《华盾VPN安全网关用户手册ver5.2.1.doc》由会员分享,可在线阅读,更多相关《华盾VPN安全网关用户手册ver5.2.1.doc(138页珍藏版)》请在三一办公上搜索。
1、 华盾VPN安全网关用户手册(5.2.1版)北京东方华盾信息技术有限公司二00五年九月目 录第一章 概 述61.1 华盾VPN产品系列61.2 关于本手册6第二章 硬件安装72.1 安全说明72.2 安装指南7第三章 配置准备113.1 控制面板安装113.2 登录VPN网关113.2.1 本地登录123.2.2 远程登录123.3 控制面板界面13第四章 网络设置164.1 网络功能简介164.1.1 网络接口164.1.2 上网的负载均衡164.1.3 透明网络174.1.4 静态路由184.1.5 动态路由184.2 网络接口配置194.3 透明网络配置224.4 静态路由配置244.5
2、 动态路由配置26第五章 PKI设置275.1 本机VPN证书管理275.2 客户端证书属性285.3 CA证书管理305.4 客户端根证书设置315.5 客户端本地证书管理325.6 远程证书认证设置32第六章 VPN设置346.1 VPN功能简介346.1.1 术语346.1.2 分布式管理356.1.3 集中式管理356.1.4 VPN的负载均衡356.2 SMC设置366.3 加密算法386.4 静态隧道386.5 本地保护子网列表436.6 下载设备列表436.7 下载子网列表446.8 下载隧道列表456.9 协商隧道列表45第七章 客户端接入487.1 客户端管理简介487.1.
3、1 概念及术语487.1.2 认证流程507.1.3 认证模式517.2 基本设置537.3 地址池设置577.4 远程认证设置587.5 权限对象管理607.6 时间对象管理617.7 本地用户管理627.8 在线列表657.9 客户端Licence65第八章 防火墙设置678.1 包过滤规则678.1.1 添加678.1.2 删除698.1.3 更改708.1.4 清空708.1.5 上移/下移708.2 NAT规则708.2.1 NAT地址池708.2.2 源NAT规则718.2.3 反向NAT规则738.3 IP-MAC地址绑定748.4 本机安全策略768.5 非法登录主机788.6
4、 抗攻击和扫描78第九章 应用代理819.1 基本设置819.2 时间规则设置829.3 网站过滤规则设置839.4 用户管理84第十章 服务器设置8710.1 DHCP服务器8710.2 拨号服务器8910.3 L2TP服务器9110.4 PPTP服务器9410.5 拨号用户9510.6 SNMP代理9710.7 附录10110.7.1 Windows上L2TP over IPSec VPN客户端的配置10110.7.2 Windows上L2TP VPN客户端的配置116第十一章 带宽管理11811.1 基本设置11911.2 带宽组11911.3 添加带宽规则122第十二章 双机热备份12
5、6第十三章 系统日志131第十四章 系统工具13214.1 口令设置13214.2 启动脚本13214.3 本机已注册13314.4 固件升级13314.5 连接超时属性13314.6 恢复配置13414.7 备份配置13414.8 清空配置13414.9 系统时钟13414.10 802.1x认证13514.11 DNS设置13514.12 DDNS设置13614.13 版本信息139第一章 概 述Internet 技术正日益改变着人们的工作和生活方式,基于Internet构建信息网络传输平台已成为政府、金融、企业等部门组建专用网络的首选方案之一,“华盾VPN(虚拟专用网)系列产品”正是您基
6、于Internet架设自己的专用网络的最佳选择。1.1 华盾VPN产品系列华盾VPN系列产品集VPN、防火墙等网络安全功能于一身,产品系列包括华盾VPN400/300/200/160/80/60/50安全网关、华盾VPN软件网关、华盾VPN客户端,以及与VPN产品相配套的“华盾安全管理中心”。1.2 关于本手册内容本手册提供了华盾VPN系列产品的安装配置使用说明,适用于华盾VPN硬件网关(5.2版)全线产品,使用者可按照本手册所描述,完成产品的所有配置。读者本手册适用于购买我公司VPN网关产品的用户,要求使用者具有一定的计算机网络基础知识以及TCP/IP和VPN相关的基本概念。第二章 硬件安装
7、2.1 安全说明 VPN安全网关属网络安全专用产品,请勿尝试自行维修。 接通电源之前,一定仔细检查了电源的输出值,以免发生过压毁机。 请勿在设备的通风口或开口处填塞任何物件,否则可能导致内部元件过热、短路而发生火灾或触电。 设备开启电源后,切勿将其置于通风不良或室温过高的环境中,例如:房屋角落、办公物品较多处。 使用交流电变压器类外接电源的VPN设备时,应确保已将外接电源放置在了通风的位置,切勿用纸张或其他影响散热的物件覆盖外接电源。 请勿在潮湿的环境中使用VPN安全网关。2.2 安装指南VPN安全网关的网络安装十分简单,在开始安装连接VPN网关之前,需要准备好必要的网线、RS232串口控制线
8、以及电源线等物品,并确保VPN网关周围留有足够的通风散热空间,请不要将重物放置在VPN网关设备上。在网线、控制线缆连接完毕后,将VPN网关的电源线稳定、可靠地插在机箱电源插座和电源插座上。网线实例:注意:RJ-45网线存在“直连线”和“交叉线”两种类型,通过网线两头RJ-45接头中的细线颜色对比,可以轻易地判断出网线的类型。细线色序一致时为直连线;色序在两头出现1-3、2-6对应,其余一致时为交叉线,不同类型的网线应用在不同的网络设备连接时。 当VPN设备的网口与路由器、主机网卡相连时,用交叉线; 当VPN设备的网口与HUB(集线器)、SWITCH(交换机)、ADSL拨号MODEM相连时,用直
9、连线。串口线(9针RS232接头)实例:VPN硬件接口示意:电源插座接入220V交流电控制口接入控制台串口Modem口接入拨号Modem电源开关内网口接入内网Switch或Hub外网口接入外网以太口或ADSL以太口电源插座接入直流电源转换器网络连接步骤:1 将VPN网关平稳地放置在机架或固定物上(如:办公桌);2 用RJ-45接头的以太网线将VPN网关的“内网口”接入您的局网集线器或交换机的网口上;3 用RJ-45接头的以太网线将VPN网关的“外网口”接入外网的网络设备上(如:路由器、交换机等),当您使用ADSL拨号上网时,将您的“外网口”接至ADSL拨号Modem的以太网口上;若您使用普通的
10、拨号Modem,请将VPN设备的“MODEM”口用专用串口线接至Modem串口上;4 若您需要本地配置您的VPN网关,还需要利用RS232串口线将VPN网关“控制口”与控制台(如:笔记本电脑)相连;5 插入电源线缆将电源接入您的VPN网关。若您使用的VPN产品需要外接电源转换器,则将专用的外接电源的插头接入VPN设备的电源插口。注意:应确保电源线两头稳固地插入了电源插座;6 打开电源开关,观察电源指示灯和网络接口上的连接指示灯(有关指示灯信息请查阅相关VPN设备的指示灯说明),当确认机器工作正常,网络连接正常时,您便完成了VPN安全网关的网络安装连接;7 通过VPN控制台对VPN网关进行各项系
11、统参数设置后,VPN安全网关将会为您提供满意的服务。第三章 配置准备3.1 控制面板安装通过“控制面板”您可以配置VPN网关的各种参数。控制面板是运行在WINDOWS操作系统上的一个应用程序,您首先需要准备一台装有WINDOWS操作系统的便携机或台式机,并在准备好的机器上拷入VPN网关控制面板应用程序,您的这台便携机或台式机就可以用作VPN网关的控制台了。3.2 登录VPN网关在控制台上进入控制面板程序所在的目录,双击控制面板启动程序,这时系统将显示“网关地址簿”界面,如下图所示:图3-1登录VPN网关有两种方式,一种是通过网络远程登录VPN网关,另一种是利用本地的串口登录VPN网关。在第一次
12、设置VPN网关设备时,既可以利用本地串口进行登录,也可以通过网络进行登录,设备出厂时为“内网口”分配了IP地址:192.168.1.1。3.2.1 本地登录选择“本地管理网关”即通过控制台RS232串口登录,将网关控制台的串口与需要配置的VPN网关设备控制串口用串口连接线相连,在登录口令栏中输入正确的口令(初始默认口令为sjw10),在“端口”框中填入相应的端口号(例如:COM1),点击“保存”保存该登录信息,点击“登录”按钮进行登录,口令/端口输入不正确时不能登录VPN网关。在使用“超级终端”登录VPN设备时,串口通信特性为:波特率 38400bps数据位 8位 奇偶校验 无 停止位 1 b
13、it 数据流控制 硬件。 注意:若您的机器(如:便携机)没有串口,需要用USB口转串口线接入VPN的控制口,这时,您所使用的本地登录串口号可在“设备管理器”查找。一般查看方法为:“控制面板”“系统”“硬件”“设备管理器”“端口”。3.2.2 远程登录选择“远程管理网关”,如下图所示:图3-2为了方便用户管理VPN网关,控制面板将您所管理的VPN网关进行了分组。当您是第一次通过网络远程管理某个VPN网关时,首先为其定义组属性,点击“添加组”按钮,为您管理的VPN网关命名一个组名,左击该组名,再点击“添加网关”,为您管理的VPN网关命名、定义网关IP地址、端口号(不需要填,在后面选择了一种远程登录
14、方式之后自动修改)、登录口令(初始默认口令为sjw10)和对此网关的说明,选择远程登录方式,点击“保存”保存所有信息,点击“登录”按钮登录系统。当您再次远程登录该VPN网关时,只需在网关地址簿中选中相应的设备即可。远程登录分为2种方式,即:SSH登录方式和TELNET登录方式。SSH登录方式为您提供了加密的登录通道,所有的登录信息(包括登录口令等)均以密文方式传输,推荐远程登录时使用SSH登录方式。3.3 控制面板界面登录成功后将弹出VPN网关控制界面如下图所示:图3-3标题栏菜单栏工具栏管理界面区列表区状态栏标题栏:显示登录网关的IP地址、证书ID号及网关名称;菜单栏:提供“管理”、“查看”
15、和“帮助”下拉菜单;工具栏:提供VPN网关管理的标准工具按钮;管理界面区:显示控制面板所提供的所有管理功能项;列表区:依据管理界面中选定的管理功能,列出相应的可配置项,用户可以在列表区中选定相应的项目进行配置的增、删、改;状态栏:显示控制面板工作的相应状态。VPN控制面板为您提供了简洁的标准工具按钮,其功能如下:工具按钮功能“登录网关”,您将打开地址簿,可从中选择所需要登录的VPN网关。在配置完一台VPN网关后,当您希望配置另一台VPN网关时,可选用此项地址簿功能;“重启网关”,重新启动VPN网关,当您点击此按钮后,系统将提示确认是否重新启动、是否将配置保存等信息;“保存配置”,永久保存VPN
16、网关的配置信息;“退出”,立即退出控制面板。其后,随着在“管理界面栏”选择的项不同,会动态出现不同的工具按钮,如“增加”,“刷新”等。第四章 网络设置4.1 网络功能简介用户可以在“网络设置”功能界面中设置VPN网关的各种网络参数特性,包括:“网络接口”、“透明网络”、“静态路由”、“动态路由”等。4.1.1 网络接口用来与外界通信的网络设备,与网关的物理端口对应。对网络通信设备做了一层封装,如可以定义接口名为DMZ,它绑定的物理设备是eth2。VPN设备内置三个接口:INTERNAL、EXTERNAL、VPN,这三个接口不可以删除,其中VPN接口是一个虚拟的接口,用于VPN加解密使用,用户可
17、以将它当做一个物理接口看待,加密时需要从这个接口发出,解密后需要从这个接口收包。“VPN接口”的信息不能更改,INTERNAL接口的类型不能更改,其它每个接口(如果还有可用的物理设备如网卡或串口,就可以动态的增加接口)都可以配置成不同的类型,如ETH(以太网)、DHCP、ADSL、MODEM等。对于DHCP、ADSL、MODEM一般都会自动获取IP地址和一个网关地址,对于以太网可以手工配置IP地址和一个网关地址(一般与内网相连的接口不需要配置网关地址)。4.1.2 上网的负载均衡VPN设备在代理上网时,可以实现上网数据包在不同线路的负载。当网关收到一个数据包时,如果没有找到固定的路由,就会走缺
18、省路由,当多个接口有网关时,数据包就会从所有具有网关的接口进行动态的负载均衡。负载是根据连接来决定的,如果一个新的连接,VPN设备会动态的负载,如果转发一个已建立的连接,则会根据这个数据包上次的路径发送出去,而不会再去建立一个新的连接。因此负载均衡对同一个连接的效果看起来并不明显,仅对同时有多个外出连接时有效。典型的负载均衡应用模型如下图如示:Internet图4-1用户可以有两根或多根INTERNET接入线路,各个接入方式可以各不相同。4.1.3 透明网络一个透明网络中可以加入多个网络接口,让处于这几个网络接口区域内的主机以桥接的方式互连。VPN设备支持路由模式、透明模式、混合模式三种工作模
19、式,在路由模式下,VPN设备对收到的数据包进行路由转发,更改数据包的源MAC地址。在透明模式下,处于同一透明网络的不同接口相当于交换口,网关对经过透明网络的数据包不做任何处理,只是根据MAC地址进行转发。混合模式相当于某些接口可以以路由方式工作,某些接口可以以透明方式工作。4.1.4 静态路由VPN设备对路由表的概念进行了扩充,一种是普通路由,指定到某个地址段经哪个网关转发,第二种是隧道路由,指定到某个地址段经哪条隧道转发。4.1.5 动态路由VPN设备支持两种动态路由协议:OSPF和RIP。VPN设备的动态路由主要可以用来实现VPN线路与专线线路的动态切换,为专线作为一个备份,亦可以用来与专
20、线同时工作,分担专线的流量负载。常见的应用模式如下:专网分支总部Internet图4-2在上图中,一种要求是总部与分支机构在专线正常的情况下,需要采用专线通信,当专线出现故障时,能够自动切换到VPN网络中通信。另一种要求是总部与分支之间的一部分机器通过VPN网络通信,一部分机器通过专线网络通信,但当其中任何一个网络出现故障时,都能自动切换至另外一个网络。还有一种需求是分支机构还有营业部或移动用户,这部分用户只能通过VPN访问分支机构,但还有访问总部的需求,其访问总部是由分支机构来授权的,所有数据包需要先到达分支机构,当专线网络正常时,要求通过专线转发数据包,当专线出现故障时,就通过分支与总部之
21、间的VPN网络转发数据。4.2 网络接口配置用户在网络接口配置页面中为VPN网关上各个网口配置网络通讯参数,包括“网络类型”、“IP地址”、“网络掩码”,以及“路由器IP地址”等。VPN设备出厂时,已经默认存在三个网络接口:INTERNAL(内网口)、EXTERNAL(外网口)和VPN,并且这三个网络接口不允许删除(VPN是VPN网设备内置的虚拟设备,不允许更改)。双击任意一个网络接口项目或在某个网络接口项目上点击鼠标右键并选择“编辑”或者工具栏中的“编辑”按钮,可以修改选中项目的各项参数。如下图所示:图4-3接口属性中,以红字显示的不允许更改。n 基本属性“接口名称”显示接口的名称,不允许修
22、改。“网络类型”列表中包括ETH(以太网)、ADSL接入、MODEM接入、DHCP动态地址分配。INTERNAL网络类型固定为以太网络,其它接口的网络类型需要用户选择符合实际的相应网络类型。“设备类型“列出了当前可用的物理设备名称,已经被其它接口占用的设备不会列出。每个接口必须绑定一个物理设备。n 网络接口地址当网络类型选择了“ETH”后,用户必须设置“网络接口地址”中相应的“IP地址”、“网络掩码”,还可以设置本接口的“路由器地址”。如果本接口没有网关,则设为0.0.0.0即可。n 从地址设置只有以太网类型的接口才可以设置从地址。点击“添加从地址”按钮,弹出“增加从地址”对话框,当用户有多个
23、IP时,可在此为网关设置多网段的IP及掩码。如下图所示:图4-4“从地址设置”显示了已经添加的从地址,可以选择其中的某一“IP地址/掩码”项,点击对话框中的“删除从地址”,即可删除某一从地址。从地址不可编辑,只可添加和删除。n 拨号用户设置如果用户选择了“ADSL”或“MODEM”类型,则应进行相应的拨号用户属性的设置。n 其他属性主要显示了接口的状态、MAC地址等。n VPN设置每个接口有个属性是“是否启用VPN功能”,只有当这个设置为启用时,该接口才会参与隧道协商。EXTERNAL接口的这个属性不能更改,永远是启用的,其它接口的这个属性均可更改。“优先级”表示这个接口在隧道协商时的优先顺序
24、,可选值是03,0的优先级最高,3的最低。最多只有四个接口可以启用VPN功能。如果本接口启用了VPN功能,则VPN设备会从这个接口所处的线路向SMC注册、通告,SMC将会记录这个线路的源IP地址,同时可以解析出该线路是否在NAT后,但对某些特殊的情况,如这条线路处于一个NAT后,但该NAT给这个接口做了一个反向NAT,此时需要将NAT设备的IP地址填在强制通告地址上,以告诉SMC,这样其它VPN设备就可以主动访问这台VPN设备。当有多个接口启用VPN功能时,这些接口都会参与隧道协商,从而能达到隧道数据在不同线路上负载均衡的效果,有关详细的描述请参见VPN设置一章。n 网络接口传输统计信息显示本
25、接口接收、发送的正确、错误数据包个数。4.3 透明网络配置在该页面中用户可以为VPN设备配置透明接入相关参数。透明网络可以使VPN设备在接入网络后,原来的网络拓扑及设置不需更改。VPN网关采用的透明接入方式为网桥方式。VPN设备出厂时, “透明网络”内容为空。若想增加一个透明网络条目,请在右侧视图中单击鼠标右键,选择“增加新项目”。对话框如下图所示:图4-5在“透明网络名称”中您可以自定义该透明网络的名称;“设备名称”中列出了可用的透明网络设备标识。“透明网络名称”和“设备名称”均不能和已有的透明网络相应字段重复。在添加“透明网络”条目后,可以双击条目对其做进一步配置,如下图:图4-6“未绑定
26、端口”中列出了待选的网络接口;“已绑定接口”中列出的网络接口之间将实现透明连接。您可以通过“绑定接口”和“解除接口”按钮进行设置。4.4 静态路由配置静态路由指的是VPN设备中固定的路由条目。该功能用来手工添加和修改系统路由表中的静态路由条目。VPN设备出厂时, “静态路由”内容为空。若想增加一个静态路由条目,请在右侧视图中单击鼠标右键,选择“增加”或按工具栏中的“增加”按钮。对话框如下图所示:图4-7n 基本属性分别填入想添加路由的“目的IP地址”、“目的地址掩码”和“优先级”。“目的IP地址”和“目的地址掩码”规定的是数据包的目的IP范围。在该IP范围内的数据包才会按照该规则进行路由。优先
27、级在目的地址和掩码相同的两条不同的路由存在时将发生作用,可选值是0255,0的优先级最高,255最低。n 静态路由接口“静态路由接口类型”有“网络接口”或者“隧道”两种。对于普通的路由,选择网络接口即可,若想让该目的地址从隧道转发,则需要输入转发的隧道名称。“网关地址”,表示VPN设备将把数据包发送给这个地址的网络设备。网关地址一定要是本地可到达的一个地址。“网络接口”,如果“静态网络接口类型”选择的是“网络接口”,则该项就变成可编辑。“网络接口”如果选择“自动选择网络接口”,VPN会自动选择一个可以到达“网关地址”的网络接口发送该数据包;否则将通过用户指定的网络接口发送。如果网关地址和网络接
28、口都选了,则该网关地址一定要是从选择的网络接口可达。“隧道名称”,如果“静态路由接口类型”选择“隧道”,则该项可编辑,用户可以添加静态路由想要绑定的隧道名。4.5 动态路由配置当用VPN设备充当某些网段的路由器时,就需要启动网关的动态路由功能,通过向周围可达网段发送多播广播包,来学习路由,在路由表中动态添加路由。VPN设备现支持两种动态路由协议:OSPF 最短路径优先协议 和RIP路由信息协议。鼠标右键单击相应条目可决定对它们是否启用。图4-8第五章 PKI设置证书是用于进行身份验证的文件,VPN设备之间可以根据对方的证书信息验证对方身份的合法性,PKI设置用来对VPN网关证书进行管理的模块。
29、5.1 本机VPN证书管理图5-1 本机VPN证书管理证书是用于进行身份验证的文件,VPN网关设备之间可以根据对方的证书信息验证对方身份的合法性。VPN网关设备的证书由安全管理中心统一发放,保存在控制台的某个路径或者USBKEY中,也可以由第三方CA发放。设置界面中包含了以下信息:“证书信息”:证书信息主要包括了“证书名称”,“颁发者”,“生效日期”,“失效日期”。如果证书已经导入,则将显示该证书的信息。“证书导入”:VPN网关设备的证书首先须由安全管理中心下发,下发后的证书以文件形式存在硬盘或USBKEY等存储载体中,然后需要将它从存储载体中导入到VPN网关设备才可以使用。现有四种不同的导入
30、方式:n “从证书文件导入”:需要分别指明由安全管理中心发放的四个证书文件在控制台所在主机上的保存路径,这四个文件分别是证书文件、CA证书文件、私钥文件、配置文件;n “从TAR文件导入”:这种方式下由安全管理中心发放的四个证书文件已经被打包成TAR文件,只需在“文件名”中选择该TAR文件的路径文件即可,因此不必再像第一种方式那样一一指定四个文件的路径,比较方便;n “从USBKEY导入”:这种方式下需要将存储了证书的USBKEY插入到硬件设备USB接口,并预先正确输入导入USBKEY信息的口令,这样在导入时才会成功。n “从PKCS12文件导入”:这种方式下,证书和私钥在同一个文件,即PKC
31、S12文件中,根据实际情况,可能需要输入文件密码,CA根证书文件和配置文件。在选择好证书导入方式和正确输入相关的选项信息后,点击“导入”按钮即可导入证书。证书导入成功后,将会在“证书信息”一栏中显示正确的证书信息。5.2 客户端证书属性当客户端提交一个证书进行验证时,可以对其多个属性验证证书是否合法,客户端证书属性用来设置客户端证书的认证属性。图5-2 客户端证书属性n 启用证书用户特征当需要对证书证书用户区分权限时,需要从证书中提取其CN名,或CNEMAIL字段,作为用户名,在用户数据库中进行索引。此标志打开后,表示需要对证书用户进行权限区分。n 验证签名当客户端提交证书后,是否需要对其进行
32、签名验证。n 全文匹配当客户端提交证书后,是否需要对其进行全文匹配验证。此功能仅限于证书由网关颁发的情况。n 证书过期当客户端提交证书后,是否验证该证书已过期。此功能仅限于有系统时钟的系统。n 证书字段属性设置对于第三方颁发的证书,可能出现CN名相同的不同证书,为了能够对这些证书进行区分,在网关添加证书用户时,不仅采用CN字段,而是采用CN+EMAIL,共同构成用户名,以此来避免证书用户名相同的情况。此时添加一个证书用户时,其用户名的组成格式为“用户名;email字段”。5.3 CA证书管理当客户端采用第三方颁发CA的证书,又希望能够在网关对这些证书进行认证是,必须导入第三方CA的根证书。在这
33、种方式下,网关通过第三方CA的根证书验证客户端证书是否合法。图5-3 CA证书管理如上图所示,CA证书认证包含如下选项验证过期:设置是否验证第三方CA根证书过期。CA证书文件:选择保存在本地某个路径下的CA根证书,然后点击“导入证书”按钮导入第三方CA 根证书。CRL文件:选择证书吊销列表文件。CA证书信息:显示已经导入的第三方CA根证书的相关信息,如“证书名称”、“颁发者”、“生效日期”、“失效日期”等。5.4 客户端根证书设置如果希望VPN网关能够发放证书,必须为其导入根证书,如下图所示:图5-4 客户端根证书设置VPN网关导入客户端根证书的方式有四种:n 本地创建本地创建时,需要输入创建
34、根证书的证书名称。n 使用本机证书使用本机证书作为客户端根证书,本机证书将会同时作为客户端根证书。n 使用第三方证书使用第三方证书作为客户端根证书时,需要指定第三方根证书文件和私钥文件。n 使用PKCS12文件使用PKCS12文件作为客户端证书时,需要指定PKCS12文件地点和文件密码。选择好以上文件后,点击设置,会生成客户端根证书文件,如果导入成功,会在根证书信息中显示该证书的详细信息。5.5 客户端本地证书管理客户端本地证书管理模块用来创建证书,创建前,需要正确设置客户端根证书。图5-5 客户端本地证书管理创建客户端证书时,需要指定证书名称和证书有效期,证书有效期以天计算,从生成日开始。点
35、击确定,会生成客户端证书。5.6 远程证书认证设置如果客户端证书需要到远程证书认证机构进行认证,需要对LDAP认证模块进行参数设置。图5-6 远程证书认证设置如上图所示,LDAP服务器主要配置如下信息IP地址:LDAP服务器地址。服务端口:LDAP服务器的服务端口。基本域:设置服务器进行证书查找的根域。登录用户名、口令:LDAP服务器的登录用户名和口令。第六章 VPN设置6.1 VPN功能简介6.1.1 术语1 安全管理中心(SMC)VPN设备的集中管理软件,集中发放证书、生成设备、策略,管理各设备的子网等,详见安全管理中心使用手册。SMC由SMC管理器和SPS构成,SPS是SMC的一个子模块
36、,相当于SMC的服务端,SMC管理器是用来登录SPS,管理设备、策略的界面。2 静态隧道在VPN设备上手动添加的隧道,添加静态隧道需要填入隧道的详细参数信息,如本地的保护子网、掩码、本地外出接口、远端VPN网关的端点地址或域名、远端VPN网关的保护子网、掩码,加密算法等参数。3 下载设备由SMC统一维护,各个VPN设备注册成功后主动下载下来的与本机有通信关系的设备列表。4 下载子网VPN设备从SMC下载下来的其它设备的保护子网。5 下载隧道由SMC统一制定,各个VPN设备注册成功后主动下载下来的隧道策略。6 协商隧道VPN网关将下载下来的隧道在本地展开后所得的隧道。如果VPN设备有多个网络接口
37、启用了VPN功能,VPN设备将会从多个接口同时建立隧道,因此一条下载隧道可能会被展开成多条隧道。VPN隧道管理采用分布式管理和集中管理两种管理方式。6.1.2 分布式管理在分布管理方式下,隧道两端的用户根据建立隧道两端的VPN网关设备IP地址或域名地址和子网掩码等信息,各自在本地配置隧道策略后,建立隧道而进行安全的通信,通过这种方式建立的隧道即为静态隧道。静态隧道的配置相对于说对用户的要求较高,需要知道配置一条隧道参数的所有信息,且两台VPN设备要采用静态隧道通信,两端的参数必须对称。采用静态隧道可以与第三方VPN设备进行互连。6.1.3 集中式管理集中式管理是华盾VPN的一大特色,在集中管理
38、方式下,所有的策略均由SMC制定,VPN设备利用证书向安全管理中心通过认证注册后,从安全管理中心统一下载与本机相关的设备、子网、隧道策略,而不再需要用户在本地配置策略。无疑在集中管理方式下,利用VPN进行安全通信将更加方便。在集中管理方式下,VPN设备在认证注册后,从安全管理中心可下载到“下载设备列表”、“下载子网列表”、“下载隧道列表”等。其中, 6.1.4 VPN的负载均衡IPSECVPN数据的负载均衡是华盾VPN的一大特色功能。当VPN设备有多个外出接口时,可以在这些外出接口上启用VPN功能,VPN设备将从每个启用VPN功能的接口上与对端建立隧道,从而在多条线路上都有到达对方的安全通道。
39、当对端VPN设备有多个外出接口时,本地VPN设备将会与对端的多个接口同时建立隧道。因此VPN设备之间的隧道关系将会是NM,这些动作全是VPN设备下载下隧道列表后在本地自动展开,对于管理员来说只要在SMC上添加一条VPN1到VPN2的隧道即可,其中多线路的感知由VPN设备自动完成。当一个数据包到达VPN设备,目的地址是对端VPN保护子网时,VPN设备将在几个不同的隧道上进行负载均衡,从而充分利用所有线路带宽。VPN线路的负载均衡除了能充分利用各条线路以外,还能自动起到动态切换的功能,当一条线路出现故障后,原来通过这条线路传输的数据将会自动切换至其它线路。注意:VPN线路负载均衡功能只对集中式管理
40、的隧道有效,对静态隧道无效。6.2 SMC设置SMC即安全管理中心。SMC可以对VPN网关设备等进行集中管理:负责为VPN网关设备发放证书、管理各网关之间建立隧道的策略、控制网关的注册、以及收集网关登录时的IP地址、子网掩码、IP是否经过了NAT等重要信息。VPN设备支持主、从SMC服务器的工作方式,VPN设备首先向主SMC进行身份认证并下载策略,当主SMC不能正常工作时,VPN设备将尝试向从SMC进行身份认证并下载策略。用户在采用证书认证建立隧道时需要对主SMC设置,根据实际情况可以选择设置从SMC。SMC设置界面如下图所示:图6-1“地址设置”界面中包含了以下信息:n “地址类型”:SMC
41、有两种地址类型可以选择:IP地址或者是域名地址。当选择“IP地址”方式时,在“IP地址”栏中,填入SMC的IP地址,此时“域名地址”栏为无效状态,不可输入;当选择“域名地址”方式时,在“域名地址”栏中填入SMC的域名地址,当SMC的IP地址不是固定IP而是动态变化时,则采用这种方式。n “通告端口”和“策略端口”:SMC使用这两个端口用于接收网关认证注册和下载策略请求、保活通告等。SMC的“通告端口”和“策略端口”一般采用预设的缺省值2010,除非当SMC的通告端口、策略端口有变化时,则必须指明SPS的相应端口。n “SMC位置”:指明SMC在本VPN网关网络结构中的位置,是在“内部网络”还是
42、“外部网络”。设置好以上信息后,点击“确定”按钮即可使设置生效。6.3 加密算法VPN网关设备在利用隧道进行信息加密传输时,需要指定加密算法,一般缺省指定采用3DESCBC算法加密。但VPN网关设备也支持多种其他加密算法,包括软加密算法和硬加密算法,并实现了加密算法的动态加载。硬加密算法由专门的加密硬件实现,具有加密速度快等特点,VPN网关设备在安装了硬件加密设备后可以即可加载相应的硬加密算法。加密算法设置界面如下图所示:图6-2该界面包含了本机支持所有加密算法的基本信息,其中状态列指明算法是否被加载。“已加载”的算法在“算法ID”列中用蓝色图标表示;“未加载”的算法在“算法ID”列中用红色图
43、标表示。要加载加密算法可以在需要加载的加密算法条目上单击鼠标右键在点击“加载”即可。要卸载加密算法可采取以上类似操作。注意:由于3DES-CBC是默认的加密算法,因此不允许卸载此算法。6.4 静态隧道如前所述,静态隧道是根据用户在本地制定的隧道策略建立的。静态隧道策略是基于已知建立隧道双方的IP地址或域名地址和保护子网基础上而制定的。单击“静态隧道”节点后,在右侧空白区域单击鼠标右键,选择“增加”将弹出“静态隧道设置”界面。您可以在此界面中填入相应的隧道信息以定义一条静态隧道。图6-3 预共享密钥方式图6-4 证书认证方式“静态隧道设置”界面包括了以下信息:“基本属性”包含了以下内容:n “隧
44、道名称”:添加的静态隧道名。n “认证方式”:进行隧道协商时的身份认证方式,建静态隧道支持“预共享密钥”和“证书认证”两种方式。当选择预共享密钥方式时,“预共享密钥设置” 包含了以下内容:n “预共享密钥”:指建立静态隧道两端用于认证身份的口令密码。n “使用标识符”:指采用预共享密钥认证时,是否使用标识符作为网关搜索共享密钥文件的索引。这里“本地标识符”和“远端标识符”分别指用于表示本地网关和远端网关搜索共享密钥文件的索引。如果不使用标识符,以上两个栏目将无法输入,网关将使用本地和远端的IP地址作为搜索共享密钥文件的索引;如果设置了“使用标识符”作为搜索索引的话,则需要同时设置本地标识符和远
45、端标识符作为密钥搜索索引。并且需要在远端网关的“预共享密钥设置”中也设置相应的本端标识符和远端标识符,两端的本地标识符和远端标识符应保持一致,即本地网关的本地标识符和远端标识符应该分别为远端网关的远端标识符和本地标识符。注意:标识符中必须含有“”字符。另外,当网关处于NAT后时,需要指定使用标识符。n “封装模式”:指静态隧道的数据包封装模式,现支持隧道模式和传输模式两种,一般采用隧道模式即可。当选择证书认证方式时,“标识符设置” 包含了以下内容:n “远端标识符”:指采用证书认证时,用于远端网关的身份标识。注意:标识符由“”字符和网关证书CN字段组成。例如:“testCN”n “封装模式”:指静态隧道的数据包封装模式,现支持隧道模式和传输模式两种,一般采用隧道模式即可。“本地设置”用于对本地保护网络信息进行设置,包含了以下内容:n “本地接口”:指参与静态隧道协商的本地网络接口名称。n “本地保护子网地址”:指静态隧道保护的本地子网的IP地址。n “本地保护子网掩码”:指静态隧道保护的本地子网掩码。“远端设置”用于对远端保护网络信息进行设置,包含了以下内容:n “远端网关地址类型