《SJW74系列TPN安全网关配置手册V54.doc》由会员分享,可在线阅读,更多相关《SJW74系列TPN安全网关配置手册V54.doc(212页珍藏版)》请在三一办公上搜索。
1、SJW74系列TPN安全网关配置手册V5.42010年4月目 录第1章TPN安全网关简介71.1功能简介71.2应用环境71.3硬件接口81.4工作模式81.5接入方式9第2章开始配置安全网关102.1配置工具和配置方式102.1.1配置工具102.1.2配置方式102.2对安全网关进行配置102.2.1通过串行口对网关进行配置112.2.2通过网络对网关进行配置122.3保存配置文件132.4导入导出配置文件132.5清空安全网关配置14第3章初始化向导153.1设备初始化的步骤15第4章系统基本信息配置204.1配置软件的基本结构204.2系统维护204.2.1设备信息204.2.2日期与
2、时间214.2.3设备管理224.2.4集中管理234.2.5设备日志244.2.6审计配置264.2.7自动重启274.3网络设置284.3.1基本设置284.3.2网络接口304.3.3PPPOE拨号324.3.4DHCP服务334.3.5DNS344.3.6DDNS354.3.7网络路由364.3.8默认网关集374.3.9ARP表384.3.10VLAN TRUNK384.4对象管理404.4.1网络地址404.4.2网络协议414.4.3网络服务424.4.4时间表45第5章VPN配置475.1配置VPN的步骤475.2VPN的相关配置485.2.1身份认证方式和缺省预共享密钥485
3、.2.2数字证书495.2.2.1先生成证书请求的方式495.2.2.2直接导入的方式515.2.2.3分别导入的方式515.2.2.4导入和清空CRL525.2.2.5启用证书模块525.2.3密钥生命周期535.2.4NAT穿透功能545.2.5隧道保持功能555.2.6隧道bypass功能565.2.7动态接入575.3配置局域网到局域网的VPN585.3.1典型环境下的VPN配置585.3.2局域网中有多个网段时的VPN配置645.4VPN向导68第6章TPN配置726.1TPN全局设置726.1.1禁用选项726.1.2认证选项736.1.3认证服务器(第三方服务器认证)746.1.
4、4内网服务器区766.1.5终端加速服务器776.1.6网络洪流检测776.1.7防ARP欺骗786.1.8绑定信息变更审核796.1.9其他设置796.1.9.1客户端卸载保护796.1.9.2客户端禁止退出806.2权限对象816.2.1网络权限816.2.2内容审计836.2.3VPN权限(移动客户端接入权限)856.2.4主机风险评估等级866.2.4.1进程管理876.2.4.2杀毒软件检测906.2.4.3防火墙检测926.2.4.4补丁更新及检测946.2.4.5虚拟VLAN956.2.4.6非法外联996.2.4.7活动窗口统计1016.2.4.8外设控制1026.2.5内容审
5、计1036.3角色管理1036.3.1.1配置角色1036.3.1.2查看角色关联用户1046.4用户管理1056.4.1用户设置1056.4.1.1添加用户组1056.4.1.2添加用户1066.4.1.3统一设置组内用户1096.4.1.4通用帐号1106.4.1.5免认证用户1116.4.1.6自动认证1126.4.1.7成员部署1156.4.1.8特权用户1176.4.1.9用户导入导出1176.4.1.10绑定IP和MAC1186.4.1.11绑定机器码1196.4.1.12清空机器码功能1206.4.1.13用户详细信息查看和导出功能1206.4.2在线用户1216.4.2.1用户
6、实时流速1226.4.2.2向在线用户发送消息功能1226.4.3禁用用户1236.5WEB客户端1246.5.1导入WEB客户端1246.5.2开启WEB服务1256.6TPN向导1276.7自定义进程特征库1296.8TPN推荐配置顺序131第7章TPN客户端使用说明1327.1首次使用1327.2登录1347.3主控台和选项138第8章防火墙配置1408.1地址映射(NAT)配置1408.1.1配置NAT的通常步骤1408.1.2添加NAT对象1408.1.3添加NAT策略1438.1.4调整NAT映射表项刷新时间1458.2状态检测配置1458.3快速过滤配置1468.4HTTP检测配
7、置1488.4.1非法URL检测设置1488.4.2URL过滤设置1498.4.3日志记录设置1518.4.4HTTP检测在策略中的设置1528.5攻击检测配置1538.6IDS互动配置1558.7MAC地址绑定配置1568.8网关ARP代理1588.9高级设置159第9章安全策略1609.1安全策略的匹配1609.1.1策略的匹配机制和快速匹配功能1609.1.2策略生效时间1619.2安全策略的顺序调整1619.3安全策略相关操作162第10章多链路配置16310.1链路备份16310.1.1工作原理16310.1.2配置方法16310.1.2.1全局配置16310.1.2.2链路设置16
8、410.1.2.3开启链路备份16510.1.3配置实例16510.2负载均衡17010.2.1工作原理17010.2.2配置方法17010.2.2.1全局配置17010.2.2.2设置链路17110.2.2.3策略引用功能17210.2.2.4开启链路均衡17310.3策略路由174第11章其他功能17711.1流量控制17711.1.1基于策略的流量控制17711.1.2基于用户的流量控制18011.1.3动态流控18311.1.4三种流控方式的关系18611.2移动加速18711.3双机热备18811.3.1配置双机热备18811.3.2在双机热备状态下同步配置文件19111.4辅助工具
9、19211.4.1使用ping工具19211.4.2使用shell终端19211.4.3发送免费arp广播19311.4.4License信息19411.4.5autobat文件导入导出功能19511.4.6WEB客户端导出19511.4.7接口抓包19611.5内核及license升级19711.5.1内核升级19711.5.2License升级20011.6设备重启20211.7安全关机20211.8恢复备份配置202第12章事件与报告20412.1系统日志20412.2流量统计20612.3威胁报告207附录209附录A 主要名词术语解释209附录B 安全网关配置常见问题209附录C 推
10、荐配置顺序210感谢您购买ADT SJW74 TPN系列安全网关!本手册将为您详细介绍安达通SJW74 TPN系列安全网关的使用方法。欢迎访问安达通公司网站,及致电本公司400-880-1233。第1章 TPN安全网关简介1.1 功能简介 TPN安全网关和TPN客户端程序利用身份认证技术和主机行为检测技术,实现全网行为管理。 TPN安全网关应用IKE和Ipsec技术对IP数据流进行端到端的加密保护,实现异地子网之间的安全互联,以及移动用户对固定网络的安全接入,提供VPN服务; TPN安全网关具有链路备份和负载均衡的功能,支持在两条线路接入下的链路备份功能,以及多条线路接入下的链路负载均衡功能;
11、 TPN安全网关应用NAT技术实现共享上网和虚拟服务器功能; TPN安全网关应用包过滤和状态检测技术保护内网主机和服务器,提供防火墙的功能; TPN安全网关具备隧道接力、隧道嵌套、VPN后NAT、NAT后VPN等多种高级功能,能够组建各种复杂的VPN网络,满足客户的各种应用需求。1.2 应用环境 SJW74安全网关的典型应用环境如下图,用户可以参考该图规划自己的应用环境。1.3 硬件接口以SJW74T-1500为例,安全网关外形如下图所示:SJW74 T-40带有2个百兆网口;SJW74 T-100带有3个百兆网口;SJW74 T-500带有7个百兆网口(其中4个交换口);SJW74 T-15
12、00带有个千兆网口,SJW74 T-2000和SJW74 T-5000均带有6个千兆电口和2个千兆光口; 除T40外,各型号的网关还具备:两个COM口,COM1用于配置和故障恢复,COM2作为双机热备时“心跳线”的连接口;个电源指示灯;个网络接口指示灯。T40只有一个COM1口。1.4 工作模式安全网关支持在路由模式和透明模式两种模式下工作,能够满足在各种网络环境下的应用。在路由模式下,安全网关作为一个三层设备工作,通常部署在内外网的边界,为内外网提供路由、防火墙过滤、NAT和IPSEC加密等功能;在透明模式下,安全网关作为一个透明网桥工作在二层,对通过安全网关的数据流进行包过滤或提供IPSE
13、C加密服务。此时,可以任意设置LAN口和WAN口地址。使用透明模式可以不改变用户原有的网络结构和地址规划,并且能使非IP的其他协议(比如IPX、NETBEUI等)顺利透过安全网关;另外,ADT安全网关还具备一个非常有用的特点,即在透明模式下还能正常提供路由模式下才具备的路由转发、NAT等功能,在一些特殊场合下,该特性能实现“混和工作模式”(即透明和路由并存)。注意:支持多线路接入的链路备份和链路均衡功能只在路由模式下有效。1.5 接入方式SJW74系列安全网关支持以太网固定地址接入、DHCP自动获取地址接入、PPPOE拨号接入(比如ADSL、CABLE)等几种方式,多线路接入时,可以实现上述各
14、种接入方式的组合,同时能支持多个PPPOE拨号链路,能适用于绝大部分的网络环境。第2章 开始配置安全网关2.1 配置工具和配置方式2.1.1 配置工具在安全网关能正常工作之前,必须经过正确的系统配置;对安全网关的各种配置操作都需要通过信任网关控制台(TpnConsole)软件进行。2.1.2 配置方式信任网关控制台能通过网络和COM口两种手段对安全网关进行配置。通常使用COM口对安全网关进行初始化配置,使用网络进行远程管理和配置;通过网络进行配置时,信任网关控制台软件使用SSL来保证与安全网关通信数据的安全;无论通过网络还是串行口对安全网关进行配置,都需要进行用户认证。2.2 对安全网关进行配
15、置安全网关的出厂缺省配置: 根用户:root 根用户缺省密码:changeit(中文意思为“改掉它”) LAN口IP地址:192.168.1.1,掩码:255.255.255.0 其他接口IP地址均为空 策略为空(默认全部阻断)对一台刚出厂的设备,建议通过“初始化向导”工具进行初始化配置,初始化配置可以通过网络或串行口进行(详见第三章初始化向导)。2.2.1 通过串行口对网关进行配置安全网关的串行口配置线为两头都为九孔或RJ45的串行连接线(设备包装附带)配置步骤如下:1 在主机上安装信任网关控制台(TpnConsole)软件;2 用串行口连接线将安全网关的COM口与配置主机的COM口相连接(
16、注意:如碰到有两个串口的安全网关,均连接到COM1);3 打开安全网关电源,等待网关完成启动(根据设备的不同,这个过程需要时间约30秒2分钟);4 打开信任网关控制台软件,选择“串口连接”,在“本机串口”选择本机与安全网关相连接的串口编号,输入管理员用户名和密码,点击“确定”;登录界面如下:5 进入配置主界面;如下图所示:注意:当控制台版本和网关内核版本不匹配时,会提示警告信息。在不匹配时可以查看一些网关信息,但尽量不要做配置的操作。2.2.2 通过网络对网关进行配置1 在主机上安装信任网关控制台(TpnConsole)软件;2 用一根交叉线(反线)或通过Hub、交换机将安全网关的LAN口和配
17、置主机进行连接,将配置主机的该接口IP地址改为192.168.1.2,掩码255.255.255.0。3 打开安全网关电源;4 在配置主机上启动信任网关控制台,选择“网口连接”,在目标网关输入安全网关LAN口地址“192.168.1.1”,输入密码,点击“确定”;登录界面如下:5 进入配置主界面。2.3 保存配置文件点击信任网关控制台主界面上的“保存”按钮或者选择“网关”菜单下的“保存配置”,即将安全网关的当前配置保存到内部的存储器中。注意:网关重新启动过后按最后一次保存的配置运行。2.4 导入导出配置文件在实时配置模式下,选择信任网关控制台“网关”菜单下的“导出配置”项,在弹出的对话框中选择
18、存放路径并输入文件名,点击“确定”按钮,即保存配置文件到指定目录。在实时配置模式下,选择信任网关控制台“网关”菜单下的“导入配置”项,在弹出的对话框中选择指定目录下的配置文件,点击“确定”按钮,接着重启安全网关,即按配置文件中的配置运行;利用安全网关配置可导入导出的特性,可以进行安全网关的大批量离线编辑,再统一导入;也可以通过分析配置文件进行离线的故障诊断等等;注意:在导入配置之后重启网关之前,不要点“保存”按钮。2.5 清空安全网关配置在信任网关控制台“网关”菜单下选择“清空配置”,接着重新启动安全网关,安全网关的配置即恢复到出厂状态。注意:在清空配置之后重启网关之前,千万不要保存配置,否则
19、清空将失效。第3章 初始化向导从一台刚出厂的安全网关,到符合用户的要求进行正常工作,通常要经过各种配置。在刚开始配置时建议首先使用信任网关控制台中的“初始化向导”工具对安全网关做初始化配置,通过初始化向导能够设置网关的基本信息并实现一些基本功能。3.1 设备初始化的步骤打开初始化向导可以通过两种途径:在信任网关控制台的“工具”菜单下选择“初始化向导”或者直接选择安全控制台首界面下的初始化向导链接。打开初始化向导后的界面如下图所示:点击“下一步”,提示选择网关型号并输入网关名称:点击“下一步”,选择接入方式,在初始化向导中默认为单线路接入,以固定地址接入为例:点击“下一步”,输入Wan口IP、掩
20、码、缺省路由和DNS,以及接口是否允许ping和管理等相关信息:点击“下一步”,配置网关的Lan口地址:点击“下一步”,配置VPN参数,要注意的是“VPN隧道端点”和“内部DNS”等参数都只用于客户端,当用信任网关控制台制作SureID(即部署客户端)时才会用到这些参数:点击“下一步”,配置集中管理参数,安全网关可以工作在“自主管理”和“集中管理”两种模式下,“自主管理”可以选择“接受监控”。所谓“集中管理”,是指通过ADT网管服务器(SureManager)统一下发VPN参数(节点、隧道、策略),从而达到快速部署VPN网络的目的,并且网关统一上报运行状态,接受网管服务器的监控。在安全网关上可
21、以选择“自主管理”和“集中管理”两种方式,“自主管理”方式下可以选择“接受监控”,即只向网管服务器上报运行信息,不接受下发VPN参数。一旦选择“集中管理”或者“自主管理”下的“接受监控”,都需要在下面“参数设置”里输入服务器IP,用户名、密码等参数。点击“下一步”,至此初始化向导的所有信息都输入完毕,初始化向导即将初始化的信息传送到安全网关,并将安全网关重启。当初始化完成后,安全网关将自动重新启动,启动后安全网关就按向导中配置的信息运行。注意:初始化按照一条线路接入的配置,如要新增线路需另外配置。注意:建议将一台网关应用到一个新的环境之前先使用初始化向导做一遍初始化。第4章 系统基本信息配置在
22、本章中将介绍信任网关控制台软件的基本结构和系统基本信息的配置方法。系统基本信息包括安全网关的名字、管理员帐号、系统日期、在后面配置中要用到的对象等等。4.1 配置软件的基本结构不论是实时配置模式或者还是编辑配置文件的形式,都将通过相同的配置界面来完成配置工作。信任网关控制台的主界面分为两大部分,左边的树形结构包括了所有的配置项目;右边是具体的配置内容,以列表的形式为主;当选中左边某个项目时,右边会出现相应的已配置信息,通过在右边列表中的操作,可以进行各种各样的配置。当配置软件与安全网关的通信出现错误或出现其他错误时,右边的下面部分会出现一个显示提示信息的列表框。配置界面的上部有一排导航栏按钮,
23、这些按钮除了“连接”、“保存”、“刷新”几个基本功能按钮之外,其他的会根据左边选中的配置选项不同而变化,用于对配置具体内容的操作:“连接”按钮用于重新连接一个安全网关或重新编辑一个配置文件;“保存”按钮用于保存配置信息或导入导出配置文件;“刷新”按钮用于在实时模式下从安全网关刷新当前的配置,在编辑配置文件模式下从配置文件刷新当前配置。配置界面底部显示了当前的安全网关状态、用户配置连接方式、登录用户名、连接时间等信息。4.2 系统维护系统维护是配置选项中的第一个大项,其中包括五个小项,下面分别介绍各自的功能。4.2.1 设备信息设备信息中包括“设备名称”、“所有者”、“管理员”、“联系方法”等内
24、容,记录这些信息仅仅是为了区分设备以及记录管理员和联系方式,这些信息与今后的配置无任何关联;编辑设备信息的步骤如下:1选中“设备信息”后,双击右边的列表或者点击导航栏上的“属性”按钮;2在弹出的对话框上编辑设备信息,点击“确定”;如下图所示:注意:当设备处于试用状态时,试用期到期前会向本选项中“邮件地址”的邮箱发送试用期即将到期的提醒邮件。4.2.2 日期与时间在该项中显示并可更改安全网关当前的系统时间和日期。修改时间日期的步骤如下:1 双击右边列表中“系统时间”一项或单击该项并在导航栏按钮中点击属性,弹出修改对话框,可以手工修改,也可以选择“与本机保持一致”,如选择“与本机保持一致”,配置软
25、件自动从配置主机上读取日期时间并设置到安全网关上去;2 点击“确定”;如下图:4.2.3 设备管理设备管理选项显示了当前所有用户信息,以及目前登录用户信息等等。缺省设备只有一个root用户,root用户具有最高权限;在右边列表中显示出最后一个用户连接的IP地址、当前每个用户的当前连接数目等信息;用户可以自行添加用户,用户添加的用户分为三个级别,分别为“管理用户”、“浏览用户”和“组管理用户”,“管理用户”可以对安全网关进行各种配置;“浏览用户”只能实时查看当前网关的配置信息,不能修改配置;“组管理用户”只能对关联的相应用户组进行“添加”、“删除”、“修改”等操作。同时,能够对管理员进行IP限制
26、,即限定该IP地址才能登录网关进行配置查询或修改。添加浏览用户界面如下:注意:可到用户组的属性中设置组管理员与用户组的关联关系。在设备管理下,点击“选项”按钮,可更改一些控制用户登录的参数,主要包括“空闲切断时间”,“最大在线个数”和“禁止重复登录”如下图所示:4.2.4 集中管理集中管理功能是配合“安全网关网管系统”(SureManager)实现对网关的集中监控和策略分发的功能。注意:使用该功能必须在已经安装了一台“安全网关网管系统”的前提下。开启集中管理的步骤如下:1 在左侧树形结构中选择“系统维护”下的“集中管理”,点击导航栏上的“属性”按钮,或者双击右侧的“集中管理”项;2 在弹出的对
27、话框中选中“启用集中管理功能”,输入服务器IP,即网管服务器的IP地址,端口默认为4600,输入用户名和密码,点击“确定”即可。注意:用户名与密码在网管服务器上设定。关于集中管理的详细使用方法,可参考“安全网关网管系统”的相关手册和资料。4.2.5 设备日志设备日志选项分两个子选项,“事件记录”和“日志邮件”。“事件记录”用来设置对哪些类型的日志进行记录,达到一定的过滤效果,设置的步骤如下:1 选中“事件记录”,双击右边的列表或点击导航栏上的“属性”按钮;2 在弹出的对话框中对需要记录的日志类型进行打勾,“事件记录”从日志紧急程度和日志产品模块两方面进行日志过滤;3 点击“确定”按钮;如下图:
28、 “日志邮件”用来设置或当日志达到一定数目以后通过邮件方式发送到指定邮箱,设置步骤如下:1 选中“日志邮件”,双击右边的列表或点击导航栏上的“属性”按钮;2 在弹出的对话框中选中“当日志存储空间不够时发送日志邮件”,接着在下面的文本框中输入SMTP服务器的域名或IP地址,如需SMTP认证,则输入认证密码;3 点击“确定”按钮;如下图:经过如上设置后,通常情况下,当日志数量达到1024条以上时,会自动发送到指定邮箱中。注意:安全网关产生日志后首先保存在本地,当超过存放空间,安全网关会删除所有本地日志,重新开始记录日志。如果设置了日志服务器,则同步发送到日志服务器,如果设置了邮件服务器,当达到一定
29、数目以后再发送到指定邮箱。4.2.6 审计配置审计配置用于配置TPN审计相关的全局选项,包括“审计选项”和“审计服务器”两个子选项。“审计选项”用来设置开启基于网关的审计功能模块,包括“日志审计”、“流量审计”、“威胁审计”和“URL审计”;开启某个模块的审计功能,只需在该模块前打勾即可,如下图所示:“审计服务器”选项用于配置审计服务器的IP地址和端口。配置审计服务器步骤如下:1 在左侧树型结构中选中“系统维护”-“审计配置”-“审计服务器”,双击右边的列表或点右键选择“属性”;2 在弹出的对话框中选中“发送审计信息到外部审计服务器”,在下面的文本框中输入服务器的IP地址和端口号(默认端口为U
30、DP514端口);3 点击“确定”按钮;注意:“审计服务器”选项中配置的服务器地址,同样用于内容审计的服务器地址,当启用了内容审计(比如QQ、MSN、邮件审计等等),这个地址会被下发到每个TPN客户端,TPN客户端会通过TCP727端口把内容审计信息发送到审计服务器。4.2.7 自动重启TPN安全网关可以设置为在指定的时间,以固定的周期自动重启设备。设置自动重启的步骤如下:1 在左侧树型结构中选中“系统维护”“自动重启”,双击右边的列表或点击导航栏上的“选项”按钮;2 在弹出的对话框中选中“启动自动重启”,选择重启的周期和时间,并根据需要选择“重启前保存配置”,如下图所示:3 点击“确定”按钮
31、;4.3 网络设置网络设置中包括了与安全网关相关的所有相关网络基本信息。4.3.1 基本设置基本设置中有三个选项,“工作模式”、“组播支持”以及“VPN TCP MMS”。“工作模式”决定了安全网关是工作在路由模式还是透明模式下,即是工作在三层还是二层;当工作在透明模式时,除了能透过二层以太网帧,安全网关的三层路由、地址映射等功能依旧有效,能做到两者兼顾。双击“工作模式”表项或者选中该项点击导航栏上的“属性”按钮,在弹出的对话框中即可设置工作模式,如下图:在“组播支持”中设置是否允许组播报文透过安全网关。无论安全网关工作在路由模式还是透明模式下,该设置均有效。VPN TCP MMS选项是用于在
32、VPN隧道穿越NAT时,让网关或者客户端能顺利穿透对UDP分段报文丢弃的防火墙时使用,在正常以太网MTU值下,该参数默认值为1368。在某些主机或路由器MTU小于正常值时可以适当调低该参数。注意:该参数调得过低会导致TCP应用通信效率降低。“组播支持”和“VPN TCP MMS”在同一个对话框中设置,双击“组播支持”或“VPN TCP MMS”表项或者选中该项点击导航栏上的“属性”按钮,在弹出的对话框中即可设置是否允许支持组播报文透过,如下图:4.3.2 网络接口在“网络接口”中可以设置设备各个接口的IP地址、接口速度以及双工模式等参数,以及PPPOE拨号的用户名密码等参数。双击右侧列表中的一
33、个接口,或者选中该接口点击导航栏上的“属性”按钮,在弹出的对话框中可以看到该接口的参数信息,并对其进行修改。LAN口的接口信息配置如下图:最上面的是“启用本接口”选项,如果不选这个选项则该接口处于关闭(即Down)状态,下面的所有选项也都无效; 在“接口地址”中可以指定该接口的IP地址、掩码以及默认网关,并且可以看到该接口的MAC地址; 点击“接口地址”边上的“高级”按钮可以在一个接口上添加多个IP地址,如下图: 在“管理”选项中可以设定是否允许通过该接口配置网关、是否允许ping该接口、以及是否在该接口开启流控功能; 在“工作特性”选项中可以设定该接口的工作速率和双工模式、以及MTU等参数;
34、 在除LAN口之外的其他接口都有“开启接口绑定”选项,在多线路接入时的外网口开启(比如wan口接电信线路,ext0口接网通线路,那么需要在这个两个接口开启此选项); “接入方式”选项用于TPN用户从该接口打开登录界面时,采用的登录方式。“本地接入”通常用于上网,VPN接入通常用于远程接入内网;通常在LAN口选择“本地接入”,在WAN口选择“VPN接入”,一个接口只能选择一种接入方式。 除LAN外的其他接口支持通过DHCP自动获取IP地址,在WAN口的接口属性中的“接口地址”选项下选择“DHCP获取”,点击“确定”,稍候片刻,即可通过DHCP获取IP地址,设置界面如下图:4.3.3 PPPOE拨
35、号SJW74系列安全网关支持多路的PPPOE拨号,除LAN口外的其他网口均可PPPOE拨号,以WAN口为例,设置PPPOE拨号的步骤如下:选择左侧树形结构“网络设置”下的“网络接口”,双击右侧表项中的WAN口,在弹出对话框中选择“PPPoE拨号”页签,选择“启用PPPoE拨号”,输入用户名和密码,如果一个网络中存在多个PPPOE拨号服务,可以在服务名一项中手工指定服务名,使设备拨到指定的服务上去,可以通过点击“Discover”按钮来获取当前网络中的所有PPPoE服务,获取的服务名会显示在“服务名”的列表下,如果希望安全网关启动和断线后自动拨号,则在“断线自动拨号”选项前打勾,如下图:PPPO
36、E拨号设置完成后,当选中WAN口时,导航栏上会出现一个“拨号”或“断开”按钮,用于进行手工的PPPOE拨号或断开连接。注意:设置PPPOE拨号的网口仅仅作为物理接口,连接ADSL modem等设备,在拨号的同时,该接口本身的IP地址依然有效,相对于一个物理接口上绑定了两个IP地址。4.3.4 DHCP服务安全网关能够为局域网内的主机提供DHCP服务,配置步骤如下:1 在LAN口接口属性对话框内,选中“在本接口启用DHCP服务”,在下面的文本框中输入DHCP服务的相关参数,其中租借时间若设置为0,则采用默认的租借时间,为5天。2 点击“确定”按钮。如下图:注意:除WAN口外的接口均能提供DHCP
37、服务,但同时只有一个生效。4.3.5 DNSDNS选项中指定一个主DNS服务器地址和一个备用DNS服务器地址,用于网关本身对域名进行解析;当安全网关对局域网内其他主机提供DNS relay服务时,也通过这些设定的DNS服务器进行域名解析。选中“DNS”选项,双击右侧列表或点击导航栏上的“属性”按钮,在弹出的对话框中输入主和备DNS服务器的IP地址,点击“确定”即可,如下图:4.3.6 DDNSDDNS即动态域名服务,为设备在只有动态IP的情况下(比如ADSL拨号、DHCP获取地址)提供一个固定的域名,其它用户或者设备可以通过该固定域名直接访问安全网关设备。在配置DDNS之前,需要用户预先为安全
38、网关注册一个域名,安全网关支持花生壳动态域名。安达通公司提供专业级花生壳DDNS域名。启用DDNS选项功能,可以令安全网关通过动态域名作为VPN隧道的端点,提供解决动态IP地址下VPN互联的另一种手段。双击DDNS选项下的右侧列表,在弹出的对话框中输入DDNS注册的相关信息,选中“启用DDNS服务”点击确定即完成DDNS的配置。如下图:4.3.7 网络路由在该选项下可以查看、添加、删除安全网关中的路由表项;路由表中有目的地址类型、网关地址类型和路由表项类型三个可选项,在通常情况下,手工添加的静态路由的目的地址类型、网关地址类型都选择为“静态IP地址”,路由表项类型为“静态配置”,而系统自动生成
39、的路由表项类型为“动态地址”。手工添加静态路由的步骤为:点击导航栏按钮上的“添加”按钮,在弹出的对话框中输入目的地址名称、掩码和网关地址名称,其他的均为默认选择,即完成一条路由的添加,如下图: 点击导航栏按钮上的“删除”按钮,则删除当前选中路由表项;注意:当安全网关进行PPPOE拨号或DHCP自动获取地址时,默认路由自动添加,如原来已有默认路由,则会被删除。注意:当启用链路均衡时,默认路由只会显示其中的一条;注意:当安全网关工作在透明模式下时,网络路由的接口可能不能真实反映实际数据包的走向。4.3.8 默认网关集“默认网关集”用于多条线路接入的情况下,设置各条线路的优先级。在某个接口上设置了默
40、认网关后,在默认网关集选项中就会出现该接口的名称,如下图所示:当有多个接口名称时,可以通过点击导航栏上的“上移”、“下移”、“置顶”、“置底”按钮来调整各个接口的优先级。接口的优先级主要体现在主动发起VPN连接(IKE协商)时,优先通过哪个接口与对端设备通信。当高优先级线路故障时,低优先级线路会自动切换上来。注意:当设置PPPoE拨号后,拨号线路也会作为单独一条线路加入到默认网关集。注意:当只有一条线路时,无需调整“默认网关集”选项。4.3.9 ARP表在该选项下可以查看、添加、删除、清空安全网关中的arp表项;点击导航栏按钮上的“删除”按钮,则删除当前选中arp表项,点击导航栏按钮上的“清空
41、”按钮,则清空arp表中的所有表项;注意:在arp表项上点击右键,选择“MAC绑定”,可将当前表项直接添加到MAC地址绑定表对应接口的表项中。4.3.10 VLAN TRUNKVLAN TRUNK作为一项高级功能,能够使安全网关接在TRUNK口上,并且对TRUNK线路中的其中一个VLAN的IP数据流进行加密或防火墙过滤操作。要开启TRUNK功能的步骤如下:1 在VLAN TRUNK选项下,点击导航栏上的“选项”按钮,在弹出的对话框中的“TRUNK控制”栏下在要开启TRUNK的接口前打勾;2 点击“确定”如下图所示:当安全网关需要与位于其它VLAN的安全网关进行IKE协商,或者需要与位于其它VL
42、AN的主机进行通信时,需要指定对方安全网关或主机所在VLAN的ID,因此需要输入对方IP地址与VLAN ID的对应表,在该项下点击导航栏上的“添加”按钮,在弹出的对话框中输入对方IP与VLAN ID的对应表,如下图:VLAN协议支持802.1Q和ISL。点击“删除”按钮删除当前选中的IP-VLAN ID对应表项。注意:VLAN TRUNK功能只有当安全网关工作在透明模式下才有效;注意:安全网关启用VLAN TRUNK功能后并不融入原有的VLAN体系,只是将原有TRUNK以太网帧的二层信息原封拷贝到加密后或做其它处理后的新数据包上。4.4 对象管理在安全网关的配置中,安全策略、VPN隧道、地址映
43、射等对IP地址、服务、协议、事件表等元素的引用都采用对象的方式,从而使配置的思路更加清晰,在复杂环境下大大减小了配置的复杂度。在“对象管理”大项中有四个小项,分别提供对“网络地址”、“网络协议”、“网络服务”和“时间表”这四种类型对象的增、删、改功能,下面分别介绍。4.4.1 网络地址网络地址中有“地址”和“地址组”两个选项,地址组是指包含了多个地址对象的一个地址集合。地址对象有三种类型,分别为“子网”、“主机”和“范围”,用户可以根据自己的需求来选择地址对象的类型,当选择“子网”时,需要指定子网掩码。每个对象都有一个名称,用户可以根据自己的喜好对名称进行定义,除此之外,还有一项描述信息供用户
44、使用,该项可以为空。添加一个地址对象的步骤如下:1 在树形结构中选中“地址”一项,在导航栏上点击“添加”按钮;2 在弹出的对话框中输入相关信息,点击“确定”即可;如下图:添加一个地址组对象的步骤如下:1 在树形结构中选中“地址组”一项,在导航栏上点击“添加”按钮;2 在弹出的对话框中输入地址组名称,并在左侧列表中选择属于该地址组的地址对象到右侧,点击“确定”即可;如下图:注意:地址对象和地址组对象的名字不能重复; 除了在对象管理选项中添加地址、地址组对象,还可以在添加策略和VPN网关时临时添加地址、地址组对象。4.4.2 网络协议网络协议对象指IP的上层协议,通过指定协议号来确定协议类型,用于
45、在网络服务中被引用。添加一个网络协议对象的步骤如下:1 在树形结构中选中“网络协议”一项,在导航栏上点击“添加”按钮;2 在弹出的对话框中输入协议名称和协议号,点击“确定”即可;添加EGP协议如下图所示: 注意:此处配置的网络协议指的是IP的上层协议,具体的协议规范详见RFC。4.4.3 网络服务网络服务选项中包含“服务”和“服务组”两个小项,服务组是指包含了多个服务对象一个服务集合。网络服务对象描述了一个五元组中的三项信息,即源端口、目的端口和协议,用于在策略中被引用。当所选协议非TCP或UDP时,服务仅仅指协议。添加一个网络服务对象的步骤如下:1 在树形结构中选中“服务”一项,在导航栏上点击“添加”按钮
