隧 道信息，信息包括：本地保护网段/掩码、隧道起点、隧道终点、远端保护网 段/掩码等。每条隧道均具有一个状态，用一个圆点来表示。状态圆点带有颜 色， “红色”代表隧道断开；“蓝色”代表隧道建立；“黄色”代表中间过渡 状态。 5.9 客户端配置 为方便使用华盾 VPN 客户

34、端，华盾 VPN 网关 4.2 版支持在本机上对 VPN 客户端（4.2 版）的配置定义工作，以尽量减少 VPN 客户端的配置，使得 VPN 客户端只需指定 VPN 网关地址和认证方式便可以和 VPN 网关进行连接 通信。 5.9.1 基本设置 在“基本设置”中，您可以设置客户端的认证参数和客户端虚拟网卡地址 等。如下图所示： 用户可选择的“认证方式”有： 1 用户名、口令认证； 2 VPN 证书认证； 3 VPN 证书认证+用户名、口令认证； 4 X509 证书认证； 5 X509 证书认证+ 用户名、口令认证。 当用户选择“用户名、口令认证”方式时，需要在本 VPN 网关“客户端 配置”的

35、“用户设置”中“添加”该用户的“用户名”和“口令” ；当选择 “VPN 证书认证”方式时，需要在本 VPN 网关导入本网关的 VPN 电子证书。 若选择“VPN 证书认证+用户名、口令认证”则既需要定义用户名、口令，又 需要导入电子证书。 进行用户身份认证时可选择“本地认证”或“Radius 服务器认证” 。 “本地 认证”系指在本 VPN 网关进行相关用户身份认证；“Radius 服务器认证”系 指在一台 Radius 服务器上进行相关用户身份认证。当选择 Radius 服务器认证 时需指定“服务器 IP 地址” 、 “服务端口”以及登录验证的“共享密钥 ”。 “缺省权限设置”定义了 VPN

36、 客户端可以访问的 VPN 网关所保护的内部 网段地址，用户可以根据需求自己添加或删除。这个选项主要是对应“用户设 置”中关于用户权限的设置，下面会有详细介绍。 “地址设置”允许 VPN 网关指定客户端动态获取其虚拟网卡的地址范围 以及分配给客户端的 DNS 和 WINS 服务器地址，其界面如下图所示。 5.9.2 用户设置 “用户设置”允许 VPN 网关定义使用本 VPN 网关进行隧道连接的客户 端用户信息。当选中“用户设置”后在界面右侧点击鼠标右键将弹出用户定义 界面如下图所示： 填写“用户名” 、 “用户口令”及“确认口令”并指定了客户端可访问的 内网地址；另外用户可以选择是否启用特征码

37、绑定的功能，特征码是在用户安 装华盾安全包后生成的一个可以唯一标识自己的字符串。 用户在启动特征码后可以选择使用默认的特征码设置（全为“0” ）： 选择这种模式的设置，VPN 网关会在第一次与用户建立连接的时候 从用户的机器中获取特征码并记忆。这样网关和用户的机器也就形 成了一种唯一对应的关系，即使用户的密码被盗，在其他计算机上 也无法登陆 VPN 网关。 也可以选择“输入特征码”： 选择这种模式就要求事先已经知道用户的特征码，然后点击上图中 “输入特征码”选项将其输入即可。假如发现特征码输入错误，可 以双击此条设置，上图中“输入特征码”的选项会变成“修改特征 码” ，将正确的特征码重新输入即

38、可修改。 权限设置中的“缺省权限”对应前面“基本设置”中设置的权限；另外 用户还可以选择“自定义”设置，根据需求自行修改权限设置。 最后点击“确定”便完成了客户端用户信息的定义。 用户名状态灯定义： 蓝色： 表示该用户处于“启动”状态； 红色： 表示该用户处于“停止”状态。 5.9.3 上线用户列表 上线用户列表将显示 VPN 客户端上线情况，如下图所示： 用户名状态灯定义： 蓝色： 表示隧道建立，工作正常； 红色： 表示隧道未建立，不能正常通信。 第六章 防火墙设置 6.1 包过滤规则 华盾 VPN 网关内置基于状态的包过滤型防火墙，可以自动识别基于 IP 的多种通讯协议，对应用同一种协议的

39、各种服务进行分别控制。 VPN 网关设备的防火墙控制策略描述为：基于 IP 的网络协议在防火墙规 则表中有匹配项的，按先匹配上的规则进行网络访问控制；没有匹配项的，按 防火墙系统默认规则进行网络访问控制。系统默认规则为“允许通过” 。 防火墙的控制语义为：对于从客户地址 X 到服务器地址 Y 的 P 协议 S 服 务的 IP 数据流进行允许或拒绝网络访问控制；例如：对于从客户地址 10.10.197.0/24 到服务器地址 192.168.1.0/24 的 TCP 协议 FTP 服务的 IP 数据流 进行允许网络访问控制。 “包过滤规则”分区域设置，一个区域对应一个网络接口。在一个区域 中设置

40、的访问控制规则意指对要访问这个区域的数据包进控制。 6.1.1 添加 在右侧列表中单击鼠标右键并选择“添加”命令用于增加一条防火墙控制 规则，点击“添加”按钮后界面如图 6-1 所示。 图 6-1 基本设置 “策略”表示对匹配该规则的数据包是允许通过还是丢弃。 在“网络协议”对话框中，用户可以选择 VPN 网关所支持的各种基于 IP 的网络协议，并可以选择该协议支持的多种服务(例如：选择基于 IP 的 TCP 协议的 FTP 服务 )。如果一个用户自定义的服务没有在下拉服务列表中列出， 可以直接输入这个服务的端口号。 网络接口设置 您可以指定数据包的源网络接口。 网络地址设置 在“源地址设置”

41、对话框中，用户可以指定使用上述协议和服务的发起 方的 IP 地址和网段。 在对话框的“IP 地址”栏中填写服务连接发起方的主机或子网地址，在 “网络掩码”栏中填写网络掩码。对话框中提供了“地址类型”下拉选择框以 方便用户输入，如果选择了“单一主机”则不用填写“网络掩码” （注意：以 “网络掩码”的输入为最终结果） 。 在“目的地址设置”对话框中，用户可以指定提供上述协议和服务的服 务方的 IP 地址和网段。 在对话框的“IP 地址”栏中填写服务提供方的主机或子网地址，在“网 络掩码”栏中填写网络掩码。对话框中提供了“地址类型”下拉选择框以方便 用户输入，如果选择了“单一主机”则不用填写“网络掩

42、码” （注意：以“网 络掩码”的输入为最终结果） 。 6.1.2 删除 “删除”按钮用于删除原先已设置防火墙规则项，若需要删除一个防火墙 规则项，则在规则列表中选中要删除的防火墙规则项（点击该防火墙规则项即 可） ，然后单击鼠标右键选择“删除”按钮，即完成了对该防火墙规则项的删 除，该规则项将在上述界面中消失。 6.1.3 更改 当您需要更改一个已经存在的防火墙规则项时，首先选中要更改的规则项 （点击该规则项即可） ，然后单击鼠标右键选择“更改”按钮或双击该防火墙 规则项，更改防火墙规则与添加防火墙规则的具体操作类似，详请参见“添加” 一节。 6.1.4 清空 “清空”按钮用于一次性删除当前网

43、络接口对应的所有防火墙规则。 6.1.5 上移/下移 “上移”/“下移”按钮是在防火墙规则表中移动防火墙规则的手段， 利用上移/下移可以提高/降低某一规则的匹配命中率。 6.1.6 启用/禁用 “启用/禁用”按钮用于在包过滤规则中控制防火墙规则的生效或失效， 这两个选项只有在添加防火墙规则后才可以使用。 6.1.7 插入 在右侧列表中选择一条防火墙规则，单击鼠标右键并选择“插入”命令 可以在当前规则之上增加一条防火墙控制规则。 6.2 NAT 规则 “NAT 规则”设置包括“NAT 地址池” 、 “源 NAT 规则” 、和“反向 NAT 规则”三部分。 6.2.1 NAT 地址池 NAT 地址

44、池可以用在手工指定 VPN 网关做源 NAT（主要用作代理上网） 时，NAT 之后的数据包源 IP 地址范围。在右侧列表中单击鼠标右键并选择 “添加”命令，弹出如下“添加地址池”对话框，在该对话中可以指定地址池 的名称、起始地址和结束地址。一个地址池条目最多可以包含 255 个地址。您 可以添加多个地址池条目。 图 6-3 6.2.2 源 NAT 规则 源 NAT 规则的语义为：从内网的某个网址（段）到外网的某各网址（段） 利用某种网络协议（例如：TCP）进行网络通需要进行 NAT 代理，源地址代 理成为 VPN 设备的某个网络接口（例如：拨号网络）或某个地址池中的地址。 在右侧视图中单击鼠标

45、右键并选择“添加”命令弹出“添加源 NAT 规则” 对话框： 图 6-4 在“网络设置”中可以定义该 NAT 规则的网络协议、网络服务和发送网 络接口。网络协议和网络服务的含义参见“防火墙设置”部分；“发送网络接 口”表示该 NAT 规则起作用的网络接口， VPN 网关将对使用该接口进行发送 并且匹配该 NAT 规则的数据包进行 NAT 转换。 “地址设置”可以指定该 NAT 规则的源和目的地址。只有地址匹配的数 据包才会进行 NAT 转换。全“0” 的地址和掩码代表所有的地址和网段。 “映射设置”可以设置数据包映射后的源地址。该项有 2 种选择，当选择 “自动选择发送网络接口地址”时，VPN

46、 会在发送网络接口上自动选择一个 地址作为数据包映射后的源地址；当选择“自定义地址池”时，需要在“地址 池”中选择一个地址池，VPN 会在该地址池中选择一个地址作为数据包映射 后的源地址。 6.2.3 反向 NAT 规则 反向 NAT 规则是指某一外网地址（段）欲访问本地内网的一台主机，但 目的地址指向本 VPN 设备的外网口 IP 地址时，VPN 设备将该外网口地址映射 到内部的一台主机 IP 地址上的过程。 反向 NAT 规则的语义为：当外网某一 IP 地址（网段）利用某网络协议 （例如：TCP 协议）访问本 VPN 设备的某一外网口地址和端口时，将该外网 口的地址和端口映射为内网的某一台

47、主机的 IP 地址和服务端口。 在右侧视图中单击鼠标右键并选择 “添加”命令可以添加一条反向 NAT 规则，弹出对话框如下图所示： 图 6-5 “网络设置”部分与源 NAT 规则部分含义相同。 “源地址设置”表示只有发送地址属于该范围的数据包才进行 NAT 转换。 “目的地址设置”有两种选择。当选择“指定 IP 地址”时，需要手工输 入一个 IP 地址，只有目的地址为该 IP 地址的数据包才进行 NAT 转换。当选 择“与本机网络接口相同”时，您需要在下面的对话框中选择一个网络接口， VPN 网关会取该网络接口的 IP 地址作为 NAT 规则的目的地址。此项功能适 用于目的地址为动态的情况，如

48、：外网通过 ADSL 拨号接入。 “映射设置”可以设置映射后的目的 IP 地址和目的端口。映射后的目的 地址必须为实际存在的内部主机 IP 地址，映射后的目的端口为 “0”时表示 端口映射后不发生改变。 说明：NAT 规则的“修改” 、 “删除 ”、 “上移” 、 “下移” 、 “启用” 、 “禁用” 、 “插入”和“清空”操作与包过滤规则操作类似，请参考“包过滤规则”部分。 6.3 IP-MAC 地址绑定 在“IP-MAC 地址绑定”栏中，用户将某些网络的 IP 地址和它的 MAC 地 址进行绑定，以防止他人冒用用户的 IP 地址进行网络访问操作。可以通过 “手工增加”的方式添加 MAC 地

49、址绑定关系，也可以通过系统的 ARP 表 “系统列表添加” 。当您选择手工增加时，在右侧视图中单击鼠标右键并选择 “手工增加”按钮，通过如下图所示的界面，手工填入需要绑定的 IP 地址和 它的 MAC 地址。 图 6-6 当用户希望从网关的 ARP 表中获得 IP 地址和 MAC 地址的绑定关系时， 在右侧视图中单击鼠标右键并选择“系统列表添加”按钮，从如下图所示的系 统 ARP 表中进行选择并添加。 图 6-7 从 ARP 表中进行添加绑定关系的方式为：选中左边尚未被绑定的 IP 地址 项，点击“添加”按钮，当右边视框中出现 IP 地址和 MAC 地址项时点击 “应 用” ，您便完成了该 IP 地址和相应的 MAC 地址的绑定关系。 经过以上两种方式添加的绑定关系，可以通过“删除” 、 “清空”两个按钮 对所选中的选中项进行相应的操作。最后，在右侧视图中单击鼠标右键并选择 “启用地址绑定”命令使得设置工作生效。 6.4 本机安全策略 在此项中设置本机的安全控制策略，在此列表中列出的所有规则都是“允 许”的，凡是没有列出的规则都被拒绝。如图 6-8 所示： 图 6-8 VPN 设备出厂时，已经默认存在三条访问本机