【正文】 “ 本地保護(hù)子網(wǎng)列表”是本地 VPN 網(wǎng)關(guān)設(shè)備用于告知安全管理中心其參與建立隧道的受保護(hù)網(wǎng)段列表。 集中式管理 集中式管理是天泰 VPN 的一大特色，在集中管理方式下，所有的策略均由 TSEC制定， VPN 設(shè)備利用證書向安全管理中心通過認(rèn)證注冊(cè)后，從安全管理中心統(tǒng)一下載與本機(jī)相關(guān)的設(shè)備、子網(wǎng)、隧道策略，而不再需要用戶在本地配置策略。加密算法設(shè)置界面如下圖所示： 圖 62 該界面包含了本機(jī)支持所有加密算法的基本信息，其中狀態(tài)列指明算法是否被加載。 注意：標(biāo)識(shí)符中必須含有“ ”字符。選擇好加密算法，認(rèn)證算法，就可以點(diǎn)擊界面中的“添加算法”按鈕為該隧道添加加密－認(rèn)證算法對(duì)。 ? “從 PKCS12 文件導(dǎo)入”：這種方式下，證書和私鑰在同一個(gè)文件，即 PKCS12 文件中，根據(jù)實(shí)際情況，可能需要輸入文件密碼， CA 根證書文件和配置文件。如果是后者，需要指定一個(gè)地址范圍，即網(wǎng)關(guān)給所有移動(dòng)客戶端分配的地址都在這個(gè)范圍之內(nèi)。如果用戶信息認(rèn)證成功，還需要認(rèn)證證書，則到本地證書庫(kù)進(jìn)行認(rèn)證，如果無法進(jìn)行認(rèn)證，則轉(zhuǎn)（ 8）。 ? 客戶端【用戶名、口令】， VPN 網(wǎng)關(guān)【分布管理， Radius 認(rèn)證】 說明：這種情況客戶端提交的用戶名在 VPN 網(wǎng)關(guān)中本地?cái)?shù)據(jù)庫(kù)不存在，并指明了其認(rèn)證信息將在 Radius 服務(wù)器進(jìn)行認(rèn)證。在集中認(rèn)證模式下，客戶端提交的所有信息均將到 SPS進(jìn)行認(rèn)證，這種模式下，本地用戶管理、證書管理都將失效。 認(rèn)證流程 圖 71 客戶端認(rèn)證流程圖 客戶端的認(rèn)證流程如上圖所示： （ 1）客戶端向網(wǎng)關(guān)提交認(rèn)證請(qǐng) 求。當(dāng)移動(dòng)客戶需要和 VPN 網(wǎng)關(guān)建立 VPN 隧道 時(shí)，首先必須通過身份合法性（包括口令、證書及其組合方式）檢查，客戶端接入模塊提供了 VPN 網(wǎng)關(guān)對(duì)移動(dòng)客戶接入的配置、認(rèn)證管理等功能。 本機(jī)證書管理 圖 65 本機(jī) VPN 證書管理 證書是用于進(jìn)行身份驗(yàn) 證的文件， VPN 網(wǎng)關(guān)設(shè)備之間可以根據(jù)對(duì)方的證書信息驗(yàn)證對(duì)方身份的合法性。 ? “遠(yuǎn)端網(wǎng)關(guān) IP 地址”：當(dāng)?shù)刂奉愋瓦x擇 IP 地址時(shí)填寫 IP 地址；當(dāng)?shù)刂奉愋瓦x擇域名時(shí)則填寫遠(yuǎn)端網(wǎng)關(guān)的域名。 ? “認(rèn)證方式”：進(jìn)行隧道協(xié)商時(shí)的身份認(rèn)證方式，建靜態(tài)隧道 支持“預(yù)共享密鑰”和“證書認(rèn)證”兩種方式。 TSEC 的“通告端口”和“策略端口”一般采用預(yù)設(shè)的缺省值 2020，除非當(dāng) TSEC 的通告端口、策略端口有變化時(shí)，則必須指明SPS 的相應(yīng)端口。 6． 協(xié)商隧道 VPN 網(wǎng)關(guān)將下載下來的隧道在本地展開后所得的隧道。 如果網(wǎng)關(guān)地址和網(wǎng)絡(luò)接口都選了，則該網(wǎng)關(guān)地址一定要是從選擇的網(wǎng)絡(luò)接口可達(dá)。 在添加“透明網(wǎng)絡(luò)”條目后，可以雙擊 “編輯” 對(duì)其做進(jìn)一步配置，如下圖： 圖 49 “未綁定端口”中列出了待選的網(wǎng)絡(luò)接口；“已綁定接口”中列出的網(wǎng)絡(luò)接口之間將實(shí)現(xiàn)透明連接。 ? 撥號(hào)用戶設(shè)置 如果用戶選擇了“ ADSL”或“ MODEM”類型，則應(yīng)進(jìn)行相應(yīng)的撥號(hào)用戶 屬性的 設(shè)置。 DNS 設(shè)置 可以為 VPN 網(wǎng)關(guān)設(shè)置 DNS 服務(wù)器，當(dāng)要啟動(dòng) DDNS 服務(wù)時(shí)，首先得設(shè)置一個(gè) DNS 服務(wù)器。 還有一種需求是分支機(jī)構(gòu)還有營(yíng)業(yè)部或移動(dòng)用戶，這部分用戶只能通過 VPN 訪問分支機(jī)構(gòu)，但還有訪問總部的需求，其訪問總部是由分支機(jī)構(gòu)來授權(quán)的，所有數(shù)據(jù)包需要先到達(dá)分支機(jī)構(gòu)，當(dāng)專線網(wǎng)絡(luò)正常時(shí)，要求通過專線轉(zhuǎn)發(fā)數(shù)據(jù)包，當(dāng)專線出現(xiàn)故障時(shí)，就通過分支與總部之間的 VPN 網(wǎng)絡(luò)轉(zhuǎn)發(fā)數(shù)據(jù)。 本地登錄 選擇“本地管理網(wǎng)關(guān)”即通過控制臺(tái) RS232 串口登錄，將網(wǎng)關(guān)控制臺(tái)的串口與需要配置的 VPN 網(wǎng)關(guān)設(shè)備控制串口用串口連接線相連，在登錄口令欄中輸入正確的口令（初始默認(rèn)口令為 admin），在“端口”框中填入相應(yīng)的端口號(hào)（例如： COM1），點(diǎn)擊“ 保存 ”保存該登錄信息，點(diǎn)擊“登錄”按鈕進(jìn)行登錄，口令 /端口輸入不正確時(shí)不能登錄 VPN 網(wǎng)關(guān)。 第二章 硬件安裝 安全說明 ● VPN 安全網(wǎng)關(guān)屬網(wǎng)絡(luò)安全專用產(chǎn)品，請(qǐng)勿嘗試自行維修。在網(wǎng)線、控制線纜連接完畢后，將VPN 網(wǎng)關(guān)的電源線穩(wěn)定、可靠地插在機(jī)箱電源插座和電源插座上。 對(duì)網(wǎng)絡(luò)通信設(shè)備做了一層封裝， 如 可以 定義接口名為 DMZ，它綁定的物理設(shè)備是 eth2?！爸?DNS 地址”，設(shè)置客戶端獲得的網(wǎng)絡(luò)配置中的主 DNS 地址。雙擊任意一個(gè)網(wǎng) 絡(luò)接口選擇 右邊“編輯” 按鈕 ，可以修改選中項(xiàng)目的各項(xiàng)參數(shù)。 當(dāng)有多個(gè)接口啟用 VPN 功能時(shí)，這些接口都會(huì)參與隧道協(xié)商，從而能達(dá)到隧道數(shù)據(jù)在不同線路上負(fù)載均衡的效果，有關(guān)詳細(xì)的描述請(qǐng)參見 VPN 設(shè)置一章。 “目的 IP地址”和“目的地址掩碼”規(guī)定的是數(shù)據(jù)包的目的 IP 范圍。當(dāng)本地保護(hù)子網(wǎng)列表為空時(shí)，將默認(rèn)采用本地 VPN 網(wǎng)關(guān)設(shè)備INTERNAL 接口的主地址所在子網(wǎng)作為本地保護(hù)子網(wǎng)；而當(dāng)用戶在“本地保護(hù)子網(wǎng)列表”中添加了自定義的保護(hù)子網(wǎng)后，建立隧道時(shí)將使用自定義的保護(hù)子網(wǎng)，而不再默認(rèn) 地采用本地 VPN 網(wǎng)關(guān)設(shè)備內(nèi)網(wǎng)口所在子網(wǎng)作為本地保護(hù)子網(wǎng)。無疑在集中管理方式下，利用 VPN 進(jìn)行安全通信將更加方便?！耙鸭虞d”的算法在“算法 ID”列中用藍(lán)色圖標(biāo)表示；“未加載”的算法在“算法ID”列中用紅色圖標(biāo)表示。另外，當(dāng)網(wǎng)關(guān)處于 NAT 后時(shí)，需要指定使用標(biāo)識(shí)符。 ? “已添加算法”：顯示為該隧道添加的加密認(rèn)證算法。 在選擇好證書導(dǎo)入方式和正確輸入相關(guān)的選項(xiàng)信息后，點(diǎn)擊“導(dǎo)入”按鈕即可導(dǎo)入證書。 ? 認(rèn)證方式 /類型：認(rèn)證方式 /類型包括口令認(rèn)證方式和證書認(rèn)證方式。認(rèn) 證證書過程中，如果失敗則轉(zhuǎn)（ 10）。 ? 客戶端【證書】， VPN 網(wǎng)關(guān)【集中管理】 說明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)無法認(rèn)證，網(wǎng)關(guān)將會(huì)把認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給 SPS。 如果管理員希望所有客戶端提交的認(rèn)證信息均在 SPS 進(jìn)行認(rèn)證，則可以把網(wǎng)關(guān)認(rèn)證模式選擇為集中認(rèn)證。 ? 口令和證書獨(dú)立認(rèn)證：對(duì)于客戶端提交的認(rèn)證信息， VPN 網(wǎng)關(guān)可能需要對(duì)口令認(rèn)證服務(wù)器（包含本地認(rèn)證）和證書認(rèn)證服務(wù)器（包含本地認(rèn)證）需要分別指定。 第七章 客戶端接入 客戶端管理簡(jiǎn)介 本系統(tǒng)允許一定數(shù)量的移動(dòng)客戶端通過網(wǎng)關(guān)訪問整個(gè) VPN 系統(tǒng)。類似地，可以對(duì)定義好的靜態(tài)隧道進(jìn)行“刪除”、“編輯”、“刷新”等操作。 “遠(yuǎn)端設(shè)置”用于對(duì)遠(yuǎn)端 保護(hù)網(wǎng)絡(luò)信息進(jìn)行設(shè)置，包含了以下內(nèi)容： ? “遠(yuǎn)端網(wǎng)關(guān)地址類型”：地址類型可以是“ IP 地址”或者“域名”，如果遠(yuǎn)端網(wǎng)關(guān)參與建隧道的接口有固定的 IP 地址，就可以選擇 IP 地址；如果擁有固定的域名，則可以選擇域名 .。 圖 63 預(yù)共享密鑰方式 圖 64 證書認(rèn)證方式 “靜態(tài)隧道設(shè)置”界面包括了以下信息： “基本屬性”包含了以下內(nèi)容： ? “隧道名稱”：添加的靜態(tài)隧 道名。 ? “通告端口”和“策略端口”： TSEC 使用這兩個(gè) 端口用于接收網(wǎng)關(guān)認(rèn)證注冊(cè)和下載策略請(qǐng)求、?；钔ǜ娴?。 5． 下載隧道 由 TSEC 統(tǒng)一制定，各個(gè) VPN 設(shè) 備注冊(cè)成功后主動(dòng)下載下來的隧道策略。 “網(wǎng)絡(luò)接口”如果選擇“自動(dòng)選擇網(wǎng)絡(luò)接口”， VPN 會(huì)自動(dòng)選擇一個(gè)可以到達(dá)“網(wǎng)關(guān)地 址”的網(wǎng)絡(luò)接口發(fā)送該數(shù)據(jù)包；否則將通過用戶指定的網(wǎng)絡(luò)接口發(fā)送?！巴该骶W(wǎng)絡(luò)名稱”和“設(shè)備名稱”均不能和已有的透明網(wǎng)絡(luò)相應(yīng)字段重復(fù)。 如果本接口沒有網(wǎng)關(guān)，則設(shè)為 即可。 當(dāng)您啟用 認(rèn)證，并正確填寫了各信息參數(shù)后，點(diǎn)擊“設(shè)置”便可進(jìn)行 相關(guān)的用戶身份認(rèn)證。 另一種要求是總部與分支之間的一部分機(jī)器通過 VPN 網(wǎng)絡(luò)通信，一部分機(jī)器通過專線網(wǎng)絡(luò)通信，但當(dāng)其中任何一個(gè)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，都能自動(dòng)切換至另外一個(gè)網(wǎng)絡(luò)。在第一次設(shè)置 VPN 網(wǎng)關(guān)設(shè)備時(shí)，既可以利用本地串口進(jìn)行登錄，也可以通過網(wǎng)絡(luò)進(jìn)行登錄，設(shè)備出廠時(shí)為“ ETH0 口”分配了 IP 地址： 。 讀者 : 本手冊(cè)適用于購(gòu)買我公 司 VPN網(wǎng)關(guān) 產(chǎn)品的用戶，要求使用者具有一定的計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)以 及 TCP/IP和 VPN相 關(guān)的基本概念 。 網(wǎng)線實(shí)例： 注意： RJ45 網(wǎng)線存在“直連線”和“交叉線”兩種類型，通過網(wǎng)線兩頭 RJ45 接頭中的細(xì)線顏色對(duì)比，可以輕易地判斷出網(wǎng)線的類型。 VPN 設(shè)備 內(nèi)置三個(gè)接口： INTERNAL、 EXTERNAL、 VPN，這三個(gè)接口不可以刪除，其中 VPN 接口是一個(gè)虛擬的接口， 用于 VPN 加解密使用，用戶可以將它 當(dāng)做一個(gè)物理接口看待，加密時(shí)需要從這個(gè)接口發(fā)出，解密后需要從這個(gè)接口收包?！皬?DNS 地址”，設(shè)置客戶端獲得的網(wǎng)絡(luò)配置中的從 DNS 地址。如 下 圖所示： 圖 47 接口屬性中，以紫色 字顯示的 不允許更改。 ? 網(wǎng)絡(luò)接口傳輸統(tǒng)計(jì)信息 顯示 本接口接收、發(fā)送的正確、錯(cuò)誤數(shù)據(jù)包個(gè)數(shù)。在該 IP 范圍內(nèi)的數(shù)據(jù)包才會(huì)按照該規(guī)則進(jìn)行路由。 權(quán)限對(duì)象管理 圖 52 權(quán)限對(duì)象管理設(shè)置 權(quán)限對(duì)象用來描述客戶端能夠訪問資源信息，一個(gè)權(quán)限對(duì)象可以包含如下信息： ? 對(duì)象名稱：權(quán)限對(duì)象的唯一標(biāo)識(shí) ? 權(quán)限策略：允許或者拒絕 ? 網(wǎng)絡(luò)協(xié)議： tcp， udp， icmp 或者 any ? 網(wǎng)絡(luò)服務(wù)策略 不控制：說明此權(quán)限不對(duì)網(wǎng)關(guān)進(jìn)行控制端口控制 指定端口：說明此權(quán)限僅限定某指定端口 除此指定端口：說明此權(quán)限對(duì)除某個(gè)端口外所有端口有效 端口范圍：說明此權(quán)限僅限定某端口范圍 除此端口范圍：說明此權(quán)限對(duì) 除某個(gè)端口范圍外的其他所有端口有效 ? 網(wǎng)絡(luò)地址 時(shí)間對(duì)象管理 圖 53 時(shí)間對(duì)象 管理 時(shí)間對(duì)象用來描述客戶端能夠訪問的時(shí)間段。在集中管理方式下， VPN 設(shè)備在認(rèn)證注冊(cè)后，從安全管理中心可下 載 到“下載設(shè)備列表”、“下載子網(wǎng)列表”、“下載隧道列表”等。要加載加密算法可以在需要加載的加密算法條目上單擊鼠標(biāo)右鍵在點(diǎn)擊“加載”即可。 ? “封裝模式”：指靜態(tài)隧道的數(shù)據(jù)包封裝模式，現(xiàn)支持隧道模式和傳輸模式兩種，一般采用隧道模式即可。選擇其中的某項(xiàng)，點(diǎn)擊“刪除算法”按鈕即可刪除為該隧道已添加的算法。證書導(dǎo)入成功后，將會(huì)在“證書信息”一欄中顯示正確的證書信息。其中口令可以通過本地、 Radius 服務(wù)器、 SPS 進(jìn)行認(rèn)證；證書可以通過本地、 LDAP服務(wù)器、 SPS、第三方 CA 的本地認(rèn)證進(jìn)行認(rèn)證；如果 認(rèn)證方式為不需要，說明該用戶不需要對(duì)該選項(xiàng)（口令或證書）進(jìn)行認(rèn)證，如果客戶端提交了該選項(xiàng)信息（口令或證書），會(huì)認(rèn)為客戶端提交信息不正確。 （ 6） VPN 網(wǎng)關(guān)向口令認(rèn)證服務(wù)器提交認(rèn)證請(qǐng)求。 ? 客戶端【證書 】， VPN 網(wǎng)關(guān)【分布管理】 說明：這種情況客戶端提交的證書在 VPN 網(wǎng)關(guān)進(jìn)行認(rèn)證，網(wǎng)關(guān)將會(huì)根據(jù)本地證書庫(kù)，遠(yuǎn)程證書認(rèn)證機(jī)構(gòu)的設(shè)置情況，對(duì)證書依次進(jìn)行認(rèn)證。分布管理模式下，口令可以在網(wǎng)關(guān)數(shù)據(jù)庫(kù) 進(jìn)行認(rèn)證，也可以在 Radius 服務(wù)器進(jìn)行認(rèn)證；證書可以在網(wǎng)關(guān)本地進(jìn)行認(rèn)證，也可以通過遠(yuǎn)程證書認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證。如果管理員希望對(duì)某項(xiàng)認(rèn)證內(nèi)容（口令、證書）由某遠(yuǎn)程認(rèn)證服務(wù)器完成認(rèn)證，可以將用戶的此項(xiàng)認(rèn)證方式設(shè)置為該遠(yuǎn)程認(rèn)證服務(wù)器認(rèn)證方式。 CA 證書信息：顯示已經(jīng)導(dǎo)入的第三方 CA 根證書的相關(guān)信息，如“證書名稱”、“頒發(fā)者”、“生效日期”、“失效日期”等。 當(dāng)“靜態(tài)隧道設(shè)置”界面中各欄信息設(shè)置正確后，單擊的“添加”按鈕，即可添加一條靜態(tài)隧道。 ? “本地保護(hù)子網(wǎng)掩碼”：指靜態(tài)隧道保護(hù)的本地子網(wǎng)掩碼。您可以在此界面中填入相應(yīng)的隧道信息以定義一條靜態(tài)隧道。當(dāng)選擇“ IP 地址”方式時(shí)，在“ IP 地址”欄中，填入 SMC 的 IP 地址，此時(shí)“域名地址”欄為無效狀態(tài)，不可輸入；當(dāng)選擇“域名地址”方式時(shí)，在“域名地址”欄中填入 TSEC 的域名地址，當(dāng) TSEC 的 IP 地址不是固定 IP 而是動(dòng)態(tài)變化時(shí)，則采用這種方式。 4． 下載子網(wǎng) VPN 設(shè)備從 TSEC 下載下來的其它設(shè)備的保護(hù)子網(wǎng)。 “網(wǎng)絡(luò)接口”，如果“靜態(tài)網(wǎng)絡(luò)接口類型”選擇的是“網(wǎng)絡(luò)接口”，則該項(xiàng)就變成可編輯。對(duì)話框如 下 圖所示： 圖 48 在“透明網(wǎng)絡(luò)名稱”中您可以自定義該透明網(wǎng)絡(luò)的名稱；“設(shè)備名稱”中列出了可用的透明網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)。 ? 網(wǎng)絡(luò)接口地址 當(dāng) 網(wǎng)絡(luò)類型 選擇了“ ETH”后，用戶必須設(shè)置 “網(wǎng)絡(luò)接口地址”中相應(yīng)的“ IP 地址 ” 、 “ 網(wǎng)絡(luò)掩碼 ” ， 還 可以 設(shè)置 本 接口 的 “ 路由器地址 ” 。 認(rèn)證 在某些網(wǎng)絡(luò)接入時(shí)需要進(jìn)行 的身份認(rèn)證，當(dāng)需要進(jìn)行 身份認(rèn)證時(shí)，點(diǎn)擊“ 認(rèn)證”圖標(biāo)系統(tǒng)將彈出界面如下圖所示： 圖 44 您可以在如上界面“設(shè)置 認(rèn)證”下的啟動(dòng)狀態(tài) 設(shè)置成“啟用”，并 對(duì)“接口設(shè)置”的各項(xiàng)進(jìn)行設(shè)置：選擇“接口名稱”，輸入“用戶名”、“口令”，選擇“認(rèn)證方式”。常見的應(yīng)用模式如下： 圖 41 在上圖中，一種要求是總部與分支機(jī)構(gòu)在專線正常的情況下，需要采用專線通信，當(dāng)專線 出現(xiàn)故障時(shí)，能夠自動(dòng)切換到 VPN 網(wǎng)絡(luò)中通信。 第三章 配置準(zhǔn)備 登錄 VPN 網(wǎng)關(guān) 登錄 VPN 網(wǎng)關(guān)有 兩 種方式，一種是 利用本地的串口 登錄 VPN 網(wǎng)關(guān)，另一種是 通過 IE瀏覽方式