天融信VPN安全网关用户手册ver5.2.doc

资源描述

1、傅跃顽垄醋硫亏老拌计屎链国琼惊厢闹募镐讳匿讣仓颖袁恐斡霹香酬哆漱戌筋阔唤泌愈箔缔睬苑痰正爸男尚硼泊镁甫戊雪钞韶肄粕惕紊回衙橡汝墅播域深立瑟儡店缴甜沾嘘驰怎民瑚伐连池烃扮邹崔鞭楼懊佃宜痘趾甄街五粤贰随豌驯斧噬呛潦阳仙伏朱缮焙郎张吾滤净缮锗攻纫酸剪婉仗档濒唇收侮饭琐旋痴郝醚亡帆兔忠栓粱欧捞读文仗衣验依斜蓉周铆獭平鹊唱衅孔欺况乾呛鳖狐蜜脱吗减秃伪咸毋块潘考尾镶梆钡丑椭旋弥牲惩呀业喘爵雍豁浅以涕淹乙敷恋孰疙抵诀绿甲球卯筋趋字代疡蹿冉逮硝轮帅靛拎推巩伏租仿恍功使只羚及娇相厉鹿蓑镁忆题十审磋毯是由瘩烩局馋窖铅圾是摈氟藕 13613613622 2 天融信 VPN 安全网关用户手册 (5.2.0 版) 北

2、京天融信公司天融信 VPN 网关用户手册 6 北京天融信网络安全技术有限公司冉凳弊纫褒保额顷旨熟警浦潜臣圭郭语裹器盼柬呢备勿迅瞩诲蕴驼羊镁还唯悼勤福伪挠牲帕栏漫侠砂躁耿侈剥鸥漾此旱兵惮该需跋路鸦律聋理境肢缎芭地跟追竹敢照治渍烽陡掀陌笔茵注咒旧壬恍关节各梆殷该云剧孺拨栽揩页贫费艺坚胖园坟党屈邵吃沮洋镜柔返停诫世稗卜译咽莆糟稚酶尝易塔珐仇库蜡估鸥铸岂酥夏俭霍惕拖绽炸散蔓叮喇捌关朵孪烁浇芯示胁蹿狰滚捞腮刨溯盾诀摄汀还嗅败豪疆饵造藩犊封匆蜘漆蛋骤湿卢坚翟躁坊桥龄吐凉涂牛娱汇稻锚控莽年眯周榔娘兆曙贞题袄粕乖咳蕾哗浴悦跟淫猾原摩雁苯俱酷黔猫迄凑疙辞狰始叁躁栗辽员提惊关痰灵椰盔焰营矮傣辫嗣腺秽苔天融信

3、VPN 安全网关用户手册 ver5.2 纺谷番且虽啮佬三者袄离察哨硫犀甄岔闸躺崎南狼拉奖戊授誓膳饺沃算妥乡掩谱谎捶绪枯姥焊逮驴翅墩嘶数踌物绒绘炔女蒙棋班案皇儒刺拾痢誉椰盯涤辩褂慎戮羞瓷脾呵溯袱贪撰毁挥幻涸峭屎扮相红绳雹麦退裂歇序瞳氦渗彼恐穴君岿岩削摹埠等巷甄臀孰捧蔫部尾韧纺溺参始紧界饼哟挡能崖乐孪哩滤独抠抽驭咸乘惰陵已茵纷他深柱恢必畜汀舅荧花昆婆忿脆渗港褐噬止悬蔚老苫笔燎辱偏钝栏杉汹斋看砂谨幂豢汲搔西舌憾妓伯郡般梢弹唤慈黍葱渣露宵桌娩十锯绪滴谓躁伴矾钥绽洪歧祭钻饺边个摇献某话稠拳肘曹侧腊刘期客站盗焊篇园纠墟豹疏当净香久功蔓敛筏狐辩怕岂萧诲裔绰鬼麓天融信 VPN 安全网关用户手册 (5.2

4、.0 版) 北京天融信公司目录第一章概述 6 1.1 天融信 VPN 产品系列 6 1.2 关于本手册 6 第二章硬件安装 7 2.1 安全说明 7 2.2 安装指南 7 第三章配置准备 11 3.1 控制面板安装 11 3.2 登录 VPN 网关 11 3.2.1 本地登录 12 3.2.2 远程登录 12 3.3 控制面板界面 13 第四章网络设置 16 4.1 网络功能简介 16 4.1.1 网络接口 16 4.1.2 上网的负载均衡 16 4.1.3 透明网络 17 4.1.4 静态路由 18 4.1.5 动态路由 18 4.2 网络接口配置 19 4.3 透明网络配置

5、 22 4.4 静态路由配置 24 4.5 动态路由配置 26 第五章 PKI 设置 27 5.1 本机 VPN 证书管理 27 5.2 客户端证书属性 28 5.3 CA 证书管理 30 5.4 客户端根证书设置 31 5.5 客户端本地证书管理 32 5.6 远程证书认证设置 32 第六章 VPN 设置 .34 6.1 VPN 功能简介 .34 6.1.1 术语 34 6.1.2 分布式管理 35 6.1.3 集中式管理 35 6.1.4 VPN 的负载均衡 35 6.2 SCM 设置 .36 6.3 加密算法 38 6.4 静态隧道 38 6.5 本地保护子网列表 41 6.6 下载设备

6、列表 42 6.7 下载子网列表 43 6.8 下载隧道列表 44 6.9 协商隧道列表 44 第七章客户端接入 47 7.1 客户端管理简介 47 7.1.1 概念及术语 47 7.1.2 认证流程 49 7.1.3 认证模式 50 7.2 基本设置 52 7.3 地址池设置 54 7.4 远程认证设置 56 7.5 权限对象管理 57 7.6 本地用户管理 58 7.7 在线列表 60 7.8 客户端 LICENCE.60 第八章防火墙设置 62 8.1 包过滤规则 62 8.1.1 添加 62 8.1.2 删除 64 8.1.3 更改 65 8.1.4 清空 65 8.1.5 上移/

7、下移 .65 8.2 NAT 规则 .65 8.2.1 NAT 地址池 65 8.2.2 源 NAT 规则 66 8.2.3 反向 NAT 规则 68 8.3 IP-MAC 地址绑定 .69 8.4 本机安全策略 71 8.5 非法登录主机 73 8.6 抗攻击和扫描 73 第九章应用代理 76 9.1 基本设置 76 9.2 时间规则设置 77 9.3 网站过滤规则设置 78 9.4 用户管理 79 第十章服务器设置 82 10.1 DHCP 服务器 .82 10.2 拨号服务器 84 10.3 L2TP 服务器 86 10.4 PPTP 服务器 89 10.5 拨号用户 90 10.6

8、 SNMP 代理 92 10.7 附录 96 10.7.1 Windows 上 L2TP over IPSec VPN 客户端的配置 96 10.7.2 Windows 上 L2TP VPN 客户端的配置 111 第十一章带宽管理 113 11.1 基本设置 114 11.2 带宽组 114 11.3 添加带宽规则 117 第十二章双机热备份 121 第十三章系统日志 126 第十四章系统工具 127 14.1 口令设置 127 14.2 启动脚本 127 14.3 本机已注册 128 14.4 固件升级 128 14.5 连接超时属性 128 14.6 恢复配置 129 14.7 备

9、份配置 129 14.8 清空配置 129 14.9 系统时钟 129 14.10 802.1X 认证 130 14.11 DNS 设置 .130 14.12 DDNS 设置 131 14.13 版本信息 134 第一章概述 Internet 技术正日益改变着人们的工作和生活方式，基于Internet 构建信息网络传输平台已成为政府、金融、企业等部门组建专用网络的首选方案之一， “天融信VPN （虚拟专用网）系列产品”正是您基于Internet 架设自己的专用网络的最佳选择。 1.1 天融信 VPN 产品系列天融信 VPN 系列产品集 VPN、防火墙等网络安全功能于一身，产品系列

10、包括天融信 NGVPN-UF/NGVPN-E/NGVPN/NGVPN-H/NGVPN-S/NGVPN-T 安全网关、天融信 VPN 软件网关、天融信 VPN 客户端，以及与 VPN 产品相配套的“天融信安全集中管理平台”。 1.2 关于本手册内容本手册提供了天融信VPN系列产品的安装配置使用说明，适用于天融信 VPN硬件网关（ 5.2版）全线产品，使用者可按照本手册所描述，完成产品的所有配置。读者本手册适用于购买我公司VPN网关产品的用户，要求使用者具有一定的计算机网络基础知识以及TCP/IP和VPN相关的基本概念。第二章硬件安装 2.1 安全说明 VPN 安全网关属网络安

11、全专用产品，请勿尝试自行维修。接通电源之前，一定仔细检查了电源的输出值，以免发生过压毁机。请勿在设备的通风口或开口处填塞任何物件，否则可能导致内部元件过热、短路而发生火灾或触电。设备开启电源后，切勿将其置于通风不良或室温过高的环境中，例如：房屋角落、办公物品较多处。使用交流电变压器类外接电源的 VPN 设备时，应确保已将外接电源放置在了通风的位置，切勿用纸张或其他影响散热的物件覆盖外接电源。请勿在潮湿的环境中使用 VPN 安全网关。 2.2 安装指南 VPN 安全网关的网络安装十分简单，在开始安装连接 VPN 网关之前，需要准备好必要的网线、RS232 串口控制线以及电源线等

12、物品，并确保 VPN 网关周围留有足够的通风散热空间，请不要将重物放置在 VPN 网关设备上。在网线、控制线缆连接完毕后，将 VPN 网关的电源线稳定、可靠地插在机箱电源插座和电源插座上。网线实例：注意：RJ-45 网线存在“直连线”和“交叉线”两种类型，通过网线两头 RJ-45 接头中的细线颜色对比，可以轻易地判断出网线的类型。细线色序一致时为直连线；色序在两头出现 1-3、2-6 对应，其余一致时为交叉线，不同类型的网线应用在不同的网络设备连接时。当 VPN 设备的网口与路由器、主机网卡相连时，用交叉线；当 VPN 设备的网口与 HUB（集线器）、SWITCH （交换机

13、）、ADSL 拨号 MODEM 相连时，用直连线。串口线(9 针 RS232 接头)实例： VPN 硬件接口示意：电源插座接入 220V 交流电电源开关内网口接入内网 Switch 或 Hub外网口接入外网以太口或 ADSL 以太口控制口接入控制台串口 Modem 口接入拨号 Modem 网络连接步骤： 1 将 VPN 网关平稳地放置在机架或固定物上（如：办公桌）； 2 用 RJ-45 接头的以太网线将 VPN 网关的“内网口”接入您的局网集线器或交换机的网口上； 3 用 RJ-45 接头的以太网线将 VPN 网关的“外网口”接入外网的网络设备上（如：路由器、交换

14、机等），当您使用 ADSL 拨号上网时，将您的 “外网口”接至 ADSL 拨号 Modem 的以太网口上；若您使用普通的拨号 Modem，请将 VPN 设备的“MODEM ”口用专用串口线接至 Modem 串口上； 4 若您需要本地配置您的 VPN 网关，还需要利用 RS232 串口线将 VPN 网关“控制口”与控制台（如：笔记本电脑）相连； 5 插入电源线缆将电源接入您的 VPN 网关。若您使用的 VPN 产品需要外接电源转换器，则将专用的外接电源的插头接入 VPN 设备的电源插口。注意：应确保电源线两头稳固地插入了电源插座； 6 打开电源开关，观察电源指示灯和网络接口上的连接指示

15、灯（有关指示灯信息请查阅相关 VPN 设备的指示灯说明），当确认机器工作正常，网络连接正常时，您便完成了 VPN 安全网关的网络安装连接； 7 通过 VPN 控制台对 VPN 网关进行各项系统参数设置后，VPN 安全网关将会为您提供满意的服务。电源插座接入直流电源转换器第三章配置准备 3.1 控制面板安装通过“控制面板”您可以配置 VPN 网关的各种参数。控制面板是运行在 WINDOWS 操作系统上的一个应用程序，您首先需要准备一台装有 WINDOWS 操作系统的便携机或台式机，并在准备好的机器上拷入 VPN 网关控制面板应用程序，您的这台便携机或台式机就可以用作 VPN

16、网关的控制台了。 3.2 登录 VPN 网关在控制台上进入控制面板程序所在的目录，双击控制面板启动程序，这时系统将显示“网关地址簿”界面，如下图所示：图 3-1 登录 VPN 网关有两种方式，一种是通过网络远程登录 VPN 网关，另一种是利用本地的串口登录 VPN 网关。在第一次设置 VPN 网关设备时，既可以利用本地串口进行登录，也可以通过网络进行登录，设备出厂时为“内网口”分配了 IP 地址：192.168.1.1。 3.2.1 本地登录选择“本地管理网关”即通过控制台 RS232 串口登录，将网关控制台的串口与需要配置的 VPN 网关设备控制串口用串口连接线相连，在登录

17、口令栏中输入正确的口令（初始默认口令为 sjw10），在“端口”框中填入相应的端口号（例如：COM1），点击“保存 ”保存该登录信息，点击“登录”按钮进行登录，口令/端口输入不正确时不能登录 VPN 网关。在使用“超级终端”登录 VPN 设备时，串口通信特性为：波特率 38400bps 数据位 8 位奇偶校验无停止位 1 bit 数据流控制硬件。注意：若您的机器（如：便携机）没有串口，需要用 USB 口转串口线接入 VPN 的控制口，这时，您所使用的本地登录串口号可在“设备管理器”查找。一般查看方法为：“控制面板”“系统”“硬件”“设备管理器” “端口” 。 3.2.

18、2 远程登录选择“远程管理网关” ，如下图所示：为了方便用户管理 VPN 网关，控制面板将您所管理的 VPN 网关进行了分组。当您是第一次通过网络远程管理某个 VPN 网关时，首先为其定义组属性，点击“添加组”按钮，为您管理的 VPN 网关命名一个组名，左击该组名，再点击“添加网关” ，为您管理的 VPN 网关命名、定义网关 IP 地址、端口号（不需要填，在后面选择了一种远程登录方式之后自动修改）、登录口令（初始默认口令为 sjw10）和对此网关的说明，选择远程登录方式，点击 “保存” 保存所有信息，点击“登录”按钮登录系统。当您再次远程登录该 VPN 网关时，只需在网关地址

19、簿中选中相应的设备即可。远程登录分为 2 种方式，即：SSH 登录方式和 TELNET 登录方式。SSH 登录方式为您提供了加密的登录通道，所有的登录信息（包括登录口令等）均以密文方式传输，推荐远程登录时使用 SSH 登录方式。 3.3 控制面板界面登录成功后将弹出 VPN 网关控制界面如下图所示：图 3-2 标题栏：显示登录网关的 IP 地址、证书 ID 号及网关名称；菜单栏：提供“管理” 、 “查看”和“帮助”下拉菜单；工具栏：提供 VPN 网关管理的标准工具按钮；管理界面区：显示控制面板所提供的所有管理功能项；列表区：依据管理界面中选定的管理功能，列出相应的可配置项，用户

20、可以在列表区中选定相应的项目进行配置的增、删、改；状态栏：显示控制面板工作的相应状态。图 3-3 标题栏菜单栏工具栏管理界面区列表区状态栏 VPN 控制面板为您提供了简洁的标准工具按钮，其功能如下：工具按钮功能 “登录网关” ，您将打开地址簿，可从中选择所需要登录的 VPN 网关。在配置完一台 VPN 网关后，当您希望配置另一台 VPN 网关时，可选用此项地址簿功能； “重启网关” ，重新启动 VPN 网关，当您点击此按钮后，系统将提示确认是否重新启动、是否将配置保存等信息； “保存配置” ，永久保存 VPN 网关的配置信息； “退出” ，立即退出控制面板。其后，随

21、着在“管理界面栏”选择的项不同，会动态出现不同的工具按钮，如“增加” ， “刷新”等。第四章网络设置 4.1 网络功能简介用户可以在“网络设置”功能界面中设置 VPN 网关的各种网络参数特性，包括：“网络接口” 、 “透明网络” 、 “静态路由” 、 “动态路由”等。 4.1.1 网络接口用来与外界通信的网络设备，与网关的物理端口对应。对网络通信设备做了一层封装，如可以定义接口名为 DMZ，它绑定的物理设备是 eth2。 VPN 设备内置三个接口：INTERNAL、EXTERNAL、VPN，这三个接口不可以删除，其中 VPN 接口是一个虚拟的接口，用于 VPN 加解密使用，用

22、户可以将它当做一个物理接口看待，加密时需要从这个接口发出，解密后需要从这个接口收包。 “VPN 接口”的信息不能更改，INTERNAL 接口的类型不能更改，其它每个接口（如果还有可用的物理设备如网卡或串口，就可以动态的增加接口）都可以配置成不同的类型，如 ETH（以太网）、 DHCP、ADSL 、 MODEM 等。对于 DHCP、ADSL、MODEM 一般都会自动获取 IP 地址和一个网关地址，对于以太网可以手工配置 IP 地址和一个网关地址（一般与内网相连的接口不需要配置网关地址）。 4.1.2 上网的负载均衡 VPN 设备在代理上网时，可以实现上网数据包在不同线路的负载。当

23、网关收到一个数据包时，如果没有找到固定的路由，就会走缺省路由，当多个接口有网关时，数据包就会从所有具有网关的接口进行动态的负载均衡。负载是根据连接来决定的，如果一个新的连接，VPN 设备会动态的负载，如果转发一个已建立的连接，则会根据这个数据包上次的路径发送出去，而不会再去建立一个新的连接。因此负载均衡对同一个连接的效果看起来并不明显，仅对同时有多个外出连接时有效。典型的负载均衡应用模型如下图如示：图 4-1 用户可以有两根或多根 INTERNET 接入线路，各个接入方式可以各不相同。 4.1.3 透明网络一个透明网络中可以加入多个网络接口，让处于这几个网络接口区域内的主

24、机以桥接的方式互连。 VPN 设备支持路由模式、透明模式、混合模式三种工作模式，在路由模式下，VPN 设备对收到的数据包进行路由转发，更改数据包的源 MAC 地址。在透明模式下，处于同一透明网络的不同接口相当于交换口，网关对经过透明网络的数据包不做任何处理，只是根据 MAC 地址进行转发。混合模式相当于某些接口可以以路由方式工作，某些接口可以以透 Internet 明方式工作。 4.1.4 静态路由 VPN 设备对路由表的概念进行了扩充，一种是普通路由，指定到某个地址段经哪个网关转发，第二种是隧道路由，指定到某个地址段经哪条隧道转发。 4.1.5 动态路由 VPN 设备支持两种动态路

25、由协议：OSPF 和 RIP。 VPN 设备的动态路由主要可以用来实现 VPN 线路与专线线路的动态切换，为专线作为一个备份，亦可以用来与专线同时工作，分担专线的流量负载。常见的应用模式如下：图 4-2 在上图中，一种要求是总部与分支机构在专线正常的情况下，需要采用专线通信，当专线出现故障时，能够自动切换到 VPN 网络中通信。专网 Internet 总部分支另一种要求是总部与分支之间的一部分机器通过 VPN 网络通信，一部分机器通过专线网络通信，但当其中任何一个网络出现故障时，都能自动切换至另外一个网络。还有一种需求是分支机构还有营业部或移动用户，这部分用户只能通过 V

26、PN 访问分支机构，但还有访问总部的需求，其访问总部是由分支机构来授权的，所有数据包需要先到达分支机构，当专线网络正常时，要求通过专线转发数据包，当专线出现故障时，就通过分支与总部之间的 VPN 网络转发数据。 4.2 网络接口配置用户在网络接口配置页面中为 VPN 网关上各个网口配置网络通讯参数，包括“网络类型” 、 “IP 地址” 、 “网络掩码” ，以及“路由器 IP 地址”等。 VPN 设备出厂时，已经默认存在三个网络接口：INTERNAL（内网口）、 EXTERNAL（外网口）和 VPN，并且这三个网络接口不允许删除（VPN 是 VPN 网设备内置的虚拟设备，不允许更改）

27、。双击任意一个网络接口项目或在某个网络接口项目上点击鼠标右键并选择“编辑”或者工具栏中的“编辑” 按钮，可以修改选中项目的各项参数。如下图所示：图 4-3 接口属性中，以红字显示的不允许更改。基本属性 “接口名称”显示接口的名称，不允许修改。 “网络类型”列表中包括 ETH（以太网）、ADSL 接入、MODEM 接入、 DHCP 动态地址分配。INTERNAL 网络类型固定为以太网络，其它接口的网络类型需要用户选择符合实际的相应网络类型。 “设备类型“列出了当前可用的物理设备名称，已经被其它接口占用的设备不会列出。每个接口必须绑定一个物理设备。网络接口地址当网络类型选择了“E

28、TH”后，用户必须设置“网络接口地址”中相应的“IP 地址 ”、 “网络掩码” ，还可以设置本接口的“路由器地址” 。如果本接口没有网关，则设为 0.0.0.0 即可。从地址设置只有以太网类型的接口才可以设置从地址。点击“添加从地址”按钮，弹出“增加从地址”对话框，当用户有多个 IP 时，可在此为网关设置多网段的 IP 及掩码。如下图所示：图 4-4 “从地址设置”显示了已经添加的从地址，可以选择其中的某一“IP 地址/掩码”项，点击对话框中的“删除从地址” ，即可删除某一从地址。从地址不可编辑，只可添加和删除。拨号用户设置如果用户选择了“ADSL”或“MODEM ”类型

29、，则应进行相应的拨号用户属性的设置。其他属性主要显示了接口的状态、MAC 地址等。 VPN 设置每个接口有个属性是“是否启用 VPN 功能” ，只有当这个设置为启用时，该接口才会参与隧道协商。EXTERNAL 接口的这个属性不能更改，永远是启用的，其它接口的这个属性均可更改。 “优先级”表示这个接口在隧道协商时的优先顺序，可选值是 03,0 的优先级最高，3 的最低。最多只有四个接口可以启用 VPN 功能。如果本接口启用了 VPN 功能，则 VPN 设备会从这个接口所处的线路向 SCM 注册、通告，SCM 将会记录这个线路的源 IP 地址，同时可以解析出该线路是否在 NAT

30、后，但对某些特殊的情况，如这条线路处于一个 NAT 后，但该 NAT 给这个接口做了一个反向 NAT，此时需要将 NAT 设备的 IP 地址填在强制通告地址上，以告诉 SCM，这样其它 VPN 设备就可以主动访问这台 VPN 设备。当有多个接口启用 VPN 功能时，这些接口都会参与隧道协商，从而能达到隧道数据在不同线路上负载均衡的效果，有关详细的描述请参见 VPN 设置一章。网络接口传输统计信息显示本接口接收、发送的正确、错误数据包个数。 4.3 透明网络配置在该页面中用户可以为 VPN 设备配置透明接入相关参数。透明网络可以使 VPN 设备在接入网络后，原来的网络拓扑及设

31、置不需更改。VPN 网关采用的透明接入方式为网桥方式。VPN 设备出厂时， “透明网络”内容为空。若想增加一个透明网络条目，请在右侧视图中单击鼠标右键，选择“增加新项目” 。对话框如下图所示：图 4-5 在“透明网络名称”中您可以自定义该透明网络的名称；“设备名称” 中列出了可用的透明网络设备标识。 “透明网络名称”和“设备名称”均不能和已有的透明网络相应字段重复。在添加“透明网络”条目后，可以双击条目对其做进一步配置，如下图：图 4-6 “未绑定端口”中列出了待选的网络接口；“已绑定接口”中列出的网络接口之间将实现透明连接。您可以通过“绑定接口”和“解除接口”按钮进行设置。

32、 4.4 静态路由配置静态路由指的是 VPN 设备中固定的路由条目。该功能用来手工添加和修改系统路由表中的静态路由条目。VPN 设备出厂时， “静态路由”内容为空。若想增加一个静态路由条目，请在右侧视图中单击鼠标右键，选择“增加”或按工具栏中的“增加”按钮。对话框如下图所示：图 4-7 基本属性分别填入想添加路由的“目的 IP 地址” 、 “目的地址掩码”和“优先级” 。 “目的 IP 地址”和“目的地址掩码”规定的是数据包的目的 IP 范围。在该 IP 范围内的数据包才会按照该规则进行路由。优先级在目的地址和掩码相同的两条不同的路由存在时将发生作用，可选值是 0255，0 的优

33、先级最高， 255 最低。静态路由接口 “静态路由接口类型”有“网络接口”或者“隧道”两种。对于普通的路由，选择网络接口即可，若想让该目的地址从隧道转发，则需要输入转发的隧道名称。 “网关地址” ，表示 VPN 设备将把数据包发送给这个地址的网络设备。网关地址一定要是本地可到达的一个地址。 “网络接口” ，如果“静态网络接口类型”选择的是“网络接口” ，则该项就变成可编辑。 “网络接口”如果选择“自动选择网络接口” ，VPN 会自动选择一个可以到达“网关地址”的网络接口发送该数据包；否则将通过用户指定的网络接口发送。如果网关地址和网络接口都选了，则该网关地址一定要是从选择的网络

34、接口可达。 “隧道名称” ，如果“静态路由接口类型”选择“隧道” ，则该项可编辑，用户可以添加静态路由想要绑定的隧道名。 4.5 动态路由配置当用 VPN 设备充当某些网段的路由器时,就需要启动网关的动态路由功能，通过向周围可达网段发送多播广播包,来学习路由,在路由表中动态添加路由。 VPN 设备现支持两种动态路由协议：OSPF 最短路径优先协议和 RIP 路由信息协议。鼠标右键单击相应条目可决定对它们是否启用。图 4-8 第五章 PKI 设置证书是用于进行身份验证的文件，VPN 设备之间可以根据对方的证书信息验证对方身份的合法性，PKI 设置用来对 VPN 网关证书进行管理的

35、模块。 5.1 本机 VPN 证书管理图 5-1 本机 VPN 证书管理证书是用于进行身份验证的文件，VPN 网关设备之间可以根据对方的证书信息验证对方身份的合法性。VPN 网关设备的证书由安全集中管理平台统一发放，保存在控制台的某个路径或者 USBKEY 中，也可以由第三方 CA 发放。设置界面中包含了以下信息： “证书信息”：证书信息主要包括了“证书名称” ， “颁发者” ， “生效日期” ， “失效日期” 。如果证书已经导入，则将显示该证书的信息。 “证书导入”：VPN 网关设备的证书首先须由安全集中管理平台下发，下发后的证书以文件形式存在硬盘或 USBKEY 等存储载体中

36、，然后需要将它从存储载体中导入到 VPN 网关设备才可以使用。现有四种不同的导入方式： “从证书文件导入”：需要分别指明由安全集中管理平台发放的四个证书文件在控制台所在主机上的保存路径，这四个文件分别是证书文件、CA 证书文件、私钥文件、配置文件； “从 TAR 文件导入”：这种方式下由安全集中管理平台发放的四个证书文件已经被打包成 TAR 文件，只需在“文件名”中选择该 TAR 文件的路径文件即可，因此不必再像第一种方式那样一一指定四个文件的路径，比较方便； “从 USBKEY 导入”：这种方式下需要将存储了证书的 USBKEY 插入到硬件设备 USB 接口，并预先正确输入导入 U

37、SBKEY 信息的口令，这样在导入时才会成功。 “从 PKCS12 文件导入”：这种方式下，证书和私钥在同一个文件，即 PKCS12 文件中，根据实际情况，可能需要输入文件密码，CA 根证书文件和配置文件。在选择好证书导入方式和正确输入相关的选项信息后，点击“导入” 按钮即可导入证书。证书导入成功后，将会在“证书信息”一栏中显示正确的证书信息。 5.2 客户端证书属性当客户端提交一个证书进行验证时，可以对其多个属性验证证书是否合法，客户端证书属性用来设置客户端证书的认证属性。图 5-2 客户端证书属性启用证书用户特征当需要对证书证书用户区分权限时，需要从证书中提取其 CN 名

38、，或 CN EMAIL 字段，作为用户名，在用户数据库中进行索引。此标志打开后，表示需要对证书用户进行权限区分。验证签名当客户端提交证书后，是否需要对其进行签名验证。全文匹配当客户端提交证书后，是否需要对其进行全文匹配验证。此功能仅限于证书由网关颁发的情况。证书过期当客户端提交证书后，是否验证该证书已过期。此功能仅限于有系统时钟的系统。证书字段属性设置对于第三方颁发的证书，可能出现 CN 名相同的不同证书，为了能够对这些证书进行区分，在网关添加证书用户时，不仅采用 CN 字段，而是采用 CN+EMAIL，共同构成用户名，以此来避免证书用户名相同的情况。此时添加一个证

39、书用户时，其用户名的组成格式为“用户名；email 字段” 。 5.3 CA 证书管理当客户端采用第三方颁发 CA 的证书，又希望能够在网关对这些证书进行认证是，必须导入第三方 CA 的根证书。在这种方式下，网关通过第三方 CA 的根证书验证客户端证书是否合法。图 5-3 CA 证书管理如上图所示，CA 证书认证包含如下选项验证过期：设置是否验证第三方 CA 根证书过期。 CA 证书文件：选择保存在本地某个路径下的 CA 根证书，然后点击“导入证书”按钮导入第三方 CA 根证书。 CRL 文件：选择证书吊销列表文件。 CA 证书信息：显示已经导入的第三方 CA 根证书的相关信息，如

40、“证书名称” 、 “颁发者” 、 “生效日期” 、 “失效日期”等。 5.4 客户端根证书设置如果希望 VPN 网关能够发放证书，必须为其导入根证书，如下图所示：图 5-4 客户端根证书设置 VPN 网关导入客户端根证书的方式有四种：本地创建本地创建时，需要输入创建根证书的证书名称。使用本机证书使用本机证书作为客户端根证书，本机证书将会同时作为客户端根证书。使用第三方证书使用第三方证书作为客户端根证书时，需要指定第三方根证书文件和私钥文件。使用 PKCS12 文件使用 PKCS12 文件作为客户端证书时，需要指定 PKCS12 文件地点和文件密码。选择好以上文件后，

41、点击设置，会生成客户端根证书文件，如果导入成功，会在根证书信息中显示该证书的详细信息。 5.5 客户端本地证书管理客户端本地证书管理模块用来创建证书，创建前，需要正确设置客户端根证书。图 5-5 客户端本地证书管理创建客户端证书时，需要指定证书名称和证书有效期，证书有效期以天计算，从生成日开始。点击确定，会生成客户端证书。 5.6 远程证书认证设置如果客户端证书需要到远程证书认证机构进行认证，需要对 LDAP 认证模块进行参数设置。图 5-6 远程证书认证设置如上图所示，LDAP 服务器主要配置如下信息 IP 地址：LDAP 服务器地址。服务端口：LDAP 服务器的服务端

42、口。基本域：设置服务器进行证书查找的根域。登录用户名、口令：LDAP 服务器的登录用户名和口令。第六章 VPN 设置 6.1 VPN 功能简介 6.1.1 术语 1 安全集中管理平台（SCM） VPN 设备的集中管理软件，集中发放证书、生成设备、策略，管理各设备的子网等，详见安全集中管理平台使用手册。 SCM 由 SCM 管理器和 SPS 构成，SPS 是 SCM 的一个子模块，相当于 SCM 的服务端，SCM 管理器是用来登录 SPS，管理设备、策略的界面。 2 静态隧道在 VPN 设备上手动添加的隧道，添加静态隧道需要填入隧道的详细参数信息，如本地的保护子网、掩码、本地外出接

43、口、远端 VPN 网关的端点地址或域名、远端 VPN 网关的保护子网、掩码，加密算法等参数。 3 下载设备由 SCM 统一维护，各个 VPN 设备注册成功后主动下载下来的与本机有通信关系的设备列表。 4 下载子网 VPN 设备从 SCM 下载下来的其它设备的保护子网。 5 下载隧道由 SCM 统一制定，各个 VPN 设备注册成功后主动下载下来的隧道策略。 6 协商隧道 VPN 网关将下载下来的隧道在本地展开后所得的隧道。如果 VPN 设备有多个网络接口启用了 VPN 功能，VPN 设备将会从多个接口同时建立隧道，因此一条下载隧道可能会被展开成多条隧道。 VPN 隧道管理采用分布式管

44、理和集中管理两种管理方式。 6.1.2 分布式管理在分布管理方式下，隧道两端的用户根据建立隧道两端的 VPN 网关设备 IP 地址或域名地址和子网掩码等信息，各自在本地配置隧道策略后，建立隧道而进行安全的通信，通过这种方式建立的隧道即为静态隧道。静态隧道的配置相对于说对用户的要求较高，需要知道配置一条隧道参数的所有信息，且两台 VPN 设备要采用静态隧道通信，两端的参数必须对称。采用静态隧道可以与第三方 VPN 设备进行互连。 6.1.3 集中式管理集中式管理是天融信 VPN 的一大特色，在集中管理方式下，所有的策略均由 SCM 制定，VPN 设备利用证书向安全集中管理平台通过认

45、证注册后，从安全集中管理平台统一下载与本机相关的设备、子网、隧道策略，而不再需要用户在本地配置策略。无疑在集中管理方式下，利用 VPN 进行安全通信将更加方便。在集中管理方式下，VPN 设备在认证注册后，从安全集中管理平台可下载到“下载设备列表” 、 “下载子网列表” 、 “下载隧道列表”等。其中， 6.1.4 VPN 的负载均衡 IPSEC VPN 数据的负载均衡是天融信 VPN 的一大特色功能。当 VPN 设备有多个外出接口时，可以在这些外出接口上启用 VPN 功能， VPN 设备将从每个启用 VPN 功能的接口上与对端建立隧道，从而在多条线路上都有到达对方的安全通道。当对

46、端 VPN 设备有多个外出接口时，本地 VPN 设备将会与对端的多个接口同时建立隧道。因此 VPN 设备之间的隧道关系将会是 NM，这些动作全是 VPN 设备下载下隧道列表后在本地自动展开，对于管理员来说只要在 SCM 上添加一条 VPN1 到 VPN2 的隧道即可，其中多线路的感知由 VPN 设备自动完成。当一个数据包到达 VPN 设备，目的地址是对端 VPN 保护子网时，VPN 设备将在几个不同的隧道上进行负载均衡，从而充分利用所有线路带宽。 VPN 线路的负载均衡除了能充分利用各条线路以外，还能自动起到动态切换的功能，当一条线路出现故障后，原来通过这条线路传输的数据将会自动切

47、换至其它线路。注意：VPN 线路负载均衡功能只对集中式管理的隧道有效，对静态隧道无效。 6.2 SCM 设置 SCM 即安全集中管理平台。SCM 可以对 VPN 网关设备等进行集中管理：负责为 VPN 网关设备发放证书、管理各网关之间建立隧道的策略、控制网关的注册、以及收集网关登录时的 IP 地址、子网掩码、IP 是否经过了 NAT 等重要信息。VPN 设备支持主、从 SCM 服务器的工作方式，VPN 设备首先向主 SCM 进行身份认证并下载策略，当主 SCM 不能正常工作时，VPN 设备将尝试向从 SCM 进行身份认证并下载策略。用户在采用证书认证建立隧道时需要对主 SCM 设

48、置，根据实际情况可以选择设置从 SCM。SCM 设置界面如下图所示：图 6-1 “地址设置”界面中包含了以下信息： “地址类型”：SCM 有两种地址类型可以选择：IP 地址或者是域名地址。当选择“IP 地址”方式时，在“IP 地址”栏中，填入 SCM 的 IP 地址，此时“域名地址”栏为无效状态，不可输入；当选择 “域名地址”方式时，在“域名地址”栏中填入 SCM 的域名地址，当 SCM 的 IP 地址不是固定 IP 而是动态变化时，则采用这种方式。 “通告端口”和“策略端口”：SCM 使用这两个端口用于接收网关认证注册和下载策略请求、保活通告等。SCM 的“通告端口”和 “策略端口

49、”一般采用预设的缺省值 2010，除非当 SCM 的通告端口、策略端口有变化时，则必须指明 SPS 的相应端口。 “SCM 位置”：指明 SCM 在本 VPN 网关网络结构中的位置，是在 “内部网络”还是“外部网络” 。设置好以上信息后，点击“确定”按钮即可使设置生效。 6.3 加密算法 VPN 网关设备在利用隧道进行信息加密传输时，需要指定加密算法，一般缺省指定采用 3DESCBC 算法加密。但 VPN 网关设备也支持多种其他加密算法，包括软加密算法和硬加密算法，并实现了加密算法的动态加载。硬加密算法由专门的加密硬件实现，具有加密速度快等特点，VPN 网关设备在安装了硬件加密设备后可以即可加载相应的硬加密算法。加密算法设置界面如下图所示：图 6-2 该界面包含了本机支持所有加密算法的基本信息，其中状态列指明算法是否被加载。 “已加载”的算法在“算法 ID”列中用蓝色图标表示； “未加载” 的算法在“算法 ID”列中用红色图标表示。要加载加密算法可以在需要加载的加密算法条目上单击鼠标右键在点击“加载

展开阅读全文